LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 62 · 36 minuten

Cyberhelden 62 - F35 jailbreaken en hackers maken sneller exploits dan je kan patchen

In deze aflevering bespreken we drie opvallende nieuwsitems uit de cybersecuritywereld. Allereerst de hack bij Odido, waarbij maar liefst 6,2 miljoen klantrecords mogelijk zijn gecompromitteerd. Daarnaast duiken we in het verhaal rondom Starlink en de Russen: hoe zij Oekraïense identiteiten proberen te misbruiken, en hoe hacktivisten op hun beurt inspelen op die wanhoop. Tot slot bespreken we de opmerkelijke uitspraak van Gijs Tuinman over het jailbreaken van de F-35.

In de deepdive van deze week zoomen we in op APT28 (Fancy Bear), de beruchte Russische threat actor die in staat is om binnen 24 tot 48 uur na publicatie patches te reverse engineren en om te zetten in werkende exploits. Hoe doen ze dat, en wat betekent dit voor je patchmanagement?

Bronnen:
- Odido: https://www.odido.nl/veiligheid
- Starlink: https://x.com/256CyberAssault/status/2021900627916267946
- F-35 Jailbreak: https://www.bnr.nl/nieuws/nieuws-politiek/10594302/uitspraak-gijs-tuinman-over-f-35-jaagt-amerikanen-op-de-kast-stoere-taal-niet-handig
- APT28, Operation Neusploit: https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit
Afbeelding voor Cyberhelden 62 - F35 jailbreaken en hackers maken sneller exploits dan je kan patchen
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

Welkom bij al weer een nieuwe aflevering van Cyber Helden, de podcast waarin ik in gesprek ga met mensen die zich bezighouden met de digitale dreiging. Mijn naam is Ronald Prins en vandaag zit ik gezellig met Mark Alkuijpers aan tafel. Hey hallo. Ja, we doen het even zonder Jelle. Die zit deze week in de Verenigde Staten op de Naval Postgraduate School in Monterey in California.

Vast ook wel lekker weer, net als hier bij mij. En hij is daar aan het kijken hoe ze naar cybersecurity onderwijs een onderzoek aanpakken in een vergelijkbare organisatie waar hij zelf voor werkt. Dus een aflevering met z'n tweetjes. Maar geen zorgen, want we hebben genoeg te bespreken. We gaan het hebben natuurlijk over de hack bij Odido.

We gaan het hebben over Russische Starlink schotels die niet meer werkte en niet rustig graag terug wilden en toen helemaal gefopt zijn door de Oekrines. En nog even wat bijzondere uitspraken van Gijs Tuinman die ik vrijdag geworden voorbij kwam. En als groot verhaal gaan we duiken in hoe APT 28, dat zijn Russische staatshackers, Tegenwoordig gaan we binnen 24 uur een Microsoft patch kunnen reverse engineeren en daar een exploit van weten te maken en mensen gelijk gaan aanvallen. Maar voordat we beginnen, Marco, hoe gaat het daar? Ja, gaat bij mij hartstikke goed, Ronald.

Vorige week een leuke week gehad. We zijn met een grote delegatie van Washington op Cisco Live in Amsterdam geweest. Goed voor de team bonding, maar daarbij ook kritische vragen kunnen stellen over de AI fantasies waar Cisco heel erg hevig in investeert. Aangezien zij over de hele linie alles met AI doen. Is dat vooral marketing of heb je nu ook naar boven gekregen dat ze dat zo kunnen?

Ja, het ligt er een beetje aan wie je het vraagt. We hebben best wel met mensen geïnterviewd en over het algemeen zien mensen ook wel echt de toegevoegde waarde en het beetje als pioneren hoe je het in de praktijk kan toepassen. Alleen, ik zag ook de term staan AI liquid cooling en toen vroeg ik me wel af in hoeverre je AI in liquid cooling nodig hebt. Ik leek later dat het ging over het liquid cooling van de systemen die betrokken zijn bij AI, maar goed, het zit een beetje in hoe ze de woorden gebruiken. Kom maar, hoe is het met jou, Ronald?

