Cyberhelden 61 - Hoe China jarenlang westerse telecombedrijven hackte

CYBERHELDEN Welkom bij weer een nieuwe aflevering van CYBERHELDEN. De podcast waarin ik in gesprek ga met mensen die zich bezighouden met de digitale dreiging. Mijn naam is Ronald Prins en zoals altijd heb ik aan tafel Marco Kuipers. Hallo. En Jelle van Haaster.

Hallo. Vandaag hebben we drie nieuwe nieuwtjes en daarna duiken we diep in Salt Typhoon. De Chinese spinageoperatie die op dit moment in Groot-Brittannië veel aandacht krijgt. China zou jarenlang Downing Street telefoons gehackt hebben, maar het verhaal is nogal verwarrend in de media, dus we gaan er eens even goed naar kijken. We gaan uitleggen waarom telecommunicatie- providers zulke aantrekkelijk doelwitten zijn voor inlichtingdienst en hoe deze aanval technisch werkt en waarom Nederland zich hier druk om zou moeten maken.

Maar eerst, hoe is het met iedereen Marco? Ja, gaat hartstikke goed. Ik heb eigenlijk vrij weinig beleefd de afgelopen tijd. Ik heb veel moeten werken en vooral veel quality time hebben gezien, dus ik doe het even lekker rustig aan. En je mistsetting hangt er nog?

Ja, zeker. Als we dan toch daar... Ik dacht ik blijf er deze keer van weg. Ik heb er twee keer achter elkaar over gehad, maar Limburg is ontsloten met de rest van Nederland. Dus er zijn een paar luiden die hebben daar heel veel werk ingestopt.

Dus elke ochtend heb ik 90 burgjes in de public channel met hoe het gaat met iedereen door heel Nederland. Leuk toch? Ja, het is echt hilarisch. Goed, Jelle? Goed, ik heb net een appje gelanceerd, Fit for Defensie.

Dus daar hoop ik mee die 50 of 75-duizend mensen die we moeten gaan werven, dat die in ieder geval door de keuring en de opleiding Fit aan de start verschijnen. Dus dat was een traject van 14 maanden in de vrije tijd. Dus gelukt nu. Cool, dus de Chinese kunnen nu gelijk al vanaf dag één zien waar alle militairen van Nederland wonen? Zeker, als ze mijn appjes comprometteren, dan hebben ze een access vector, zeker.

Het gaat nog als mis, toch, met militairen en sportappjes? Jawel, zeker. Maar dit doet heel weinig aan data verzamelen. Daar ben ik een beetje bang voor om data over mijn gebruikers te hebben. Oké, nou heel goed, heel goed.

Hier regent het. Er was ook hard nodig. Het is heel lang droog geweest. En meer interessantes heb ik hier niet te vertellen. We gaan naar de leuke onderwerpen.

Jullie hebben allemaal mooie nieuwtjes verzameld afgelopen week. Marco, jij mag weer als eerste. Ah, leuk. Ja, wat mij opviel in de media is, in mijn stream kwam binnen dat Frankrijk La Suite numérique, als ik dat heel mooi uitspreek, ik weet het niet, heeft gelanceerd. En wat dat is, een antwoord van Frankrijk op een souverijn office collab suite.

Oftewel, je kunt daarmee in theorie allerlei aspecten van je bedrijfsvoeringsapplicatie vervangen voor een open source alternatief. En nou, is dat op zich, zou je kunnen zeggen het zoveelste initiatief, maar wat ik zo tof vind is dat het vanuit de Franse overheid is gekomen in samenwerking met de commerciële sector. Ze zijn er al een hele tijd mee bezig. En een beetje alle basics zitten er wel in, van instant messaging tot met videobellen, collaborative document editing, data opslag. Van alles zit erin.

En ik blijf het leuk vinden dat dus de Franse overheid gewoon stappen onderneemt. Ze zeggen, we willen souverijn zijn, daar gaan we de werk van maken. Niet te veel lullen, maar poetsen. En daar hou ik al van. En hoe snel hebben ze dit allemaal weten te bouwen?

Nou, wat ik begrepen heb is dat ze met het videobellen al minstens een jaar aan het testen zijn. Maar ik was nog een beetje de git history door aan het gaan van wanneer de eerste commit is. Maar zover was ik nog niet. Maar ze zijn al een poosje bezig. Ga ik ondertussen even opzoeken.

Oké. Ja, dat is wel een mooi bruggetje naar mijn nieuwtje. En dat is dat Willemijn Aerts staatssecretaris gaat worden bij het ministerie van Economische Zaken voor Digitale Economie en Souverainiteit. En veel van de luisteraars zullen Willemijn Aerts wel kennen. Ze is onderzoeker op inlichting en veiligheidsdienst.

Ik heb ze nog een boek overgeschreven. Ze zit al een tijdje in de eerste kamer namens D66. We kennen haar redelijk. En ik weet dat ze digitale thema aan warm hart toedraagt. Ik ben ook wel blij dat het niet zo'n standaard figuur is die al langer niet politiek zit en dan minister of stadswoord.

Maar wat wel extra belangrijk is, is dat ze nu eigenlijk anders gaan inrichten. De vorige digitale staatssecretaris moest dat er een beetje bij doen. Ik kan me nog herinneren, we hadden een dame die moest dan ook nog even zorg dragen voor onze eilanden in het Caribisch gebied. Als bijtaak, ik denk wel een rare combinatie is dat nou toch. Maar het is bij EZ, dus Economische Zaken.

En toch komt digitale veiligheid daar ook onder te vallen. Dus ik ben benieuwd hoe dat dan samen met NZTV bij justitie gaat werken. Maar ze moet dan ook omdat, dat is ook wel logisch bij EZ, kijken naar de kansen van digitalisering voor de economie in onze samenleving. En haar belangrijkste dossier gaat denk ik toch wel worden nu de vermindering van de afhankelijkheid van buitenlandse software en tech bedrijven. Een heel complex thema.

Dus daar is zelfs een zware dop aan te hebben. Maar nogmaals ben ik blij dat Willem Eind gehoord is. Toch is het om nog even in te haken op de commit history van La Suite numérique. De projecten zijn een beetje begin 2025 voor het eerst ingecheckt. Toen was er wel wat code, dus er is al wat langer ontwikkeld.

