Nederlandse routers getroffen door cyberaanvallen: Toenemende dreigingen en maatregelen

De situatie

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft gemeld dat tientallen Nederlandse routers zijn gehackt door een Russische militaire hackersgroep. Deze apparaten zijn onderdeel van een botnet dat onder controle staat van de Russische groep 74455, ook bekend als Sandworm of BlackEnergy. Deze groep is verantwoordelijk voor cyberaanvallen op verschillende landen, waaronder ook Oekraïne. De MIVD informeert momenteel eigenaren van besmette routers en heeft bij enkele gebruikers gevraagd om de apparaten af te staan voor onderzoek.

Bij deze cyberaanval ging het om routers van onder andere het merk WatchGuard. Het betreft willekeurige slachtoffers die geen relatie hebben met Defensie, de rijksoverheid of vitale sectoren. Besmette routers kunnen worden ingezet voor spionage, beïnvloeding en sabotage.

De MIVD heeft niet bekendgemaakt hoeveel routers er precies getroffen zijn, maar het gaat om enkele tientallen apparaten. De dreiging is volgens MIVD-directeur Jan Swillens soms dichterbij dan je denkt. "Nederlandse routers, van zeg maar de bakker op de hoek, worden gebruikt door een statelijke actor", aldus Swillens. De MIVD wijst ook op de Russische hackoperatie bij de Organisatie voor het Verbod op Chemische Wapens (OPCW) die de MIVD in 2018 wist te verstoren. Vier Russische inlichtingenofficieren werden toen het land uitgezet. "Ook nu is de boodschap: dit moet stoppen."

Aanvalstactieken en doelen

De aanvalstactieken van de Russische hackersgroep 74455 zijn gevaarlijk omdat ze gebruikmaken van een wereldwijd netwerk van gehackte routers. Deze apparaten kunnen centraal en collectief worden aangestuurd en worden ingezet voor spionage, beïnvloeding en sabotage. De groep is onderdeel van de Russische militaire inlichtingendienst GROe, dat een wereldwijd botnet heeft van duizenden gehackte routers. De groep is bekend om cyberaanvallen op onder andere Oekraïne. In 2015 en 2016 werden delen van het Oekraïense stroomnet offline gehaald door de hackers. Ook zit de groep achter de malware-aanval die in 2017 onder meer parkeerbedrijf Q-Park en de Rotterdamse haven trof.

Een andere cyberaanval betrof Chinese hackers die meer dan 2.700 apparaten in Nederland hebben gehackt. Deze aanval maakt deel uit van een wereldwijde aanval waarbij in totaal meer dan 260.000 apparaten zijn geïnfiltreerd. Het doel van de hack lijkt om deze apparaten in te zetten voor grootschalige cyberaanvallen. De gehackte apparatuur varieert van routers en modems tot andere slimme apparaten die verbonden zijn met het internet. Vooral apparaten die worden gebruikt in kleine kantoren en thuisomgevingen (SOHO) zijn getroffen. Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers om hun apparaten zo snel mogelijk te updaten. Dit geldt vooral voor apparaten die direct met het internet zijn verbonden, omdat deze extra kwetsbaar zijn.

Honderden Nederlandse routers voor cryptocurrency-minen

Een andere vorm van cyberaanval betreft het minen van cryptocurrencies. Honderden Nederlandse routers zijn overgenomen door hackers voor het minen van cryptocurrencies. Deze apparaten worden dag en nacht gebruikt om geld te genereren voor cybercriminelen. Het lek waardoor de routers worden gehackt is in april door MikroTik gedicht, maar omdat eigenaren de apparaten niet updaten nemen criminelen ze over. Honderden Nederlandse routers zijn overgenomen door hackers voor het minen van cryptocurrencies. Deze apparaten worden dag en nacht gebruikt om geld te genereren voor cybercriminelen. Het lek waardoor de routers worden gehackt is in april door MikroTik gedicht, maar omdat eigenaren de apparaten niet updaten nemen criminelen ze over.

