Hackerverhaal is reclamestunt

Nederland staat op zijn kop over het hacken van 39 servers van onbekende overheden, ziekenhuizen en grote bedrijven. De Volkskrant en tal van websites schrijven mekaar over, maar de hele zaak blijkt een reclamestunt van een beveiligingsbedrijf in slechte papieren. Blijkbaar durft niemand te zeggen dat het flauwekul is. Een ordinair komkommerverhaal.

Trojaans paard

Het Nederlandse bedrijf Fox-IT dat gespecialiseerd is in computerbeveiliging lanceerde de afgelopen dagen een bericht dat 25 organisaties (39 servers) in Nederland nog steeds het slachtoffer van hackers zijn of kunnen zijn omdat ze een lek in de Citrix Application Delivery Controller (ADC) en de Citrix Gateway wel gedicht hebben, maar een Trojaans paard vergeten zijn. Citrix Netscaler waar afgelopen januari veel over te doen was bleek gedurende zes maanden lek te zijn geweest en dus gehackt.

Citrix leverde vrijwel meteen patches (lapmiddelen), maar hackers hadden volgens Fox-IT de achterdeur tijdig opengezet. Dit verhaal is een ordinaire reclamestunt van een Delfts bedrijf waarvan de cryptografische afdeling werkt voor de Nederlandse overheid. De stunt volgt op het ontslag van de complete directie door de Britse eigenaar NCC Group wegens een mislukte poging tot management buy-out.

Dozijnen aanvallen

Hackers en spionagegroepen zouden actief de beveiligingsproblemen bij Citrix uitbuiten. Dit is echter weinig plausibel. Een medewerker van de ICT-directie van een grote Vlaamse universiteit gelooft het ook niet. Andere gecontacteerde Belgische netwerkbeheerders die met Citrix werken, doorprikken het verhaaltje ook meteen. ‘Als ze je willen hacken en alles inzetten, dan bestaat de kans dat je voor de bijl gaat’, aldus een netwerkbeheerder. Grote organisaties zien dagelijks dozijnen aanvallen waarbij hackers naar een oude Windows 7 of Windows Server 2003 zoeken om daar ransomware op te zetten om zo de privileges van netwerkbeheerder te bemachtigen en aan de slag te gaan binnen het netwerk van die organisatie. Het overkwam vorig jaar de Universiteit van Maastricht.

Het verhaal van Fox-IT bouwt voort op de angst die het hacken van het Medisch Centrum Leeuwarden opleverde toen in januari bleek dat ze daar via het lek in Citrix gehackt waren. Dus verklaren ze nu zonder bewijs dat het weer prijs is.  ’Zeker 25 Nederlandse organisaties die het lek na het bekend worden van de problemen dichtten, zijn toch gehackt’, beweerde De Volkskrant die duidelijk in de stunt trapte. De volgende dag waren het al 39 servers op de website nu.nl. De bron is telkens een onderzoek van beveiligingsbedrijf Fox-IT. Die weten echter niet wat de schade is. Hoe kunnen ze überhaupt weten welke servers gehackt werden aangezien het niet over klanten van hen gaat? Proberen ze soms zelf te hacken?

Virtueel

Citrix is heel dure software voor heel grote organisaties zoals ziekenhuizen, multinationals, overheden enzovoort. Het dient om via een VPN (virtueel privaat netwerk) op afstand verbinding te maken met servers bij werkgevers. Die verbinding is ten eerste beveiligd (VPN en dus geëncrypteerd) en ten tweede draait de gebruiker een virtuele machine op zijn computer. Dit betekent dat bijvoorbeeld op een MacBook een virtuele Windows-pc met windowstoepassingen kan draaien die enkel virtueel bestaat uit een afgeschermd en beveiligd stuk software, geheugen en opslagcapaciteit op een server.

De pc waar de gebruiker op lijkt te werken bestaat enkel als een stukje rekenkracht op de server van de werkgever. Die virtuele machine lijkt op het netwerk van het bedrijf te staan en kan werken alsof, maar de beveiligingslekken zaten niet in de virtualisatiesoftware, maar in de communicatie met Citrix Netscaler.

Kattenluikje

Citrix kwam heel snel met een reeks updates en patches en verschillende grote gebruikers waaronder Vlaamse ziekenhuizen, sociale secretariaten, ICT-bedrijven en een universiteit bevestigen allemaal dat die meteen geïnstalleerd werden.

Fox-IT, het bedrijf zonder management sedert een paar weken, beweert uit eigen onderzoek vast te stellen dat hackers misbruik maken van het lek. ‘Bedrijven die zogeheten ‘patches’ gebruikten om het probleem te verhelpen, waanden zich veilig maar bleken al gehackt te zijn. De patches werkten daardoor niet, zegt Fox-IT. Frank Groenewegen van Fox-IT.’ Dit blijkt klinkklare nonsens volgens elke kenner van Citrix en computerbeveiliging. Aan de NOS beweerde Groenewegen zelfs dat de hacker ‘wellicht klantgegevens heeft gestolen, of gijzelsoftware heeft uitgerold.’ Helemaal in komkommerstijl verwoordde Groenewegen dat ‘bedrijven en organisaties niet alleen kijken of de ‘achterdeur’ weer dicht is, maar ook of criminelen ‘een onzichtbaar kattenluikje’ hebben geïnstalleerd, waardoor ze nog steeds toegang hebben.’

Spionagedoeleinden

De aanleiding van de spookverhalen is de volgende. Een mogelijke klant van de cryptografie van FOX-IT en dus niet het bedrijf zelf beweerde ‘dat de kwetsbaarheid van Citrix door zeker één staat is misbruikt bij (voorbereidingen voor) spionagedoeleinden’. Het Nationaal Cyber Security Centrum (NCSC), dat valt onder het Nederlandse ministerie van Justitie, waarschuwde eerder deze week voor kwetsbare digitale systemen en noemde expliciet Citrix.

Doch de NCSC praatte over het oude lek van januari dat bijna overal gestopt is. Het interim management van FOX-IT of de Engelse eigenaren achtten het allicht opportuun om de aandacht te trekken met een tabloid-verhaal. Volgens echte experten is het flauwekul.