Hackers kapen servers via login thuiswerkers
Hackers verhandelden online tienduizenden gekaapte servers. Ze braken in via de poort waarmee mensen van thuis inloggen op de server van het werk.
BRUSSEL I Scholen, dokterspraktijken, advocatenkantoren, kmo’s: tegenwoordig hebben ze meestal een systeem dat werknemers toelaat om van thuis in te loggen op het bedrijfsnetwerk en zo voort te werken. Zo’n toegangspoort, die ‘remote desktop protocol’ heet, blijkt zeer kwetsbaar voor online aanvallen. Hackers raken via die weg vrij vlot binnen in de server van een organisatie, waarna ze die machine voor allerlei zaken kunnen misbruiken. De data op de server worden simpelweg gestolen en verkocht, cybercriminelen laten op de server gijzelsoftware los om het bedrijf geld af te troggelen, de server wordt gebruikt voor digitale aanvallen, enzovoort.
Gekaapte servers komen van pas als een tussenstation voor allerlei onfrisse zaakjes op het internet: bij een aanval leidt een digitaal spoor bij het slachtoffer niet naar de uitvoerder zelf, maar wel naar dat van een nietsvermoedende eigenaar van zo’n gehackte server.
‘Als het niet noodzakelijk is voor de werking van het bedrijf, zou de mogelijkheid om vanop afstand in te loggen via die functie voor Windows eigenlijk altijd moeten worden uitgeschakeld’, zegt Geert Schoorens, die bij het federaal parket cyberdossiers opvolgt. ‘Maar bij veel bedrijven blijft die mogelijkheid geactiveerd, bovendien met een zwak of zelfs helemaal geen wachtwoord.’
Ondergronds
De gekaapte servers zijn gegeerd. Samen met collega’s uit Oekraïne en de Verenigde Staten haalde het Belgische gerecht eind vorige maand na jaren speurwerk de ‘xDedic’marktplaats uit de lucht. Op die website werden tienduizenden gehackte servers te koop aangeboden. Volgens een rapport van beveiligingsbedrijf Kaspersky uit 2016 waren er op een gegeven moment minstens 70.627 servers te koop, verspreid over de hele wereld. Daar zaten vermoedelijk 1.414 Belgische servers tussen.
In juni 2016 merkte de Belgische politie xDedic voor het eerst op. Toen was de website nog gewoon bereikbaar via het reguliere internet. Na de publicatie van het Kasperskyrapport gingen de eigenaars ondergronds: ze verschoven hun activiteiten naar het Darknet, waardoor hun marktplaats alleen nog toegankelijk was met een specifieke browser. Agenten van de federale politie infiltreerden in de marktplaats en voerden er observaties uit.
Noodcentrales en callcenters
‘Tijdens ons onderzoek varieerde het volume aan Belgische servers’, zegt Schoorens. ‘Het aanbod lag tussen de 230 en 750 servers. We hebben dertien slachtoffers geidentificeerd en bezocht. In één geval was de server gebruikt voor kredietkaartfraude, in twee andere gevallen werden de bedrijven getroffen door ransomware (gijzelsoftware, red.) in de periode waarin hun server te koop stond op xDedic.’
De doelwitten van de hackers wisten vaak niet dat hun servers waren gecompromitteerd. Alleen wanneer er bijvoorbeeld ransomware werd gebruikt, merkten ze de inbraak.
De organisaties die werden getroffen, hebben een uiteenlopend profiel. Volgens het Amerikaanse departement van justitie gaat het onder meer om overheidsinstanties, ziekenhuizen, noodcentrales, callcenters, openbare vervoersmaatschappijen, pensioenfondsen en universiteiten. De prijzen voor de gehackte servers gingen van amper zes tot meer dan tienduizend dollar per stuk. Het Belgische luik van het onderzoek, dat werd geleid door de Mechelse onderzoeksrechter Philippe Van Linthout, concentreerde zich op de verkopers die hun gehackte servers aan de man brachten op xDedic.
De Amerikanen hielden zich bezig met de beheerders van de marktplaats zelf – het zou gaan om vier Oekraïners. Bij huiszoekingen eind januari op negen plaatsen in Oekraïne werden computers in beslag genomen. Drie verdachten werden meegenomen voor verhoor.
‘We hebben dertien Belgische slachtoffers geïdentificeerd en bezocht. In één geval was de server gebruikt voor kredietkaartfraude’
GEERT SCHOORENS
Federaal parket