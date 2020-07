Bij een aantal Belgische bedrijven zitten hackers binnen dankzij het Citrix-lek van begin dit jaar. Hun software is gepatcht, maar er blijven achterpoortjes aanwezig.

De Nederlandse beveiliger Fox-IT heeft met eigen onderzoek vastgesteld dat er wereldwijd 3.332 organisaties zijn waar een achterpoortje in de infrastructuur is ingebouwd. Daaronder zitten volgens de organisatie 32 Belgische bedrijven. Al verdient dat cijfer wel enige nuance.

Het gaat om bedrijven die software van Citrix gebruiken, specifiek de Application Delivery Controller en Citrix Gateway. Daar werd eind vorig jaar een lek in ontdekt, maar het kostte Citrix enkele weken om met een patch te komen. Intussen konden hackers hun gang gaan. Maar bedrijven die toen, vaak zonder het te weten, werden gehackt, zijn vandaag nog steeds toegankelijk voor hackers zegt Fox-IT. Ook al hebben ze intussen de update van Citrix geïnstalleerd.

"Bedrijven die de patch nog niet hebben doorgevoerd zijn sowieso kwetsbaar. Maar we hebben vastgesteld dat er ook bedrijven zijn waar hackers achterpoortjes hebben voorzien op Citrix-apparaten," vertelt Frank Groenewegen, Chief Security Expert bij Fox-IT aan Data News. "Die blijven gehackt, ook al is er intussen een patch geïnstalleerd en denken ze dat ze veilig zijn."

IP-adressen, geen bedrijven

Om welke bedrijven het gaat wil Fox-IT om veiligheidsredenen niet zeggen, maar het bedrijf gaat de getroffen organisaties ook niet zelf contacteren. "Wij delen de slachtofferinfo met de nationale CERT's waardoor zij die organisaties in hun land kunnen benaderen," zegt Groenewegen aan Data News.

"Het gaat om meer dan 3.300 bedrijven, die kunnen we niet allemaal benaderen dus doen we dat via de officiële wegen." Voor België is dat via het CCB, waaronder CERT.be valt, dat volgens het securitybedrijf op maandag of dinsdag de informatie kreeg.

Geen lijst ontvangen

Dat klopt niet. Wanneer we donderdagmiddag het CCB contacteren heeft de organisatie geen weet van een lijst van bedrijven aangeleverd door Fox-IT. Pas wanneer het CCB daarop zelf contact opneemt met Fox-IT en vraagt naar de gehackte bedrijven, kreeg het een lijst met IP-adressen, niet van bedrijven. (Zie update onderaan voor meer duiding)

"Het zijn 32 IP-adressen, dat kunnen 32 bedrijven zijn, maar het kunnen er ook 2 zijn," nuanceert Andries Bomans, persverantwoordelijke bij het CCB. "Wij gaan nu zelf kijken om welke bedrijven het gaat en zullen in de komende dagen contact opnemen met hun IT-beheerders om hen te informeren over het probleem."

Het is een detail, maar ook hier klopt er iets niet in de aanvankelijke verklaring die Fox-IT aan Data News gaf. Gevraagd naar welke Belgische bedrijven zoal op hun lijst staan, zonder namen te noemen, spreekt het bedrijf onder meer van een makelaar, een bouwbedrijf en 'een heel gekende speler'. Dat suggereert dat het securitybedrijf weet welke spelers er achter de IP-adressen zitten. Maar tegelijk kan het aan het CCB enkel een lijst met IP-adressen geven, een lijst die het pas doorgaf nadat het CCB er expliciet naar vroeg.

Honeypot

Hoe weet Fox-IT welke bedrijven, of beter gezegd IP-adressen, kwetsbaar zijn? Het bedrijf heeft het probleem onder meer met behulp van een honeypot ontdekt. Dat is een nagemaakt bedrijfssysteem dat met opzet zwakke plekken open laat, in de hoop dat hackers het aanvallen. Zo kan het bedrijf kijken hoe criminelen te werk gaan. "Uiteraard aangevuld met eigen onderzoek, praktijken die we zelf bij klanten zien, en zo kunnen we die achterdeuren identificeren," zegt Groenewegen.

"Via die honeypot leren we de patronen van hackers en hoe ze specifieke backdoors gebruiken. Zo stonden bepaalde poorten open op de getroffen infrastructuur," vult Alexander Thomaere, country manager BeLux bij Fox-IT aan. Vervolgens scant het bedrijf verschillende publiek toegankelijke servers om te kijken of er een achterpoort aanwezig is. Het bedrijf merkt wel op dat het enkel de de backdoors die het zelf kon identificeren via de honeypot worden herkend. Het kan dus ook zijn dat er nog andere malafide activiteiten hebben plaatsgevonden.

Helft niet gepatcht

Een belangrijk detail is dat slechts 52 procent van de Citrix-infrastructuur volgens Fox-IT vandaag gepatcht is. Dat wil zeggen dat hackers in principe dezelfde truc kunnen blijven uitvoeren op 48 procent van de overige servers.

Het voornaamste probleem is dat het voor bedrijven moeilijk te weten is of een hacker is binnengedrongen. "Citrix heeft zelf een scan tool ter beschikking waarmee je kan vaststellen of er mogelijk misbruik is gebeurd. Maar daar heb je ook logbestanden voor nodig die teruggaan tot januari." Een andere optie is een grondig forensisch onderzoek om te kijken of er werd ingebroken en welke data daarbij is gestolen. Maar zoals eerder in dit artikel vermeld is het CCB intussen op de hoogte van de getroffen IP-adressen en zal het die organisaties zelf contacteren.

Update 18.40 uur

Fox-IT laat na publicatie van dit artikel aan onze redactie weten dat het nooit sprak over 32 bedrijven, wel over 32 IP-adressen of servers. Ook zegt het dat het nooit heeft beweerd dat het contact heeft gehad met het Belgische CERT. Wel dat het dinsdagavond naar internationale instanties een waarschuwing heeft uitgestuurd, via de NAT-CSIRT mailinglijst, waarop de meeste CERTs zijn aangesloten. Daarbij deelde het zowel de IP-adressen, als om welke domeinen het gaat.

Data News voegt hier graag zelf aan toe dat er in het gesprek met Groenewegen in onze herinnering geen sprake was van 'IP-adressen'. Omdat er nog enkele onduidelijkheden waren hebben we donderdag om 18.30 uur de heer Groenewegen per mail gecontacteerd voor extra verduidelijking. Daarin spraken we zelf over 32 bedrijven. Die mail kreeg de afgelopen 24 uur geen antwoord om dat te corrigeren of verduidelijken. We hebben hem vrijdagvoormiddag ook drie maal telefonisch proberen te contacteren en ook daar kwam geen reactie op.

