Aanval TU Eindhoven begon bij ‘infostealer’: software die van alles steelt

• Stan Hulsen

  redacteur Tech

Gestolen inloggegevens van zeker één medewerker en één student zijn gebruikt bij de aanval op de Technische Universiteit Eindhoven die twee weken geleden werd ontdekt, meldde de Volkskrant vanochtend. De gegevens zouden zijn buitgemaakt via software die ‘infostealer’ wordt genoemd.

“Het doel van een infostealer is heel eenvoudig. De naam zegt het al: het steelt informatie”, zegt Pieter Philippaerts, onderzoeker cybersecurity aan de KU Leuven in België. “Dat kan van alles zijn: persoonlijke gegevens, maar bijvoorbeeld ook informatie waarmee aanvallers kunnen inloggen op websites.”

“Als een computer of telefoon is besmet met een infostealer, stuurt het apparaat gewoon heel veel informatie naar de aanvaller”, zegt Harm Griffioen van de TU Delft, ook deskundige op het gebied van cybersecurity. “Dat kan van alles zijn: wat je op WhatsApp typt bijvoorbeeld, of bankgegevens. Maar meestal zijn wachtwoorden voor criminelen het interessantst.”

De TU Eindhoven merkte bijna twee weken geleden “verdachte activiteiten” op zijn netwerk, waarna de universiteit dat direct offline haalde. Daardoor konden studenten niet bij hun e-mail en studiemateriaal, en moesten tentamens worden uitgesteld. Sinds deze week is het onderwijs hervat.

De accounts waarbij de universiteit die verdachte activiteit zag, zijn later door onderzoekers gelinkt aan zo’n infostealer, schrijft de Volkskrant op basis van anonieme bronnen. Hoe de aanvallers aan die gegevens zouden zijn gekomen, is onduidelijk.

De TU Eindhoven doet momenteel nog onderzoek naar de cyberaanval. De resultaten worden op zijn vroegst in april gepubliceerd. Een woordvoerder van de universiteit laat weten niet daarop niet vooruit te willen lopen en daarom niet reageert op de berichtgeving van de Volkskrant.

Het verrast Philippaerts en Griffioen niet dat de hackers met hulp van een infostealer bij de TU Eindhoven zijn binnengedrongen. “Infostealers zijn gewoon een heel simpele manier om gegevens te verzamelen”, zegt Griffioen.

Het is nog onduidelijk wie er achter de aanval zat en ook wat het motief zou zijn geweest. “Het is realistisch dat deze aanval een opstapje was naar een ransomware-aanval”, zegt Philippaerts. Daarbij ‘gijzelen’ hackers een computernetwerk en vragen zij losgeld om het weer vrij te geven.

Een andere mogelijkheid is dat de aanval was bedoeld om onderzoeksresultaten te verzamelen, zegt cybersecurityonderzoeker Michele Campobasso van beveiligingsbedrijf Forescout Technologies, die ook jarenlang onderzoek deed aan de TU Eindhoven. “Het is nu nog speculeren: was het een groep tieners of een meer hoogstaande aanval?”

Omdat infostealers zoveel verschillende gegevens kunnen verzamelen, is het volgens Campobosso lastig om er nu de vinger op te leggen. “Met bepaalde gegevens kun je bijvoorbeeld een bankrekening plunderen, maar ook een computernetwerk binnendringen. Vaak kijken criminelen pas achteraf wat ze met de gestolen gegevens kunnen. Het is vrij opportunistisch.”