Ja, een jaartje, zie je? Ja, ja. Nou gewoon Nederlands fork van maken. Hoppakee. Of gewoon gebruik van maken.

Even al die, het zal wel echt in het Frans geschreven zijn, dus dat is toch de raarste bestaling. Ja, ja. Daar hoor je me een beetje eeuw uit denk ik. Jelle, je had ook nog een nieuwtje. Yes.

Natuurlijk dat die digitale veiligheid in Europa natuurlijk best wel currant is. Wat nu ook relatief van aandacht voor is, is dat de Poolse energie sector het stroomnetwerk getarget, dus onderwerp van aanval was, van de Advanced Persistent Threat Sandworm, dus een van de gevaarlijkste EPD's in de wereld waar we het eerder over hebben gehad. En dus daar is een persconferentie over geweest waar de Poolse president op televisie zegt dat ze deze aanval gestopt hebben. Een interessante aanpak ook om dit zo in een persconferentie te doen, maar hun boodschap was, deze aanval is afgeslagen, we hebben onszelf succesvol verdedigd, maar je merkt wel dat vanuit hele CTI, de Cyber Threat Intelligence organisaties, wel heel veel vragen over zijn. Hoe ver is Sandworm gekomen?

Zijn ze binnengedrongen of niet? Het lijkt vanuit Poolse overheid in ieder geval nu zo dat ze niet binnen zijn gekomen, maar waarom ze dan toch rapporteren op deze grootste wijze over als er alleen maar scanning was geweest, is een beetje onduidelijk. Dus je ziet daar nu heel veel reporting over, die wel interessant is om te lezen, denk ik. En had dit ook een artikel 5-gevalletje van de NATO kunnen zijn? Ja, hier heb je heel veel mooie, interessante discussies over.

Het ligt eraan hoe je het interpreteert. Artikel 5 moet inderdaad een gewapende aanval zijn, dus hetzelfde als Duitse jonkers die Nederland binnenvlogen vlak voor de Tweede Wereldoorlog, of tanks die een grens overschrijden. Je merkt in Europa dat we hier een hele discussie over hebben van wanneer zeg je nou dat het een gewapende aanval is? En wat we hebben gezegd in NAVO en EU-verband is, een cyberaanval kan, net op het kan, kan dezelfde schaal aan effecten hebben als zo'n fysieke aanval, en dan kunnen we niet uitsluiten dat artikel 5 ingeroepen wordt, dus dat we met z'n allen gaan reageren. Maar dat laten we natuurlijk bewust vaag wanneer die grenzen gaan overgaan.

Ik wou net zeggen, want het klinkt heel vaag van we kunnen niet uitsluiten dat... Hoe staat de wind vandaag? Ja, maar het is wel als je specifiek de drempel gaat definiëren en gaat zeggen van oké, als je de PLC's van de OT-systemen raakt die, weet ik veel, de transformators aansturen van energiecentralen, dan weet een vijand oké, prima, dan moet ik daaronder blijven, dan kan ik ze heel veel schade berokkenen, maar dan heb ik geen kans dat ze me tegen een tegenaanval uitvoeren. Vandaar dat hier strategisch ambiguïtijd een soort van omarmd wordt. Ja, turn-off.

Je moet een beetje fluide houden in die definitie, vooral niet zorgen dat het hard is en dat je dan ook voor lul staat als je het niet durft in te grijpen, of in te roepen in feite. Hey, nou als er toch onze investatuur gehackt wordt, laten we maar gelijk verder gaan met Salt Typhoon. En hoe China onze westerse telecomnetwerken allemaal gehackt heeft. Het begon dit verhaal, als een aanleiding, Jelle, je bracht het naar voren, is een artikel in de Telegraph. Ik vond het eigenlijk zelf een heel vage artikel.

Daar staan ze ook niet bekend omdat ze vaak de beste spionage cyberverhalen hebben. Je kon het lezen als China hackte de Downing Street ten telefoons. Maar wat heb jij eruit gehaald, Jelle? Ik vond het dus als positioneren het een als groot nieuws, zeg maar. Echt een flashy item, headlines, voorpagina, nieuws.

Maar wat daarachter zit, is gewoon een heel wazig artikel wat niet heel goed geresearched lijkt te zijn. Terwijl over Salt Typhoon inmiddels best wel wat bekend is. Die headline zegt dus eigenlijk dat Boris Johnson, Lis Truss, de burgemeester van Londen, allemaal telefoons gehackt zijn door de Chinezen. En dat deze aanval eigenlijk gericht was op het centrale hart van de Britse overheid. En dat dit alleen maar naar buiten is gekomen omdat de Amerikanen een tip hebben gegeven van deze aanval.

Maar ja, dit artikel is ontzettend verwarrend. En daarmee zorgt het voor heel veel fuss, angst, onduidelijkheid over wat hier nu gebeurd is. En het gaat ook inderdaad constant over dat ze telefoons hebben gehackt. Maar natuurlijk, we weten allemaal dat er heel veel manieren zijn om dezelfde data over telefoons of gebruiksinformatie te krijgen die niet per se inhoudt dat je de telefoon hackt. Daarnaast zijn ze ook heel onduidelijk over de timing, want over Salt Typhoon is best wel een goed rapport verschenen eind vorig jaar.

En daar gaan ze ook niet verderop in. De timings komen wel overeen, dat rapport. Zegt dat Salt Typhoon, de Chinese eenheid die hackt, sinds 2021 bezig was en 2024 onderkend is. Die timings komen wel overheen. Maar Salt Typhoon staat er niet bekend als club die telefoons zelf hackt, maar dat ze eigenlijk alleen maar in de telecom-infrastructuur zitten?

Exact. Dus de hele kenmerking van telefoons hacken lijkt gewoon een verkeerde interpretatie te zijn van wat zo'n eenheid nou daadwerkelijk doet. Maar het is wel interessant om hier wel even wat dieper op in te gaan om aan te tonen van, hoe kan zo'n Chinese inlichtingdienst naar telecommunicatie-providers kijken? Dus hoe zou je deze aanval kunnen doen en wat is hier nu echt gebeurd? Dus daar hebben we best wel veel bron over om hier ietsje dieper op in te gaan.

