Bij het opschonen van mijn mailbox kwam ik dit artikel tegen van TechRepublic over "Octo Tempest": link. Ik dacht dat Tempest in een aflevering van Lois en Clark als titel gebruikt werd, maar dat blijkt Tempus te zijn (ook een crimineel): link.
In ieder geval, je ziet hier dat een groep mensen professioneel bezig is om de boel op te lichten. En dat is steeds professioneler geworden. Het is niet meer alleen het e-mailtje met een vage link, waarbij als je daarop klikt naar een vage site gaat en er geprobeerd wordt om je inloggegevens af te nemen. Nee, je gaat naar een website die lijkt op de standaard website waar je altijd naartoe gaat en je in moet loggen. Maar ze kunnen ook "SIM swaps" initiëren, waardoor berichten die anders op jouw mobiel binnen kwamen nu op die mobiel die in hun bezit is binnen komen. Dus de MFA via SMS: als zij de code kunnen ontvangen biedt dat jou geen extra bescherming. Maar jij bent niet het enige doelwit, er wordt gekeken naar de "zwakke punten" in de organisatie, kijken of ze via support binnen kunnen komen, zodat daar even het wachtwoord "Welkom123" ingesteld kan worden op dat ene account waarmee ze binnen kunnen komen. En waarbij ze dan op andere manier kunnen zorgen dat dat account meer rechten krijgt. Maar ook met bedreigingen "ik weet waar je woont" mensen onder druk worden gezet.
Als je bepaalde "oplichting-diensten" hebt die online kunnen draaien, een ploeg oplichters hebt die allemaal proberen om zwakke plekken aan te boren, dan kun je dit doen. Data-diefstal (afkoopsom om dat niet openbaar te maken), ransomware, de data alsnog openbaar maken. Als het goed is, is dit "de nachtmerrie" van elk bedrijf. En ook elke werknemer, want die leuke jongedame die je via Instagram benaderde, niet zoveel volgers had, kon ze, toen jij de connectie accepteerde, via Facebook zien wie nog meer in jouw connecties stonden en is het uiteindelijk geen jongedame, maar een gast die op die manier wat andere werknemers in beeld brengt en ziet dat daar een ex-werknemer bij zit die mogelijk nog wat jeuk heeft van het bedrijf waar je werkt en zo wel wat informatie los wil laten?
Laat dit een bevestiging zijn van het credo: "bij alles wat je online doet moet je paranoïde zijn". Vertrouw niemand. En dat is niet alleen online, maar ook "die beller die zegt van bedrijf X te zijn". Jij zegt dat je die-en-die bent? Oké, bewijs het maar.
Het blog-item van Microsoft is prijzenswaardig, een uitgebreid en gedetailleerd overzicht van wat ze doen en ook hoe ze het doen: link.
Cloud-hosting wordt steeds populairder en mainstream. Wat betekent dat het voor bedrijven, maar ook voor ZZP-ers interessant kan zijn om zaken in de cloud, bijvoorbeeld via Azure te hosten. En daar Active Directory te gebruiken. En hoewel sommige zaken niet zo ingewikkeld lijken, kun je een foutje maken. Vroeger kon dat nog, maar zoals je in het blog kunt lezen, met veel open-source tools die bedoeld zijn om je eigen zaken te scannen op zwakke punten (zodat je het kunt fixen), kunnen die tools ook door de "bad guys/girls" gebruikt worden om misbruik te maken van die foutieve configuratie. Je kunt veel (ingebouwde) beveiliging gebruiken, maar vaak verhoogt dat het kostenplaatje. En omdat een cloud-omgeving vaak toch al redelijk prijzig is, wordt daar nog wel eens op bezuinigd. Neem dit in je kostenplaatje mee, als je daar op bezuinigt, maar er wordt een lek gevonden, je data ligt op straat en je hebt een paar weken nodig om alles weer goed dicht te timmeren: kost het je dan niet meer geld / het vertrouwen wat je klant(en) in je hebben?
Omdat Octo het schijnbaar zo "goed" doet, vallen ze op bij Microsoft, maar zo zijn er nog veel meer individuen en groepen die ook zulk soort acties uitvoeren.
Behalve dat ik het hele artikel goed doorgelezen heb, maak ik hier ook even het overzicht van de tools die gebruikt zijn. Want ze zijn "eigenlijk" bedoeld om voor je eigen spullen te scannen/controleren, zodat je maatregelen kunt nemen. Ik ken bepaalde tools, maar er zijn er veel meer op de markt.
Dus test/gebruik ze zelf ook om je zwakke punten te vinden en te fixen:
- Pingcastle: link.
- ADRecon: link.
- Govmomi: link.
- Pure Storage PowerShell SDK: link.
- Mimikatz: link.
- HEKATOMB: link.
- LaZagne: link.
- Gosecretsdump: link.
- Screenconnect: link.
- Fleetdeck: link.
- Anydesk: link.
- Rustdesk: link.
- Splashtop: link.
- Pulseway Remote Monitoring: link.
- TightVNC: link.
- Tactical RMM: link.
- Tailscale: link.
- Ngrok: link.
- wstunnel: link.
- rsocx: link.
- socat: link.
- Twingate: link.
- Fivetran: link.
- smbpasswd.py, LinPEAS, ADFSDump
- Otter.ai: link.
- privacy.sexy framework
- Jercretz
- TruffleHog
- MicroBurst
Hoe kun je jezelf beschermen?
- Lees eerst maar eens de documentatie "Microsoft Azure Cloud Adoption Framework": link.
- Meervoudige verificatie voor admins: link.
- Tamper protection: link.
En zoals het een goed developer betaamt: blijf op de hoogte van security-zaken. Maar hoe/waar doe je dat?
Onderaan het artikel van Microsoft staan een paar links: