OZON 2018 - Een kijkje achter de schermen bij een grote 'cyberincidentoefening'

In de ochtend van donderdag 4 oktober vindt een phishingaanval plaats op medewerkers van bij SURF aangesloten, Nederlandse instellingen, zoals universiteiten, hogescholen, onderzoeksinstituten en medische centra. Ontvangers van de mail wordt gevraagd in te loggen en een update te downloaden. In werkelijkheid gaat het daarbij om malware, die het werk is van een aanvaller die zichzelf de naam NLNetNeutrality heeft gegeven. Daarachter gaat Koen schuil, eigenaar van een hostingbedrijf met twijfelachtige klandizie. Hij is onlangs in het vizier van de fictieve organisatie Mailhaus gekomen, een organisatie die zich via onder meer blocklists inzet voor de bestrijding van spam, malware en phishing. Daardoor verdwijnen de klanten van Koen, die zijn frustratie botviert op SURFnet, een van de sponsors van Mailhaus.

SURF is een samenwerkingsverband van Nederlandse onderwijs- en onderzoeksinstellingen op het gebied van ict, waarbij SURFnet zich bezighoudt met de onderliggende infrastructuur van het netwerk. Zo is er ook een eigen SURFcert, dat onder meer incident response biedt bij internetaanvallen.

De malware van Koen is tweeledig. Zo worden er aan de ene kant bestanden versleuteld en worden deze bestanden tegelijkertijd verzonden naar een command and control-server van Koen. Bovendien heeft hij met zijn phishingaanval inloggegevens van medewerkers buitgemaakt, waardoor hij onder andere toegang heeft tot de contentmanagementsystemen van de verschillende instellingen.

Om tien uur 's ochtends worden de eerste effecten van de aanval merkbaar. Er verschijnen bijvoorbeeld nieuwsberichten op de websites van verschillende instellingen, nadat bezoekers de sites in eerste instantie niet langer konden bereiken. In de berichten wordt verwezen naar Mailhaus, dat met zijn activiteiten in het vaarwater van legitieme bedrijven terecht zou komen. Een uurtje later beginnen medewerkers te merken dat ze bepaalde bestanden niet langer kunnen openen, doordat deze versleuteld zijn.

Tegelijkertijd worden de nieuwsmedia wakker en worden getroffen instellingen gebeld met vragen over de verschenen nieuwsberichten en over berichten op Twitter van studenten en medewerkers die hun zorgen uiten over de ontstane chaos.

Uitdaging

Al deze gebeurtenissen zijn onderdeel van een grote 'cybercrisisoefening' die is georganiseerd door SURF onder de naam OZON 2018, waaraan twaalfhonderd mensen bij ongeveer vijftig instellingen deelnemen. Dat betekent dat er niet daadwerkelijk bestanden worden versleuteld, maar dat er wel 'malware' is ontwikkeld die bijhoudt hoeveel bestanden in theorie versleuteld hadden kunnen zijn. Zo stond de teller 's middags bij de meeste instanties op tienduizenden bestanden. Ook verschijnen er niet daadwerkelijk nieuwsberichten en andere defacements op de verschillende sites.

Bij SURF aangesloten instellingen konden zich daar vrijwillig voor de oefening aanmelden. Het brein achter de oefening, Charlie van Genuchten, zegt tegen Tweakers: "Het is de bedoeling van de oefening om zowel iets technisch uitdagends neer te zetten als iets wat je naar boven toe moet escaleren. Dat is het allermoeilijkste aan deze oefeningen, dat je niet iets bedenkt waarbij iemand denkt: 'Ik zet deze back-up terug en het is klaar' of: 'Ik escaleer naar communicatie en die handelen het verder wel af'. Dat is dan ook het meest uitdagende om te vinden en dat is wat je wilt trainen, omdat het het vaakst ergens in de communicatieketen misgaat."

Ze voegt daaraan toe dat het de bedoeling is dat op hoog niveau beslissingen worden genomen, bijvoorbeeld niet alleen over de zwart-witte vraag of er voor ontsleuteling van de bestanden moet worden betaald, maar ook wat het betekent als er informatie online komt te staan en wie vervolgens moet worden ingelicht. De oefening kent namelijk nog meer elementen die de deelnemende organisaties op de proef moeten stellen.

Zo is het mogelijk om bestanden te ontsleutelen voor het bedrag van één euro in bitcoin. De volgende betaalt echter vijfduizend euro en elke opvolgende versleuteling kost steeds het dubbele. Hierdoor ontstaat de vraag of het wel verantwoord is om zelf tot ontsleuteling over te gaan en anderen meer te laten betalen, en of het wel kan om met publieke middelen dit soort criminaliteit te financieren. Om twee uur 's middags had nog niemand voor ontsleuteling betaald, maar de organisatie liet doorschemeren nog wel een 'bommetje' te kunnen plaatsen door bijvoorbeeld een docent te laten betalen voor decryptie van zijn eigen bestanden om door te kunnen werken. Er is ook een site in de lucht waarop de hacker, NLNetNeutrality, bijhoudt hoeveel bestanden per instelling zijn versleuteld. Daarnaast plaatst hij daar periodiek berichten, zoals het bericht dat hij buitgemaakte documenten zal gaan publiceren als niet aan bepaalde eisen wordt voldaan.

'De realiteit' voor deelnemende instellingen bestaat tijdens de oefening uit een dashboard waarop gesimuleerde tweets en nieuwsberichten worden getoond. Schermen met deze dashboards staan in een grote zaal op het SURF-hoofdkantoor, dicht bij Utrecht Centraal. Dat fungeert op de donderdag tijdens de oefening als coördinatiepunt. Er is een kamer met 'simulanten', die in de loop van de dag tientallen telefoongesprekken voeren waarbij ze zich voordoen als journalisten van verschillende media. Ze bellen met de daadwerkelijke woordvoerders van de deelnemende instellingen.

Om drie uur 's middags ontstaat er grote blijdschap in het SURF-kantoor, omdat een van de instellingen losgeld heeft betaald. Op navraag bleek dat dit door een van de mollen was gedaan en dat de vreugde ermee te maken had dat dit een onderdeel van de oefening was dat iedereen graag in vervulling zag gaan. Van Genuchten legde uit dat hiermee de lijn die de instellingen hebben getrokken, dat er niet wordt betaald, op de proef wordt gesteld. Rond de late middag werden ook al de eerste verschillen met de oefening uit 2016 duidelijk. Van Genuchten wees erop dat de verschillende organisaties beter met elkaar samenwerkten en een gezamenlijke communicatie opzetten. Ook op technisch vlak werd veel meer gedeeld. Aan de andere kant duurde het deze keer lang voordat mensen duidelijkheid wisten te krijgen over wat er precies gaande was en bleven ze onder meer hangen in details die in de werkelijkheid helemaal geen grote crisis zouden vormen.

Ransomware zonder versleuteling

Over de technische kant van de oefening was nagedacht, bleek uit gesprekken met aanwezigen. Zo werden betalingen door instellingen bijvoorbeeld niet gesimuleerd, maar moesten er daadwerkelijk bitcoins worden overgemaakt. Daarvoor was wel een alternatieve koers bepaald, dus er werden geen duizenden euro's aan bitcoins overgemaakt. Er werd per instelling bijgehouden of er een betaling had plaatsgevonden en door het gebruik van bitcoins kon iedereen zien dat dat het geval was.

Bij de 'malware' die via de phishingsite werd verspreid, ging het om daadwerkelijke software waarvoor van tevoren eisen waren opgesteld. Zo mocht de software zichzelf niet automatisch starten, moest van tevoren een audit van de broncode mogelijk zijn, mocht de software geen informatie laten uitlekken over bestanden en systemen, en moest het onmogelijk zijn om arbitraire commando's uit te voeren via de software. Deze stond namelijk wel degelijk in verbinding met een command and control-server, waarop onder andere werd bijgehouden hoeveel bestanden waren 'versleuteld'.