Dus wat is er dan echt aan de hand, Jelle? Wat er echt aan de hand is, is denk ik dat dit een andere campagne is. Dus ja, als je kijkt naar die rapportage, dat is een officiële advisory, is dat Salt Typhoon, de Chinese hackinggroepering, hoort bij de People's Republic of China natuurlijk, die actief zijn vanuit Beijing en andere steden in China, dat die allerlei campagnes uitvoeren op telecommunicatie-aanbieders. Dus denk aan Nederland voorbeeld zou bijvoorbeeld zijn KPNS-SIGO als een internet service provider, gericht op overheidsnetwerken, ook op transportsector, op militaire infrastructuur en militaire bedrijven. En dat ze eigenlijk over de hele wereld bezig zijn om dit soort infrastructuurposities.

Dus niet per se focussen op echt de organisatie, maar iets meer uitzoomen. Eigenlijk de supply chain aanval, kijken naar al die ketenleveranciers die telecommunicatie mogelijk maken en daar op focussen om daar naar binnen te gaan. En dat doen ze sinds 2021. Dus dit is een vijf jaar oude campagne en ze zijn ontdekt in 2024. Dus het is niet die Chinezen die overal maar gesnapt worden.

Nee, deze hebben een hele tijd in netwerken aanwezig kunnen zijn en dit meer jaren kunnen volhouden. Dus hier spreek je echt over een advanced persistent threat. Denk je dan ook dat dit een overheidsgroep is? Dus niet een paar hackers die wel eens wat leuks doen waar de overheid blij mee is, maar dat dit gewoon echt militairen zitten die op een caserne zitten en een heel ander niveau aan het hacken zijn? Mijn inschatting zou zijn dat dat zeker waar is.

Dit is inderdaad een professionele club die dit meer jaren vol kan houden. Het is heel lastig om met allerlei kleine groeperingen denk ik zo'n effort voor zo'n lange tijd vol te houden en dit ook nog te coördineren en zo lang onopgemerkt te blijven. Dus dat dit wel een geavanceerde dreiging is. En wat je ook ziet in de rapportage, ze worden ook ondersteund door allerlei bedrijven. Ik ga de namen niet voorlezen in het Chinees, dat gaan we niet.

Maar wat je wel ziet in de Engelse vertaling zijn allemaal bedrijven die zitten op netwerktechnologie, op informatietechnologie, de cybersecurity en infrastructuurbedrijven. En die leveren dit dus aan het ministerie van Defensie. Ook hier buiten staan ze bekend als al die standaardnamen uit de cyber threat intelligence industrie. Die heet ook wel Operator Panda, Red Mike of Ghost Emperor. En door een anonieme inlichting bronzen scene in de US official wordt het ook wel gezien als dit was een van de meest succesvolle aanvallen uit de geschiedenis van Chinese cybercampagnes.

Jelle, nog heel eventjes over die andere bedrijven. Dat zijn dus de bedrijven die infrastructuur leveren aan Salt Typhoon of aan de Chinese overheid. En dat zou dan helpen bij het doen van die aanval? Of zijn dit spullen die gewoon bij buitenlandse telco staan waar achterdeurtjes in zitten? Dat zullen mensen nu gaan denken denk ik.

Ja zeker, die nuance is inderdaad dat dit gewoon Chinese bedrijven die spullen leveren aan het Chinese offensieve cyberprogramma. Hier zitten niet de grote bedrijven in waar we het eerder over hebben gehad zoals ZTE en al die spullenboel die we afnemen daar. Maar ze leveren geen hecto's, dit is toch gewoon standaard infrastructuur? Als hacker heb je het ook gewoon werkelijk nodig waar Linux op draait of zo? Ja zeker, en de hoeveelheid van die betrokkenheid is niet helemaal duidelijk maar wel dat het een aanwezige bijdrage is aan het offensieve cyberprogramma.

Dus ik denk niet dat het alleen maar spullenboel is, geen webcams en dat is maar dat er ook andere diensten geleverd worden. Marco, waarom zijn die ISPs en de telco's nou zo interessant? Waarom pakken ze niet gewoon liever de telefoons? De vergelijking met waarom ze niet liever een telefoon pakken is niet helemaal een goede vergelijking denk ik. Ik denk dat ISPs en telecom providers gewoon een interessant target zijn vanwege een aantal zaken.

Als je één zo'n telco te pakken hebt, dan heb je toegang tot de data-stromen van een enorme veelheid gebruikers. Zeker als je een beetje een grote ISP pakt. Want ja, potentieel alle telefoonverkeer, netwerkverkeer, et cetera van iedereen die daar klant is, komt daar langs. En als dan dingen ook nog eens bijvoorbeeld een keer niet versleuteld zijn of ze toch nog een beetje naar oudheid zijn blijven hangen of je kunt allerlei metadata uit halen, dat is gewoon echt heel veel goud waard. En als je dan toch een beetje gaat vergelijken met telefoons.

Telefoons worden best regelmatig vervangen. Ik ben niet hoelang, ik ben met mijn iPhone gemiddeld doen, maar ik denk na 2, 3 jaar dan ga ik toch nog eens een keer voor een nieuw telefoon kijken. In de inlichtingeland is 2, 3 jaar een redelijk korte termijn. Dan wil je toch soms wel eens wat langer bezig zijn met iets. En dan is een toegang tot een ISP best wel interessant.

Want dat geeft je een hele mooie positie om gewoon langdurig te blijven kijken naar wat iemand aan het doen is. En kan je dan uiteindelijk, als je daar binnen zit, net zo goed ook de inhoud van de communicatie horen? Ik moet daar een beetje over speculeren, want zoveel weet ik niet van de internals van ISP's af. Maar uiteindelijk, er zijn natuurlijk ook manieren waarop de politiediensten lawful intercept mogen doen. Dat betekent dat er dus ergens in het providernetwerk gewoon spraak voorbij komt.

Dus ja, als je maar diep genoeg in dat netwerk weet te komen, heb je natuurlijk kans dat je daar gewoon mee kan luisteren. Dat zijn dus gewoon de ouderwetse telefoongesprekken, van 06 nummer naar 06 nummer bijvoorbeeld. Bijvoorbeeld? Het is wel versleuteld door de lucht, maar uiteindelijk die telcas aan de achterkant. Die switch je dan natuurlijk al naar elkaar vast.

Ja, zeker. En ergens is die keer onversleuteld. Maar zodra je al WhatsApp calls doet, dan houd je het op de machine. Wordt het wel een stuk lastiger? Ja, wordt het wel denk ik een stuk lastiger, afhankelijk van hoe WhatsApp dat dan exact doet.

En wat je dan wel hebt als je dan niet de inhoud hebt, is dat je wel heel veel metadata hebt. Dus je ziet wel wie heeft in ieder geval netwerkverkeer of contact met wie, hoe vaak, wanneer, het volume van data. En daar kun je toch een hele hoop patroonherkenningen doen. Waar komt het vandaan? Waar gaat het naartoe?

Welke landen? Waar gaat het allemaal erheen? En waar gaat er heen bedoel ik? Welke lijnen over het internet neemt het? En zoals een of andere NSA-generaal Michael Hayden ooit zei, metadata kills people.

Met andere woorden, in de metadata zit eigenlijk gewoon alles wat je ongeveer nodig zou hebben om heel veel te kunnen pinpointen op een persoon. Althans dat is wat ik daaruit haal uit die uitspraak. Dat kan natuurlijk heel erg supportive zijn voor second-operaties. Als je hele dikke pijp hebt met allemaal gesprekken, je hebt geen idee wie je met wie belt. Doordat je één keer bij de telcom binnen zit weet je wel, kan je ieder geval identifiers vinden, waardoor je die ene goede stream eruit kan trekken.

Absoluut, dat denk ik wel althans. Ja, jij moet een hoop denken denk ik. Ja, nou het lijkt me ook wel heel knap als je de hele ISP in de gaten kan houden. Als je een beetje grote ISP hebt die bij wijze van prik een miljoen klanten dataverkeer regelt, als je dat allemaal wilt gaan inspecteren, dan heb je natuurlijk wel een ontzettend processing street nodig. Ik kan me voorstellen dat ze wel een beetje selectief moeten zijn.

Maar ja, het is een hele mooie plek om te zitten. Wat natuurlijk ontzettend handig is, is dat als je één keer mee kan kijken, je kan ook in die lawful intercept systeem zitten. Dan kan je ook achterhalen of jouw eigen Chinese spionnen die rondlopen ook onder de tap staan ondertussen of niet. En wat je dus ook ziet bij die providers is dat de Chinese actoren de lawful intercept systeem te grazen hebben genomen. En daarbij dus toegang hadden tot de systemen, inzicht hadden in de taps die er stonden en ook in de inhoud.

Maar dat is echt wel heel pittig. Dat is niet alleen maar nou ja, als je kunt een beetje zien welke crimineel allemaal getapt wordt. Maar stel je bent China, dan draai je inlichtingoperaties ook fysiek in Engeland. Je hebt daar een aantal Chinese inlichtingoffers hier rondlopen. Sommigen zijn gekend al door de Engelse overheid.

Sommigen zitten misschien heel diep en zijn helemaal niet bekend. En althans, je hoopt dat ze nog geheim hun werk kunnen doen. Maar als je in die tapsystemen kan kijken, dan weet je ook gelijk of ze toch misschien wel onder verdenking staan. En dat MI5 heeft aangevraagd, kunnen deze mensen eventjes meekijken wat ze aan het doen zijn. Ja, dan kan je die agenten gelijk terughalen of die inlichting mensen kan terughalen.

En staat mij bij dat we in Nederland zelfs zijn er boetes vergeven aan Nederlandse telcos, omdat ze hun tapsysteem beveiliging niet goed op order hebben. Weet iemand dat nog? Zeker. De KPN heeft toen van de agentschap Telecom een boete gekregen van 450. 000 euro, die had een redteam laten doen.

En volgens dat, kwam erachter dat het redteam binnen de scoop van de test toegang kon krijgen met route access tot de interceptie-infrastructuur. O, oeps. Dat is toch een klein foutje. Op dienst zit je jaren te draaien om een beetje zicht te krijgen op wie die spionnen zijn. Je hebt ze eindelijk één keer in beeld.

En dan gaat zo'n telco die zit een beetje laks te werken met die geheimen die ze krijgen, want zij moet uiteindelijk die tap zetten. En ja, dus als je het één keer binnenzit is het mega waardevol. En dan kunnen zelfs mensen doodgaan als dingen lekker daaruit van wie er onder de tap staan en alles. Een laatste waarom ISP's nog interessant kunnen zijn. Ik had dat benoemd, je hebt met één compromise, oftewel één toegang tot een ISP of telecom provider, dan heb je dus toegang tot heel veel informatie van allerlei gebruikers.

En als we dan even befokussen op internet, je kunt dan ook op internet schaal advisory in de middel doen. Oftewel, kijken of je in het verkeer kan gaan zitten om een systeem te compromiseren. Klinkt als Belgelcom geloof ik, hè? Dat is een heel mooi voorbeeld van hoe dat in de praktijk wel of niet een beetje gebeurd is. Voor die technische luisteraars, wat bedoelen we dan?

Hoe ziet dat eruit? Je kan zien dat bepaalde targets verbinding maken, bijvoorbeeld naar LinkedIn. Jij schiet heel snel pakketjes terug alsof je LinkedIn server bent met alle goede poortnummers zodat de routers het allemaal doorlaten en je kan dus daarmee firewalls omzeilen. En dan kan je Malware naar binnen brengen, heel gericht bij degene bij wie je moet zijn. Was een hele mooie naam voor, ik weet niet hoe die heet, hoe ze dat gebruikt.

Quantum Insert. Ja, Quantum Insert. Nodem heeft dat ook gelekt. Goed, en de relevantie voor Nederland? Hadden we niet ook, als de IAVD en de MIVD vorig jaar volgens mij ook wat over deze aanvalsgroep verteld?