Gehackte MikroTik-routers zijn op de achtergrond bezig om de cryptocurrency Monero te minen. Als internetgebruiker merk je daar weinig van, behalve dat je router constant op volle toeren draait en daardoor soms overbelast kan raken, bijvoorbeeld tijdens het streamen of online gamen. In sommige gevallen zorgt de router ervoor dat ook je computer gaat helpen om geld voor criminelen te verdienen. Dat gebeurt doordat de router ook de websites die je bezoekt kan infecteren, waardoor je computer op volle toeren gaat draaien. De rekenkracht van je computer wordt dan ingezet om cryptocurrencies te minen.

Maatregelen en preventie

Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland 150 routers geïdentificeerd die onderdeel zijn van botnets. Het grootste deel daarvan bevindt zich in Zuid-Holland. Voor eigenaren van ASUS-routers heeft de overheidsinstantie via GitHub een script beschikbaar gemaakt om de aanwezigheid van kwaadaardige processen en bestanden op het apparaat te controleren. De routers in kwestie zijn besmet met TheMoon-malware en Alogin-botnetmalware. Deze malwarefamilies werden ontdekt tijdens onderzoek naar verdachte activiteiten op ASUS-netwerkrouters van bedrijven en consumenten. Zowel particulieren als bedrijven gebruiken deze routers voor hun internetverbinding.

Het verdachte internetverkeer kwam aan het licht doordat de ip-adressen van deze routers gerapporteerd werden wegens veelvuldige authenticatiepogingen op ssh-servers. Ook werd duidelijk dat deze routers deel uitmaakten van het Alogin-botnet dat uit besmette Asus-routers bestaat. Het NCSC stelt dat het betreft de apparatuur die consumenten en bedrijven zelf openstellen richting het internet en niet netwerkapparatuur die verstrekt is door internetproviders.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers om hun apparaten zo snel mogelijk te updaten. Dit geldt vooral voor apparaten die direct met het internet zijn verbonden, omdat deze extra kwetsbaar zijn. Het is essentieel om basisbeveiliging op orde te hebben, vooral bij apparatuur die met het internet is verbonden. Dit geldt ook voor apparaten die worden gebruikt in kleine kantoren en thuisomgevingen (SOHO).

Samenvatting

Het afgelopen jaar is er sprake geweest van meerdere cyberaanvallen op routers van particulieren en bedrijven in Nederland. Deze apparaten zijn misbruikt voor het creëren van botnets, het minen van cryptocurrencies en het uitvoeren van spionage. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft gemeld dat tientallen Nederlandse routers zijn gehackt door een Russische militaire hackersgroep. Deze apparaten zijn onderdeel van een botnet dat onder controle staat van de Russische groep 74455, ook bekend als Sandworm of BlackEnergy. Deze groep is verantwoordelijk voor cyberaanvallen op verschillende landen, waaronder ook Oekraïne.

Nederlandse routers getroffen door cyberaanvallen: Toenemende dreigingen en maatregelen

De situatie

Aanvalstactieken en doelen

Honderden Nederlandse routers voor cryptocurrency-minen

Maatregelen en preventie

Samenvatting

Bronnen

Related Posts

Latest publications

Groningen Ontdekt: 3 Bezienswaardigheden Waar Je Nog Nooit Van Gehoord Hebt

Drie onmisbare bezienswaardigheden in Gent voor toeristen

Drie Onmisbare Bezienswaardigheden in Drenthe

Drie onmisbare bezienswaardigheden in Brussel voor een indrukwekkende stedentrip

Drie Must-See Bezienswaardigheden in Barcelona voor Nederlandse Reizigers

3 Must-See Bezienswaardigheden in Bangkok voor Nederlandse Reizigers

Antwerpen Ontdekt: 3 Uitzonderlijke Bezienswaardigheden

Drie Onmisbare Bezienswaardigheden in Haarlem voor Elke Toerist

Drie Onvergetelijke Bezienswaardigheden in Frankrijk voor Toeristen

Drie must-see bezienswaardigheden in Frankfurt voor toeristen