Woensdag 7 februari kreeg deze universiteit te maken met een grote en bijzonder complexe cyberaanval. Doelwit waren de VUB-servers waarop energieverslindende berekeningen van cryptovaluta werden gemaakt. Dankzij de onverzettelijkheid van het ICT Operations team werd de aanval afgeslagen en kon voorkomen worden dat er maar iets gestolen of beschadigd werd. Al ging dat niet zonder slag of stoot.
De handel in cryptovaluta, zoals Bitcoins, is dermate uit de hand gelopen. Er vinden massaal vijandige aanvallen op servers plaats om berekeningen uit te laten voeren en zo cryptomunten aan te maken. Door de rekencapaciteit van andere servers te gebruiken, wordt elektriciteit bespaard. Maar het probleem is omvattender dan een ordinaire energiediefstal. "Het probleem was vooral tijdkritisch omdat de VUB net in de week van de deliberaties zit."
Een veldslag
Xavier Van Moen is Chief Information Officer van de VUB. “Rond 7 uur in de ochtend ontdekten we dat sommige servers trager werkten en dat bepaalde gebruikers geen connectie meer konden maken. Binnen de kortste keren waren 70 van onze ruim 300 servers geïnfecteerd met een virus. Die draaiden door de aanval van de crypto miner op 100% van hun vermogen. De servers van onder andere de diensten financiën en studentenadministratie lagen helemaal plat. Het probleem was vooral tijdkritisch omdat de VUB net in de week van de deliberaties zit, het moment waarop de punten worden ingegeven. Het virus bleek een nieuwe variant. Alle tools die we hebben, malware detectors en virus scanners, hadden het niet herkend. En ondanks dat onze servers alle mogelijke security updates krijgen, slaagde het virus er toch in binnen te dringen. Servers die we in eerste instantie konden herstellen, bleken snel daarna weer besmet. Het leek een processie van Echternach, een veldslag die we niet konden winnen.”
Gelukkig hebben we zeer dynamische teamleden die hun sociaal leven in dergelijke gevallen opzij kunnen zetten
Tot 4 uur 's nachts
Ondanks de precaire situatie, hielden de teamleden het hoofd koel. Stap voor stap werd het probleem aangepakt. Joachim Verschelden is teamleader van ICT Operations. “Een virus zoekt een zwakke schakel of komt binnen door een gebruikersfout. Wat we dan als eerste doen is het detecteren van het probleem: wat is er aan de hand en hoe kunnen we het beheersen? Pas daarna kunnen we aan een oplossing werken, dat vergt het meeste tijd. Woensdagavond besloten we om alle besmette servers stil te leggen, ze een voor een te isoleren en te cleanen. Daar waren David Leemans, Ruth De Groot en ik van ICT Operations en Steven Opstaele van VUBnet tot 4 uur in de nacht onafgebroken mee bezig. Kevin Biesemans stuurden we naar huis zodat we tenminste één iemand zouden hebben die donderdagochtend nog fris was."
"Dit soort aanvallen is moeilijk te stoppen", gaat Verschelden verder. "We worden ook constant aangevallen. Servers van universiteiten zijn nu eenmaal dankbare doelwitten. Er is continu veel bandbreedte aanwezig en omdat het hoofdzakelijk een open omgeving is, zijn er veel manieren om binnen te raken. Afgezien van criminele aanvallers zoals die van woensdag, zien veel aanvallers dit als een sport. Een 15-jarige met een beetje IT-kennis kan dit. De tools ervoor kan je zo kopen via de donkere kanten van het internet. Morgen kan er weer een aanval zijn. Je kunt dit nooit voor 100% stoppen. Gelukkig hebben we zeer dynamische teamleden die hun sociaal leven in dergelijke gevallen opzij kunnen zetten.”
Goed weggekomen
Ruth de Groot staat in voor de beveiliging van de Windows servers. “We hebben een vermoeden dat de aanval in Polen begon. Steven Opstaele vond namelijk een verbinding met een IP-adres in dat land. Zekerheid geeft dat natuurlijk ook niet, dat kan ook misbruikt zijn. Dit keer ging het niet om bitcoin mining maar om de aanmaak van Nero’s, een vergelijkbare cryptomunt. De laatste tijd krijgen we vooral te maken met dit soort aanvallen. Dit was niet de grootste, wel de moeilijkst te verwijderen. Hopelijk dalen de koersen van die munten snel en zal deze trend stoppen.”
Het is niet omdat we de woorden vrij en eigenzinnig hoog in ons vaandel dragen dat we ook zo moeten omgaan met ons online gedrag.
VUB als proefkonijn
Je vraagt je telkens weer af hoe dit kan gebeuren”, zegt Steven Opstaele van VUBnet. “Daar is nog even het raden naar maar wat we dringend moeten verhogen, is de awareness van de eindgebruiker. Het is niet omdat we de woorden vrij en eigenzinnig hoog in ons vaandel dragen dat we ook zo moeten omgaan met ons online gedrag. Phishingmails mogen dan wel steeds beter gemaakt worden – de dt-fouten van weleer zijn eruit – toch klik ik zelf nooit zomaar op een link zonder dat ik weet waar ik terecht zal komen. En bijlagen mag je nooit openen als je de afzender van de mail niet kent. Maar de VUB kan zelf ook maatregelen nemen. Ik begrijp dat een onderzoeker in een beschermde omgeving toegang moet krijgen tot de server. Maar moet elke medewerker die dan krijgen? Zo creëer je problemen. Ik zie de VUB liever schitteren op een ander vlak, maar ik heb de indruk dat we uitgekozen worden als proefkonijn. In november en december kregen we al als eerste en enige met dergelijke aanvallen te maken. Drie dagen later gingen de aanvallers wereldwijd.”