Ja, ik ben al een beetje aan het bijkomen van gisteren. Ik was jarig en dat hebben we in de 28 graden lekker met een braai gevierd. Oh lekker, gefeliciteerd. En er varen veel Nederlanders. Je zit toch uiteindelijk als Nederlander in het buitenland weer graag met Nederlander aan tafel.

Vooral dat je dan ook gezellig sametjes in het oranje gekleed naar schaatsen kan kijken. En dat was dus ook erg leuk. Supergoed. Marco, de Odido datalek, heb je het een beetje gevolgd van de week? Ja, zeker.

Ik kreeg ook een mailtje. Dus terwijl ik op Cisco Live stond, kreeg ik een mailtje en dacht ik, goh, wat heb ik nou aan mijn fiets hangen? Ja, 12 februari. Toen begon de Odido allemaal mails te sturen aan hun klanten dat hun gegevens mogelijk zijn uitgelekt in een groot security incident. En het zijn best wel wat gegevens.

Namelijk je naam, je geboortedatum, geboorteplaats, je N. A. W. gegevens, je bankrekeningnummer inderdaad. En het zou dan in dit geval ook om 6,2 miljoen records gaan als alles gelekt is.

Dus nog een beetje vage of dat ook alles te werken uitgelekt is. Ja, ik vond het nogal wat, want ik zat dat te lezen en toen dacht ik van, goh, ik moest gelijk denken aan toen ik een keer op vakantie ging naar Amerika. Toen deed ik van tevoren allemaal transacties, Uber accountje, dan wordt er 1 cent afgeschreven, allemaal van dat soort dingen. En toen werd mijn creditcard geblokkeerd. Dus ik gelijk bellen met de ING.

Dat was een soort preventieve maatregel en waar vroeger zo om, mijn geboortedaten, de laatste vier cijfers van mijn IBAN-nummer en mijn postcode. Toen dacht ik, die controlevraag is dat nu allemaal in deze dataset. Dus ik vond het best wel spannend dat dit gebeurd is. Maar het is wel denk ik hoe jij als tophekker en in deze wereld erover nadenkt. Ik moet altijd gelijk denken, want wat er natuurlijk heel vaak geroepen wordt, is wat het grote probleem met deze hack is.

Met al deze gegevens, daar hebben hackers niet direct wat aan, maar dat wordt dan indirect gebruikt. In andere oplichtingsscheme, phishingcampagnes hebben ze kloppende data van je en daarmee krijgen ze trust, zoals jij dat net ook omschrijft. Ik vraag me dan altijd af hoe vaak gebeurt dat nou? Ik ben er best wel een beetje kritisch op, want ik heb soms de indruk dat wij als security professionals wat strategischer aan het kijken zijn hoe hackers te werk gaan dan dat ze daadwerkelijk gaan. Want wij denken vaak dat ze dit veel meer zullen gebruiken dan dat ze daadwerkelijk gebruiken.

Maar ik wou dat echt even zeker weten. Ik heb zitten zoeken bij revspraak. nl, gewoon bij veroordeelde jongens. En daar komt toch wel naar voren dat inderdaad liedlijsten daarin gehomeld worden. Liedlijsten zijn dus dit soort gegevens waarbij vooral oudere mensen zijn.

Liedlijsten zag je voorbij komen met mensen die geboren zijn in de 40er en de 50er jaren. Dus die zijn nu lekker in de 80, dat zijn makkelijke prooien. Dus dat wordt blijkbaar toch gebruikt. Dus ik moet het een beetje terugnemen. Het is niet helemaal dat ze te overtrokken reageren.

Maar ik denk niet dat jij op het darketlijst zal staan dan, toch? Ik ben iets jonger. Ja, wie weet. Ik hoop het niet. Wat je nu omschrijft is wel heel terecht.

Dus dat het risico in zit voor de mensen zelf. Dat zij benaderd worden en dat er vanuit de aanvaller een vertrouwensband wordt gequaked. Want ik weet genoeg van je en maak wat geld over nu, want problemen of zo. Maar het werkt ook de andere kant op. En dat wordt bijvoorbeeld in het NOS-artikel helemaal niet aangehaald.

De NVB zegt bijvoorbeeld ze kunnen niet inloggen op je bankaccount. Dus wees alleen actief alert op als mensen je bellen en dat soort zaken. Maar wat niet behandeld wordt is wat als nou iemand doet alsof hij jou is. En dan gaat bellen met de betreffende instanties. En een van de activiteiten, er zijn heel veel voorbeelden van in Amerika waar dat heel erg vermist is gegaan, is een stukje SIM-swapping.

Oftewel dat ze bellen met een provider om voor elkaar te krijgen dat ze eigenlijk in feite zeg maar even je SIM-card kan overnemen. Omdat je te snel gesteek is dat je SIM-card kwijt is en dat soort zaken. Als je dan kijkt hoeveel mensen afhankelijk zijn van het tweede factor voor het inloggen via SMS. Ja, dat is wel een aanvalsvector met andere woorden. We hebben nu in theorie genoeg informatie om met Odido te gaan bellen.

En ja, misschien op die manier je dat soort geintjes uit te halen. Ja, ik las wel in de FAQ van Odido dat ze zelf hier extra alert op zullen zijn. En dat zij ook, begrijp je, dat zij ook getarget zullen worden. Wat ik er trouwens niet in teruglas, wat ik heel gek vind, is dat ik nu ook elke keer het getal van 6,2 miljoen records zie. En jij zei in het begin al heel even kort dat het niet helder is of die nu allemaal gedownload zijn.

Of dat hackers in potentie daar toegang toe hadden. Maar het getal van 6,2 miljoen dat kom je dus niet op die best wel uitgebreide pagina tegen die Odido gemaakt heeft in verband met de Lek. Dus ik vraag me af waar dat getal vandaan komt. Nou, nu je dat zegt, eigenlijk een hele goede vraag. Misschien hebben ze dat even boordvoering dat verteld uiteindelijk.

Maar voor jou is het dus ook niet duidelijk of alles nu gedownload is of niet. Of dat het mogelijk alleen maar in potentie toegang was tot al die records. Ja, het is inderdaad nog niet helemaal helder. Ze zijn eigenlijk uit voorzorg al die planten eigenlijk aan het waarschuwen. Omdat ze gewoon volgens mij tot op heden of in ieder geval nog niet gedeeld in de media precies weten hoe groot de blast rate is.

Oftewel hoeveel records er echt zijn gestolen. Dus ze zijn of allemaal gestolen en dan is het goed dat je iedereen gaat waarschuwen of ze zijn niet allemaal gaan stolen. En dan is het misschien eigenlijk nog wel erger en ze weten helemaal niet van wie dan de gegevens even tot gestolen zijn. Dus dan moet je iedereen maar waarschuwen. Terwijl het ook om 100 mensen kan gaan.

Ja, inderdaad. Ja, dus het kan zijn dat het een hele heel veel stress is om uiteindelijk een heel iets wat er eigenlijk wel meevalt. Ja, dat is een beetje gokken. Ik had ook ergens vandaag gehad dat het waarschijnlijk om een Salesforce systeem gaat wat Odido gebruikt. En dat daar dus en dat is dus wat sales mensen gebruiken om alle klanten te kunnen opzoeken.

En af en toe ze een gezellig gesprek met je te kunnen voeren, maar ook inderdaad dus terug te kunnen zien van wat zijn jouw gegevens om te controleren op zeg maar je aan de lijn hangen. Maar ja, in Salesforce, als je admin bent, dan kan ik me voorstellen dat je een dump kan maken van die 6,2 miljoen. Maar als er gewoon credentials gefished zijn van mensen die daar werken, want dat is wat ik nu lees, wat er gebeurd is. Ja, dan is het toch ook heel gek als je bij als je dump kan maken van 6,2 miljoen mensen. Ja, ja, dat je zou zeggen dat een enkel individu niet zoveel rechten zou moeten mogen hebben in de Salesforce systeem.

Dat zou toch een beetje opgeknipt moeten zijn in hoe dat dan ook onderverdeeld is in regio's of weet ik het wat. Want het is echt waanzin. Dit gaat ook echt tegen alle security principes in van mensen. Geen mensen zo min mogelijk rechten en min mogelijk toegang als wat ze nodig hebben voor het uitvoeren van hun werk. Ja, dat is natuurlijk vaker hebben aangehaald.

Ja, dat is... En kun jij voorstellen dat stel dat je gewoon zo'n account hebt en je kan weet ik van de maal wel een 50 te zien, de top 50 aan de hand van de query die je doet in Salesforce, zou het moeilijk zijn om een scraper te maken? Die dat automatisch voor je doet en als we allemaal langslopen? Nee, dat is in principe... Kijk, afhankelijk van hoe de systemen exact werken, maar vaak is er wel een API functie die wordt aangeboden.

Die is niet voor iedereen altijd toegankelijk. Maar dan zou je ook gewoon gebruikersgedrag kunnen nabootsen vanuit een script, waardoor je dus steeds 50 binnenhaalt en dan de volgende 50 en dan de volgende 50, of net hoe het platform je dat aanbiedt. Dus daar is wel wat voor te klussen. Ja, want het kost wel tijd, maar goed, aanvallers hebben tijd, het is weg geautomatiseerd. Dus laat maar lekker draaien.

Ja, het is ook nog niet helemaal duidelijk hoe lang dit nu ook al bezig is geweest. Dus het is de melding gekomen afgelopen donderdag, maar nergens lees ik nog echt terug van, ja, dit is al een week geleden gebeurd of een half jaar geleden. Ja, wat we ook niet weten is van hoe ze het ontdekt hebben eigenlijk, of ze het zelf ontdekt hebben. Omdat hun security goed op orde is, of dat ze benaderd zijn door afpersers, ransomware mensen. Maar er is nog niks gelekt, dus het is niet op dat ergens op het dark web nu teren bijtende data rondgaan.

Nee, ik ben ook nog driftig inderdaad, een aantal van die voorraadbare breaches worden gedeeld af aan het gaan, maar eentjes zijn de vallige en ze paar dagen ook offline, dat is wel een beetje jammer. Dat is een van de grootste waar we als eerste dat soort dingen werden gepost. Marco, dat is niet goed dat je dat zegt, het is goed dat hij offline is juist. Nou, het is goed dat hij offline is, alleen als hij niet offline is kun je het monitoren. Dus dan kun je zien wat er gebeurt.

En nu gaan ze gewoon weer een ander kanaal vinden en ben je niet op de hoogte van dat kanaal. Typische inlichting-man ook, als je een inlichting-officiër op de korrel hebt, dan stuur je me niet gelijk naar huis, dan blijf je me lekker volgen. Dan weet je tenminste wat hij doet de hele dag. Ja, precies. Over leuke inlichting-spelgetjes.

Ik kwam nog wel tegen uit rondom Starlink. SpaceX heeft blijkbaar eindelijk voor elkaar gekregen om Russische gebruikers te filteren van Oekraïense gebruikers en de Russische gebruikers uit te schaken van Starlink op het slagveld. Dus de Russen zaten even zonder en je zou kunnen denken, er zit een GPS in elke Starlink en die wordt ook gebruikt om die satellieten goed te kunnen tracken. Dan zou je ook kunnen zeggen, nou je weet precies waar die zit, dus dan zet ik hem uit of niet. Maar ja, op het beddelveld, ze zitten daar 50 meter tegen over elkaar.

Je hebt geen idee of dat nou een Oekraïense schotel of een Russische schotel is. Dus blijkbaar is Starlink op andere manier gelukt, SpaceX dan, om te ontdekken wat zij nou door de Russen gebruikt en wat zij nou door de Oekraïners gebruikt. Schotels, die hebben ze uitgezet. Ja, daarop aanvullend, ik denk ook dat de Russen op een gegeven moment moeite hadden met het activeren. Want je moet in een regio activeren, dat is vaker je identiteit gekoppeld.

Ik heb zelf ook een Starlink en ik moest dus eigenlijk mijn hele ziel verkopen en bewijzen dat ik in Nederland leef en dan krijg je toegang tot die geografische space in Europa. Dus ik denk dat ze dat voor Rusland bemoeilijkd hebben. Maar er waren opeens mensen die hadden nu zogenaamd aangeboden van, ik fik dat wel voor je. En wij kunnen je helpen met activeren en dan langs de Oekraïnse weg, want de Oekraïners mogen hem wel activeren. En dus hebben een aantal hackergroepen, 256 Cyber Assault, hele mooie naam, had ook 128 kunnen zijn of 512.

Niet iedereen ziet dat gelijk, maar goed, dat is 256 Cyber Assault. En hij heeft zich voorgedaan als meewerkende Oekraïners, die aan de Russische zijde zouden staan, dan betaal een beetje en dan help ik je om jouw Starlink weer aan de praat te krijgen. Dat hebben ze zo slim gedaan, er zijn uiteindelijk 2420 hulpverzoeken ingediend bij de Oekraïners. En ze hebben ook de geolocaties los weten te krijgen. Dus ze weten dus precies waar die Starlink stond, ze weten ook alle details, dus alle serialnummers waardoor ze nu permanent afgesloten kunnen worden.

En dan hebben ze ook nog 6000 dollar binnen gekregen, niet heel veel geld, maar wel leuk dat ze dat hebben gestort nu op rekening van de fundraisers die altijd bezig zijn om Oekraïnense militairen te helpen. En wat ook is, ze hebben 31 Russische sympathisanten in Oekraïne kunnen onderkennen nu. En die gegevens zijn doorgegeven aan de Oekraïnse overheid, dus die zullen wel een bezoekje krijgen, die mensen. Ja, bijzonder. Bijzonder ook dat er nog zoveel mensen eigenlijk dus helpen in deze activiteit.

Want wat ik begrepen heb is dat inderdaad mensen uit Oekraïne dus hun identiteit ze met de zanigsteeks geven aan de Russische soldaten om voor hen te activeren van ja, nee, hij staat nu op mijn naam. Precies. Wat ik ook interessant vond, is dat ik terug las, is dat Oekraïne claimt dat de verstoring van Starlink heeft geleid tot het verstoren van drone- en militaire operaties van de Russen. Dus het heeft ook wel echt directe impact op het slagveld. Ik zat naar Boekestein in de wijk te luisteren en Rob de Wijk ging helemaal uit zijn stekker van hoe kan het toch dat de Russen zo afhankelijk zijn van Starlink en dat ze niet iets anders hebben.

En toen dacht ik, ja, ik vind het helemaal niet zo gek. Kijk, ze hebben heus wel wat anders, maar het werkt niet zo mooi als Starlink. Met Starlink heb je gewoon 400 meegebit down en up en je kan echt alles doen wat je wil. En normaal, zoals ik me kan voorstellen, hoe een militair satellietkommervakker werkt is met verschillende geostagiaire satellieten die je helemaal moet uitrichten. En het werkt gewoon niet zo soepel als Starlink.

Dus het is hartstikke logisch dat ze dit gebruiken. En ook al is het een open netwerk met wat VPN's eroverheen. Dan kan je best wel wat veiligheid inbouwen. Je hebt wel het operationele risico dat SpaceX kan zien waar die terminals uithangen. Ja, ik ben dus benieuwd of hier nu een nieuw kat- en muispel nog verder gaat omstaan.

Want je ziet het is al een beetje een kat- en muispel. Daar gaan ze nu nog andere manieren vinden om Starlink dan toch geactiveerd te krijgen of niet. Ik ben benieuwd hoe het zich gaat ontwikkelen. Het is bijzonder om te zien hoe zo'n burgernetwerk uiteindelijk in een militaire setting heel hard gebruikt gaat worden. Net als de burgerdrones eigenlijk, de hobbydrones.

Dat is denk ik helemaal niet meer relevant. De F35 is ook niet en dat is dan een mooi bruggetje. Ik heb dit er even snel nog tussen gepropt, Marco. Ik kon het niet laten. Ik zag een berichtje voorbijkomen van Gijs Tuiman.

Hij was op gesprek bij BNR, het nieuwsradio, in gesprek met Rob Terwijck. Hij is laatste week al staatssecretaris. Ik denk dat hij nog even wat nieuws zou maken of zo. Maar ja, ik vind het eigenlijk een beetje een uitgeler wat hij gedaan is. Ik ga het eerst laten horen.

Dus nu duurt het best wel lang om bijvoorbeeld een Meteor of een Stormshadow of een Scalpel onder een F35 te krijgen. Het heeft te maken met de generatie van die software. Dat kunnen wij ook zelf. Waarom kunnen we dat zelf? Omdat we heel veel jaren hebben gedaan.

Maar mag dat? Nee, dat gaat niet om. Wat interessant is, als wij dit komende anderhalf, twee jaar in Europa, niet alleen in Nederland, met de Nooren, maar straks ook met de Polen, ons er keihard voor gaan maken, dan zien we vanzelf wel of de Amerikanen kleur gaan bekennen of niet. En ik denk dat ze het gaan. Dat is wel belangrijk, want dan moet je dus inderdaad gaan poken in de stofweer.

Dan ga ik niet zeggen wat ik nooit mag zeggen, maar ik doe het toch? Ik toch maar wel. Ja, uiteindelijk heb je nog iets anders. Je kunt, net zoals je iPhone, kun je een F35 jailbreaken. Meer zeg ik dan jou.

Ja, oké. Nou, daar gaat je garantie. Met je gejailbreakd F35. Als er een lange stickertje nog erop zit, dan... Ja, maar het gaat dus over, wij in Europa maken ook zelf de cruise missiles.

We noemden bijvoorbeeld die Stormshadow. Die wordt door de Engels en Frans samen ontwikkeld en die willen we graag onder de F35 hebben. Amerikanen hebben er wat minder belang bij, dus blijkbaar gaat dat te traag. Dat als we nieuwe software willen hebben om dat eronder te kunnen hangen. En wat hij hier aangeeft is wel ja, maar we hebben die F35 een beetje gehackt.

En nu kunnen we in Europa zelf ook wel onze dingen eronder hangen. Is dat nou wel slim om zo op straat te gooien? Ja, ik zit er even over na te denken, want ik had deze nog niet meegekregen. Super interessant verhaal. Er gaan heel veel dingen in mijn hoofd nu om.

Ik ben vooral benieuwd uit welke hoek dit komt. Hebben wij dit als Nederland gedaan of als Europa? Ik ben super benieuwd naar hoe ze dit gefixt hebben. Of het slim is om dit te zeggen in de media. Ja, het is ook wel een beetje powerplay, toch?

Dat je de Amerikanen gewoon eigenlijk zegt van ja, maar fix dit gewoon. Ja, het is ook risicovol. Maar voor hetzelfde geld zegt de Amerikanen fuck it, dan krijg je ook geen upwijs meer. Doe maar lekker zelf. Ja, dat zou ook kunnen.

Ik weet niet welk spel hierachter zit. Ja, vanuit dat inlichtingperspectief zou je zeggen dat moet je eigenlijk niet delen, want het is toch een stukje van je capabilityprijs geven. Tegelijkertijd laat het ook wel zien hoe sterk we zijn en hoe we onze zaken kunnen fixen. Dus ik vind het wel mooi. Maar Sterk zei me, de Amerikanen zijn ook verdond goed in goede beveiligingen maken.

En Allicht heeft de NEC hier ook grote betrokkenheid bij die hele vliegtuig. Geloof je dan ook zelf maar dat ze kunnen jailbreken? Ja, tegenwoordig is vliegtuigen zo'n bak software. Het kan niet anders dan dat je daar een codepad in kan vinden die ervoor zorgt dat jij kan doen wat jij wil kunnen doen. Ik ben dan wel benieuwd hoe ze, ik ken precies attackchain niet, maar ik vraag me dan wel benieuwd af hoe ze de kwaliteit van het vliegsysteem kunnen garantieren.

Dus als jij zegt ik ga een jailbreken en stel dat is, voor hetzelfde gaat is het gewoon een admin wachtwoord weten dat in de manual dat wachtwoord niet was opgenomen. Dan moet je iemand bellen en dan krijg je 123. 078. Dat zou kunnen, maar als je het iets complexer bekijkt... Ik zou dat eigenlijk vanuit alle software die daarin zo'n ding draait dat dat netjes gesigned moet zijn en zo voor dat je het kan gebruiken en net als op je iPhone.

Maar goed, ik zat ook over na te denken. Dit gaat over interfacing van bepaalde cruise missiles die we eronder willen hangen. Dat is natuurlijk niet zo super gevoelig als telemetriedata waarmee dat ding op afstand contact heeft met andere F-35's echt tijdens een missie in de battlefield. Dat is echt wel goed versleuteld. Ik denk niet dat we als Nederlander zomaar met die crypto wordt kunnen spelen, maar misschien hier blijkt maar wel.

Ieder geval Gijs was er erg trots op. Ja, tof. Hij moest het nog even laten weten in zijn laatste media optreden dat hij het gedaan heeft. Hij is wel drie keer demissionair, dus hij kan weinig naar huis getuurd worden nu denk ik. Oké, dan ons grote verhaal.

En dat gaat dan meer over hoe snel hackers in staat zijn tegenwoordig om patches uit elkaar te trekken. En uit elkaar trekken en dan daarvan dus zoveel informatie weten te vergaren dat ze ook in staat zijn om exploits te lanceren. Het probleem is dat gaat een stuk sneller dan wij aan de blauwe zijde die aan het beveiligen zijn, in staat zijn om patches en andere beveiligingsmechanismen uit te rollen, waardoor ze dus gaan winnen. En ik vond het nieuwtje dat de hackers nieuws die heeft op basis van allerlei security rapporten van de industrie, van de security industrie van 2025, berekend dat 50 tot 60 procent van de nieuwe ontdekte kwetsbaarheden binnen 48 uur alweer een exploit bij gemaakt is. Dat is heel veel.

Ja, dat is heel veel. En dat kan volgens mij niet anders dan dat, en dat is ook niet zo gek om te bedenken natuurlijk, misschien vooral wel de statelijke, maar het hoeft niet per se alleen hun te zijn, maar de statelijke aanvalsgroepen die scrapen automatisch al die databases waar die CVE's in gepubliceerd worden. En ja, en ook misschien al ligt, met de hulp van AI een exploit bouwen. En aan de andere kant moet je dan voorstellen, dan zijn security teams die krijgen soms nog gewoon een mailtje in de mailbox van Ja, er is wat aan de hand. Jij gaat straks even wat meer vertellen over een Microsoft-update in Office.

En die kwetsbaarheden analyseren, gaan ze eens kijken van ja, hoe erg is dat voor ons? Gebruiken we die software? Hoe snel moeten we hierop reageren? En zeker moet je grote corporate voorstellen, zoals een bank of een telco, die hebben tienduizenden werkplekken staan die vinden het doodeeng om zomaar opeens een mitige maatregel, zoals bijvoorbeeld een patch daarop te zetten, wat het zou ook kunnen betekenen als die patch toch niet goed blijft te werken, en dat hebben we ook al zien in het verleden, als het gebeurt, dat die tienduizend mensen niet meer kunnen werken. En als je het echt helemaal verneukt, oh pardon, dan krijgt iedereen een blue screen en dan kan iedereen zijn laptop gaan inleveren.