Ja, er is een advisory uitgebracht die gekozyned heet het dan, dus medeel ondertekend door de IAVD en MIVD. Dat is eigenlijk gewoon een heel interessant rapport wat we eigenlijk de afgelopen in ieder geval 20 jaar niet gezien hebben. Er zat zoveel inlichtingendiensten over de hele wereld, een rapport ondertekenen en zeggen, wat hier staan onderschrijven wij ook en wij onderschrijven de dreiging. Dus wat je ziet als je dit rapport opzoekt, en we zorgen dat het linkje in de show notes staat, is dus een voorpaginaatje wat gemaakt is. Daar zie je dus alle logos van alle diensten en van ook de IAVD en MIVD onder staan.

En heel veel Amerikaanse diensten, Britse diensten. Dus eigenlijk dat het hele westen bijna, Dus heel veel landen die target waren of inlichtingen hadden die aan bij heeft getragen dat dit rapport geschreven kon worden, dat die dus gekozyned hebben. In dit geval, dus Nederlands geval, is er dan ook een publicatie op de IAVD website gekomen dat kleinere internet & servers en hosting providers in de Nederlands context ook geraakt zijn door deze aanval van Saltijfoon. Maar ook staat daarbij geschreven, We denken dat deze targets in Nederland minder aandacht hebben gekregen dan die grote targets in bijvoorbeeld de Verenigde Staten. Dus dat ze wat meer gefocust waren op de USA dan hier in Nederland.

Is het interessant om misschien dan ook eventjes de diepte in te gaan? Want er is best veel bekend gemaakt dankzij deze advisories. Marco, kan je ons een beetje meenemen in hoe Saltijfoon te werk gaat? Ja, sure. Als we beginnen bij met hoe ze de toegang hebben gekregen, dan stuimen we er toch wel weer een beetje tegen de borst dat het gebeurd is aan de hand van bekende CV's op edge devices.

Met andere woorden, het waren allemaal publieke kwetsbaarheden, op apparatuur die gepetst hadden moeten worden of vervangen. Er zijn dus geen zero days gebruikt, voor zover dat zo bekend is. Maar allemaal bekende dingen in Ivanti spullen in parallel alto, Cisco, apparatuur, zelfs helemaal wat terug gaat tot 2018, acht jaar oude kwetsbaarheden in ISP's. Die zoals je net al zelf aangaf, toch soms ook met geheim informatie te maken krijgen waar je zou zeggen, je moet het goed voor elkaar hebben. Ja, zelden spul niet op orde.

Dat is hekken dus eigenlijk gewoon helemaal niet zo moeilijk, toch Marco? Je zou kunnen zeggen dat het ook een beetje goed kunnen gokken is. Een wachtwoordje goed gokken en gebruik maken van de laxheid van de organisaties. Dan zit je aan de buitenkant bij de edge routers, dan heb je nog niet echt toegang, toch? Het zal nog een beetje complexiteit achteraan komen.

En dat is inderdaad het vervolgpunt, want inderdaad wordt het daar nog een stuk complexer. Ik betrek was de vergelijking met Harry Potter die onder zijn invisibility cloak in de Forbidden Library loopt. Hij heeft geen idee waar het boek staat wat hij zoekt, maar hij loopt daar een beetje in het duiste rond zonder kaart. En dat ben je dan zeker ook, want je komt aan de buitenkant binnen en je wil ergens, en vanuit gaan dat het ergens binnen in zit, bij de Lovell intercept systemen komen. En dan heb je een hele route te behandelen.

Oké, maar dus de access factor op zich was niet heel complex dat ze binnenkwamen inderdaad? En dan vervolgens kom je binnen en dan wil je het open rationaliseren. Je wil bijvoorbeeld die communicatie kunnen ontscheppen. En dat is dan die invisibility cloak waar je in het duisteren aan het rondlopen bent. Lekker Harry Potter referentie.

Lekker Harry Potter, mooi hè. Ja, en uiteindelijk wil je dus ook voor zorgen dat je binnen kan blijven. Dat noemen we dan ook wel in de vaktermen persistence. En dat je dus blijvend toegang kan krijgen, kan behouden tot de systemen. En ze gebruikt er allerlei manieren voor, zoals zichzelf toevoegen aan access control lists, oftewel de lijsten waar je definiëren staat, wie, wanneer, waar toegang heeft.

En dan voegt ze dus hun eigen IP-adres er toe aan die lijsten. En dat laten ze dan natuurlijk leegtiender uitzien en zo, zodat het dan niet echt opvalt. Of ze zetten extra SSH, dat is een applicatie, een protocol om beheer versleuteld op afstand te doen. En dan zetten ze de nieuwe SSH op op een hoog poortje, wat dan wat minder opvalt. Zodat ze dan uiteindelijk op dat hoge poortje kunnen verbinden.

En dan kunnen ze dus op afstand beheer uitvoeren. Of ze zetten webmanagement open van allerlei devices op hoge poortjes. Of ze hebben met SNMP loperklooien voor de enumeratie. Dat ze ervoor zorgen dat ze met SNMP ook weer config changes kunnen pushen. Voor de luisteraars, SNMP is een vrij oud protocol om de configuratiestatus van netwerkapparaat in te kunnen zien en ook aan te kunnen passen.

Dat hebben ze dus wel vaak gebruikt. En daarnaast hebben ze op Cisco nog hele specifieke technologie gebruikt om allerlei eigen toeltjes te kunnen draaien in de Cisco-apparatuur. Maar het is toch allemaal best wel makkelijk te detecteren. Als je gewoon zit te kijken, bijvoorbeeld die poort die je noemt, opeens een paar hoge poorten erbij die je normaal nooit ziet. Kan het niet zo zijn dat ze dan vier jaar lang binnen zitten en dat niemand opvalt dat er 222222 gebruikt worden?

Dat is een interessante stelling, want ik heb niet heel veel ervaring in het soklandschap. Ik snap er aardig wat van, maar exacte traffic patterns ken ik niet. Maar wat je wel ziet is dat er een hele hoop protocolen zijn die on the fly hoge poortjes met elkaar afspreken. Bijvoorbeeld een NFS of andere protocolen op het netwerk. Dus je praat tegen de standaardpoort aan, dan wordt er een hoog poortje afgesproken en vervolgens begint daar allemaal traffic overheen te vliegen.