Dat gebeurde dan ook niet echt, maar er werd wel bijgehouden welke bestanden niet langer toegankelijk waren. Deze regels waren nodig, omdat de software onder meer terecht zou komen op de systemen van medische instellingen. Ook al ging het dan niet om daadwerkelijke malware, her en der sloegen wel antivirusprogramma's aan. Doordat in elke organisatie enkele 'mollen' waren ondergebracht, kon deze programma's echter het zwijgen worden opgelegd.

Er waren ook andere, kleinere scenario's bedacht, bijvoorbeeld voor minder grote instellingen. Die moesten een telefoon op hun netwerk opsporen die door iemand voortdurend werd verplaatst. Een ander subscenario had te maken met achtergelaten usb-drives die door een beveiliger werden gevonden. Daarbij stond de vraag centraal wat vervolgens met die drives moet gebeuren.

Oefening baart kunst

Op de ochtend dat de oefening van start ging, sprak Tweakers met de algemeen directeur van SURFnet, Erwin Bleumink. Op de vraag waarom SURFnet de rol van organisator op zich heeft genomen, zegt hij: "Wij zijn de samenwerking op digitaal gebied van onderzoeks- en onderwijsinstellingen in Nederland en wat we daar zien, is dat we in geval van crisis voorbereid moeten zijn op hoe we moeten handelen. Veel van onze leden zijn wel heel actief met allerlei andere crisissen tot op bestuursniveau te oefenen, neem een gebouwbrand, maar op cybergebied was dit tot een aantal jaar geleden onderontwikkeld." Bovendien zou een 'cybercrisis' wat andere elementen bevatten, bijvoorbeeld dat deze al gauw een campus overstijgt of dat deze zich rap uitbreidt.

Een van de verwachtingen van Bleumink was dat de aan de oefening deelnemende instellingen te maken zouden krijgen met een hoge complexiteit, doordat een 'sectorcrisis' samenvalt met een aanval op ict-systemen. Over de aanleiding voor de oefening zegt hij: "Er vinden dagelijks aanvallen plaats en we weten dat in operationele zin ook goed af te vangen zonder dat er iets gebeurt." Als voorbeeld verwijst hij naar ddos-aanvallen. "Wat we zien is dat zodra dat soort aanvallen wordt gecombineerd met activisme, je ook tegen ethische vraagstukken aanloopt. Bijvoorbeeld hoe we omgaan met de privacywetgeving nu datalekken een grotere impact hebben en veel aandacht vragen. Daar moeten we ook op voorbereid zijn. Dat betekent ook dat je het niet alleen operationeel kunt afhandelen en dat het vervelend is dat een dienst het niet doet, maar dat ook imagoschade een rol kan spelen en dat de privacy van mensen in gevaar kan komen. Dus dat zijn vragen die continu opkomen."

Volgens Bleumink speelt ook mee dat de instellingen een grote studentenpopulatie hebben, die in een fase zit waarin uitproberen een grote rol speelt. Daarnaast speelt activisme een rol, waarvoor volgens de directeur ruimte moet zijn, maar wat de veiligheid van de rest van de mensen niet in gevaar mag brengen.

Jacco Neleman, woordvoerder van de Erasmus Universiteit Rotterdam, zei op vrijdag na een eerste evaluatie dat voor de universiteit het testen van de weerbaarheid een van de doelstellingen was en dat men er met betrekking tot de ransomware-infectie 'snel in is geslaagd om het probleem te tackelen'. Hij beaamde dat er 'hele dichte lijnen' tussen de instellingen waren en dat er geen twijfel bestaat over het nut van dit soort oefeningen. "Door dit regelmatig te doen ben je beter voorbereid."