Dat geldt voor een hele hoop protocolen. En dan moet je dus eigenlijk in je detectie ook gaan inbouwen van ja oké, als ik dit protocol op een hoog poortje krijg, dan moet je ook al protocol inspectie doen, dan is dat een red flag. Dan heb je nog steeds ook zoiets als beheerder die zeggen van ja maar wacht, ik ga er aanvallen voor zijn. Ik zet niet SSH open poort 22, wat de standaardpoort is, maar ik zet hem open op 2222. En die heeft het alleen vergeet tegen het sok.

En dus ook hier krijg je weer een heel stuk baseline, wat is normaal, wat is niet normaal. Maar sommige dingen vallen echt op als dat opeens is natuurlijk. Maar is het voor zo'n ISP toch niet dat ze geen geld verdienen met security? Toch in principe is het zo goedkoop mogelijk connecties aanbieden aan zoveel mogelijk mensen en dat we het pas denk ik misschien sinds een paar jaar door hebben van, of in ieder geval sinds deze aanval, en dat betwijf ik ook nog wel, dat security er misschien ook bij hoort. Is dat niet veel meer een incentive?

Je zou zeggen als je aangemerkt bent als kritieke infrastructuur, en je onder andere dus ook straks aan een NIS 2 moet gaan voldoen, waarbij dan ook vanuit de overheid wordt gezegd, je moet je spul echt op orde hebben. En je hebt dan ook zo veel klanten van wie je alle gegevens te hebt te beschermen. Ik snap wat je zegt, maar je zou zeggen... Vertelco's geldt eigenlijk allemaal, wat die NIS 2 moeten doen. Die hebben een bijzondere positie, die zijn al kritisch en fitaal.

En dan met Jelle, die zegt net van, ja, dat zijn bedrijven, die maken een rekensrom. KAPN heeft dus een boete gekregen van 450. 000 euro. Ik denk dat niemand meer op straat weet dat ze ooit op een tikker met vingers hebben gekregen. En die 450.

000 euro is een stuk goedkoper dan investeren in jarenlang goede beveiliging. Dus de vraag is, zijn de boetes dan voldoende prikkels op dit moment? Je kan ook moeilijk, kijk ze zijn allemaal vergunningsplichtig, ze mogen opereren omdat ze vergunning hebben, maar je kan moeilijk tegen KAPN zeggen, nou, we gaan nu ook je vergunning maar intrekken, want dan ligt het land ook op zijn reet. Het is best moeilijk om daar een grip op te krijgen. Het is natuurlijk ook een enorm grote netwerk, niet om ze te verexcuseerden, denk ik.

Maar ISP's zijn natuurlijk verstandaard heel irritant. Je moet communicatie mogelijk maken, dus het moet allemaal open zijn. En je hebt natuurlijk enorm veel legacy-systemen, allerlei oude communicatieprotocollen, allerlei koper, fiber, net niet fiber en weet ik voor wat. Ze hebben allemaal andere bedrijven opgekocht die allemaal oude troep nog hadden, wat je maar moet zien te verbinden ermee. Maar ja, security zou inderdaad in de huidige tijdgeest wel iets hoger op het faan mogen staan misschien.

Oké. Marco, even verder nog. Ja, twee aspecten die ik wil behandelen. Dat is aan de ene kant lateral movement en dan aan de andere kant collection en exfiltration. So, lateral movement is de term voor het door het netwerk heen bewegen en dus eigenlijk van netwerk deel naar netwerk deel komen of van apparaat naar apparaat.

En de collection en exfiltration, dat gaat dus eigenlijk puur om de data verzamelen en hoe je dat dan uiteindelijk weer het netwerk uit krijgt. Want als je tien lagen diep zit, moet je daarover nadenken hoe je dat doet. En eigenlijk wat je ziet is dat ze het voor elkaar hebben gekregen in de praktijk allerlei secrets te achterhalen die worden gebruikt voor onder andere de configuratie van bijvoorbeeld Cisco-operatuur. Dus ze hebben daar wachtwoorden achter gehaald waardoor ze de... Omdat die in de configs...

Oké, ik moet even bij het begin beginnen. In oude Cisco-operatuur heb je bepaalde configuraties. De wachtwoorden staan daar een soort van versleuteld in. Eigenlijk is het meer een soort van geencode. Die kun je omreverse tot het wachtwoord.

Met andere woorden, ze konden op die manier allerlei wachtwoorden van netwerk-operatuur in kaart brengen. En daarnaast heb je een bepaalde manier van die dingen inspullen. Daar hebben ze ook alle geheimen voor achterhaald. En zo kreeg ze eigenlijk op het netwerklaag, hadden ze ongeveer alle informatie die ze nodig hadden. Nou, als je dan die toegang hebt, dan kun je je voorstellen dat ze...

En allerlei apparatuur kunnen bewegen, ook alles in de gaten kunnen houden. Ze kunnen traffic manipuleren. Van alles om uiteindelijk bij je eindpositie uit te komen. Namelijk bijvoorbeeld die level intercept systeem. Eénmaal daar aangekomen, gaan ze natuurlijk die level intercept systeem in kaart brengen.

Hoe werkt dat? Hoe kan ik daar data verzamelen? Dat zal waarschijnlijk wat niestoeeling nodig hebben om dat helemaal uit de pluizen voor elkaar te krijgen. En dan krijg je natuurlijk, oké, ik zit over bij wijze van spreken 10, 20, 30 netwerkapparaat uit elkaar verbonden. Een of ander gaartunneltje vanuit China.

Helemaal bij die level intercept. Daar vliegen bij wijze van spreken gigabytes en data overheen. Hoe krijg ik dit eruit? En wat ze dan in de praktijk hebben gedaan, is dat ze misbruik hebben gemaakt van onder andere de verbindingen tussen verschillende ISP's. Dus ISP's zijn onderling bij elkaar verbonden om op geo-schaal bijvoorbeeld telefonieverkeer en andere zaken...

... uit te wisselen. Zodat als je vanuit Frankrijk belt naar Duitsland dat dat netjes werkt. Daar hebben ze vaak misbruik van gemaakt. En die vertrouwensband eigenlijk tussen ISP's.

En verder hebben ze allerlei protocolen gebruikt om al die data te verhullen en te doen alsof het lege team verkeerd is. En losgetrokken van een hackoperatie. Dus aan de ene kant zie je via een apart tunneltje een hele hoop data naar buiten vliegen. Maar dat staat los van waar ze aan het hacken zijn. En als je dus uiteindelijk de exfiltratie dan detecteert, zie je dan ook waar ze uiteindelijk hun command en control doen.

Het is niet echt even een simpele hack en grab of zo. Je gaat naar binnen en haalt je spullen op. Dit is gewoon echt serieus inlichting en vergraging op een hele grote schaal. Ja, correct. En het is ook echt heel professioneel eigenlijk uitgevoerd.

En het ruikt ook een beetje naar alsof het gewoon jarenlang zou moeten hebben kunnen draaien. Wat het trouwens ook volgens de berichtgeving gedaan heeft. Ik vind het wel interessant dat je die aandacht gehad hebt. Voor Belgen komt Britten die erg spioneren mogelijk. Dan hebben we ook nog die aandacht van Snowden voor de NSA en de Five Eyes Capability die dit ook allemaal doen.

Dat vroeg me af hoe zien jullie deze? Zien jullie deze als even groot als dat toen dat naar buiten kwam? En even van aandacht, want ik merk wel, je krijgt wat minder aandacht dan dat hele verhaal over Five Eyes met Quantum Insert en die kant van het verhaal. Het raar is, het lijkt wel of we ons drukker maken om als Westerse landen aan het spioneren zijn. En dat dat uitkomt dan als China aan het spioneren is en ons helemaal te grazen neemt.

Of het is een beetje mur of zo dat het nieuws te vaak voorkomt, dat het daarom niet meer spannend is. En het feit dat wij als Westerse diensten eigenlijk ook gewoon inlichtingoperaties draaiden. Misschien hadden ons niet, realiseerden de meeste mensen niet dat we dat ook doen. Vinden ze dan dat spionage alleen maar fouten landen dat doen? De Nederlandse diensten hebben gekozen, de scientists, als jij dat uitlegt, Jelle.

Waarom maakt Nederland hier zich nou zo druk om? Dit geval is de aanleiding eigenlijk veel specifiek. Nederlandse ISP's, internet service providers, die ook geraakt zijn door Salt Typhoon. Dus vandaar dat je als dienst daar natuurlijk ook wel iets mee wil namelijk informeren. Dus mensen aandacht laten geven aan dit fenomeen van buitenlandse mogendheden.

Die toch Nederland ook op de korrel hebben. En dat je dus daadwerkelijk ook hier iets aan kunt doen. Want dat is misschien wel het meest schrikbare, een van de schrikbare dingen hieruit. Is natuurlijk wat Marco terecht aangeeft, dat die meuk acht jaar oud is. Dat is een acht jaar oude kwetsbaarheid.

En de andere dingen zijn allemaal een jaar, twee jaar oud. Dus het zijn geen unieke super sexy zero days die gebruikt zijn. Het is gewoon ongetwijfeld. Heel goed hekwerk op hoog niveau en lang volgehouden. Maar de basis is gewoon, je gaat gewoon over je patchmanagement.

En je meuk gewoon op orde houden. En een beetje lezen wat het NCSC in zijn advisories schrijft. En wat de bedrijven pushen aan patches. En daar een beetje handig over nadenken. Maar goed, we draaien een beetje een circuitje.

Dat is het vorige keer ook al benoemd natuurlijk. Mijn stelling is gewoon, we zijn niet in staat om die hygiënnen voor elkaar te krijgen. Dus gewoon je handen wassen naar de wc. Dat doen wij ook niet altijd elke keer als je in de kroeg rondloopt. Maar dat doen we met patchmanagement ook niet uiteindelijk.

En hoeveel druk er ook op staat, hoeveel boetjes je ook kan krijgen. Hoeveel mensen je aannemt, hoeveel richtlenen er zijn. Al jaren lang blijkt gewoon dat we niet in staat zijn dat te doen. Dus we moeten echt een andere oplossing zoeken. Ja, dus eigenlijk het accepteren van onzekerheid of cyber onzekerheid of insecurity als default in de wereld, zeg maar.

Nou ja, het is ook een beetje die hele nieuwe, moderne of hippe, bestaat van een paar jaar, visie van zero trust en alles. Zero trust, ja. Dat is wel niet de begin, maar ik geloof hier inderdaad heilig in dat dit een van de dingen is die security echt moet aanvullen. En ik leg dat altijd elke keer uit van investeren in defensieve maatregelen. Dus mensen die niks anders doen, dus we hoeven niet de boel in de lucht te houden.

Mensen die niks anders doen dan de hele dag snuffelen, zie ik opeens een rare poort tussen 2-2-2-2 wat voorbij komt. Want je merkt ook in deze operatie, het is ook niet dat ze even binnenkomen en dat binnen een paar uur al je data weg is. Je hebt hier gewoon weken de tijd voor, voordat die hacker van de buitenkant helemaal binnen is. Dat kost echt wel eventjes. Dus je hebt weken de tijd ook om iets van een spoortje te vinden waaruit blijkt dat er raar verkeer binnen zit.

Dus ik blijf altijd maar wat we de Bluetooth noemen, geef die nou ook wat meer ruimte en laat die helemaal los gaan. En zeker op een hele creatief en vrije manier gaan zoeken en ook echt gaan hunten naar... Ik moet er eigenlijk vanuit gaan dat we gepakt zijn. Laat ik eens kijken waar ik de sporen daarvan kan vinden. Ja, ik vind dat een hele mooie.

En welke ik ook nog wel aan wil vullen daarbij is dat we steeds meer werken met Single Source of Truth in Infrastructure as Code. Dus eigenlijk een soort Git Repo. Vaak is het Git met allerlei deployment pipelines waarin dan alle configs staan. Hoe kan het zo zijn dat elk netwerkapparaat in een netwerk een random config kan draaien? Je kunt daar kennelijk changes maken, dat hebben die adversaries ook gedaan.

En niemand krijgt daarnaar. Terwijl als je werkt vanuit een Git Repo en je toetst continu aan jou Single Source of Truth van dit moet het zijn, hoezo is het nu anders? Ik denk dat je daar een hele hoop wint kan boeken met je detectie ook weer. Maar goed, die Single Source of Truth is ook hackbaar eigenlijk. Als je diep genoeg zit en je komt in de Git en de Git is wel heel lastig, maar het kan, ja absoluut.

En het is heel dynamisch, zeker in zo'n omgeving als een grote telco waar ik denk dat er per dag ontzettend veel changes worden. Ook in filewall-configuraties gemaakt en alles. Ja, meer automation. Maar ik vind ook dat het uiteindelijk niet ontslaat. Want het is bijna alsof we dan zeggen dat patchen geen zin heeft en patchmanagement, en dat laat ik het zo dat je het niet zegt.

Maar het ontslaat je niet om dat alsnog te doen. Inderdaad wel een soort kappen met in je aviïviteit dat je met patchmanagement de hele wereld gaat redden of zoiets. Maar wel van, dat moet je ook doen. Je moet gewoon heel veel doen om cyber security in je netwerk een beetje op orde te houden. Zeker dan voor je public facing components.

Want als je acht jaar oude kwetsbedrijven aan je aan de buitenkant draait, dan is je attack service management ook zwaar ondermaat. Maar als je er een beetje op afstand naar kijkt, we hebben ook economische relaties met China. Ondertussen zien we dus dat ze uitgebreid bij jou binnen zitten. We hebben ook gewoon fysiek contact, diplomatieke uitwisseling met mensen die bij elkaar in vergadering zitten. Je hebt net vanmorgen de Telecraft gelezen.

Je weet van de gast met wie ik nu aan de tabel zit, die heeft misschien allemaal intel volgens mijn telefoon. Moet je daarmee opgaan? Na deze aanval de week daarop, zelfs volgens mij, ging Starmer naar China toe voor een handelsmissie volgens mij. Om iets te hebben over economische relaties inderdaad. Het is dus wel, hoe doe je dit handig inderdaad?

Je kunt inderdaad zo iemand de zijlijn meegeven van, hey, als je even buiten de camera bent, kun je eens even aanspreken op dit wat hier gebeurd is. Dus misschien dat je er wel iets mee doet. Aan de andere kant, hetzelfde als dat we niet naïef moeten zijn dat alle edge devices natuurlijk een voldoende enthousiast tegenstander waarschijnlijk je netwerk wel binnen kan komen met voldoende tijd, middelen en capaciteiten. Dat dit ook gewoon een fact of life is, dat grote staten over de hele wereld, die hacken elkaar. Dus dit is ook weer dat ik denk van hier wat is de realiteit in, dat dit gewoon gebeurt tussen landen.

Ja, en natuurlijk is het stom en je spreekt elkaar daarop aan. Maar spionage is iets van alle tijden en het wordt ook wel het tweede oudste beroep ter wereld genoemd volgens mij. Dus dit is iets van alle tijden. Het enige wat je kunt doen is op elkaar aanspreken of zeggen van hou eens op, doe eens niet. De Engels hebben al vorige maand nog sancties opgelegd toch aan twee bedrijven die hier zijn aan deze campagne.

Nou, dat zou je inderdaad ook kunnen doen. De sancties aanspreken, de diplomaten uitzetten, de personen non crata verklaren, advisories doen om je sector veilig te houden. Dus je hebt een heel palet aan middelen die je kunt inzitten. Het is ook een beetje gewoon een soort gts-tijd toch? Dat je gewoon eigenlijk de hele tijd goede tijden en slechte tijden.

Het is een soort reality show waarbij je elkaar aan de ene kant kunt niet met elkaar, aan de andere kant kun je niet zonder elkaar. Probeer het altijd die edge te hebben. Andersom zitten we natuurlijk net zo goed binnen bij al die Chinese telecoms of niet? Nou, dat zullen we nog vergeten. Oké, gaan we even verder?

Nou, je zou eigenlijk wel kunnen zeggen, dit is toch een van de meest succesvolle campagnes geweest in de afgelopen spionagehistorie, in ieder geval de digitale spionagehistorie, waarbij ze gewoon binnengekomen zijn met acht jaar oude kwetsbaarheden. Is dat een goede samenvatting? Ja, dat is een hele goede samenvatting. Ik vind het ook, ik vond het wel weer een van de meest spannende verhalen eigenlijk, sinds ook al die boeken rondom Stuxnet en zo, de Belgacon. Dit is wel weer eentje van grote proportions.

Maar goed, nu hebben mensen allemaal naar onze podcast geluisterd en nu gaan we wel ge-patchen. Komen de Chinezen dan niet meer binnen? Of pakken ze dan de zero days maar van de plank die ze ook nog hebben liggen? Precies, ik denk dat het uiteindelijk blijft lastig om er tegen te verdedigen. En de zero days, ook die worden gevonden door allerlei partijen.

Maar ja, ik denk dat door gewoon over de hele linie, niet geënoaard regelen te plegen, het niet vast te complex wordt gemaakt. Het ontslaat je niet om je best te doen. Zeker niet, altijd je best blijven doen. Je hebt het lekker positief. Altijd, altijd.

Oké iedereen, ontzettend dank je voor het luisteren. Mocht jullie commentaar hebben op onze pittige stellingnamens of goede tips hebben voor de telcos, hoe ze veilig kunnen zijn en daarmee ook al hun klanten veilig kunnen houden, dan mag je dat allemaal mailen naar vragenhetzijbehelden. nl Elke week kun je naar een nieuwe aflevering van Zij behelden luisteren. Onze gesprekken met Zij behelden kun je terug luisteren via Spotify, maar ook je eigen favoriete podcast-app. En vergeet vooral niet te subscriben, dan krijg je elke week weer een notificatie als er een nieuwe aflevering klaarstaat.

Heel dank voor het luisteren en graag tot de volgende keer. Hé tot de volgende keer. Tot de volgende!