En dan heb je je eigen ransomware situatie gecreëerd eigenlijk. Ja, een beetje zoals de Crowdstrike, die proongelukken patch iets te snel uitrolde en de testraad niet goed geraakt had. Maar die kon nog op afstand volgens mij alweer gefixt worden, maar als je het echt verkeerd doet, dan moet iedereen met zijn laptop langs de IT-desk en krijgt iedereen een nieuwe uitrol. Dat is wel met z'n thuiszitter te werken. Jij hebt er eentje helemaal al uitgelicht voor ons, wil je daar de luisterijs in meenemen?

Ja, helemaal goed. Ja, 26 januari van dit jaar heeft Microsoft een patch uitgebracht voor een office kwetsbaarheid. CVE voor mensen die het graag willen weten, het nummer 202621509. Dat is een kwetsbaarheid in het RTF-format van Word, dus dat is eigenlijk een heel oud bestandsformaat. Je kunt dat document zo maken dat je een documentje kan opsturen naar iemand en als je die overtuigt om dat ding te openen, dan heb je code execution op het systeem van degene die dat documentje heeft geopend zonder dat ze dat in de gaten hebben.

Maar er is dus wel menselijke handeling nodig, dus je moet het bestandje opklikken. De 26 januari wordt de patch gereleased. 27 januari worden de eerste malicious documenten rondgestuurd. En in 29 januari zijn ze dan ook nog tegen Oekraïne geobserveerd, dus dat ze naar een Oekraïnse target werden gestuurd. Hier heeft onder andere Zeezke er een rapport opgeschreven hoe deze attack chain eruitzag.

En ze hebben met een hoge zekerheid, ze noemen het Operation NoiseSploit, als ik het goed uitspreek, een beetje een samenvoeging van Duits en Engels denk ik. Ze hebben het heel sterk attribeerd aan APT 28, een Russische acteur, ook wel Fancy Bear, Forest Blizzard, Blue Delta. En hoe hebben ze dat nou voor elkaar gekregen? Ze hebben dus zeer waarschijnlijk de patch die Microsoft dan heeft uitgebracht. Die halen ze binnen, daar gaan ze die reverse engineeren en daar gaan ze wat ze noemen dan patchdiffing of bindiffing.

Wat de hele verzekerheid in dit geval heeft Microsoft de kwetsbaarheid bekend gemaakt, maar ook gelijk was de patch beschikbaar. Ja. Dat is eigenlijk de manier hoe je het moet doen, toch? Normaal gesproken inderdaad gaat de patch als eerste eruit en dan later pas zelfs de advisory eruit. Ik weet even niet of hier heel veel tijd tussen zat, maar de patch was er in ieder geval al of eerder of gelijke tijd.

Ja. En dus de acteur die heeft die patch bekeken, dus die hebben die naast het kwetsbaarheidssysteem gehouden en dan de patch ernaast, zeg maar, wat je dan heel goed ziet. Dat is eigenlijk het verschil tussen die twee, daar kunnen we straks weer even wat verder in duiken. Maar wat dan ook opvalt is de tijdlijn, want normaal gesproken eigenlijk patch Tuesday kennen, dat is die maandelijkse patch cycle van Microsoft waarin ze allerlei beveiligingsverbeteringen en verbeteringen aan het systeem zelf uitbrengen, is dit binnen 24 tot 48 uur heeft het plaatsgevonden. Van het reverse engineer tot en met helemaal weaponisation, dat ze dus ook daadwerkelijk die malicious documenten stuurden en dus eigenlijk gewoon ready waren voor de aanval, dat ze dat gewoon hebben gefixt.

Ja, maar dan moet je toch even uitleggen hoe snel je zo'n reverse engineer, dat is een hele complexe taak, hoe krijgen ze dat zo snel voor elkaar? Dat is een goede vraag, ik denk dat ze aan de ene kant gewoon hele technisch sterke mensen hebben, die dat gewoon heel snel kunnen. En aan de andere kant zullen ze waarschijnlijk ook een heel stuk automation hier op plegen. Er zijn wat tools, zoals Bindiff en Hydra en IDA Pro. En wat doen die?

Dat zijn reverse engineering tools, dus die helpen jou in je werk met het uit elkaar halen van een stuk applicatiecode. Dus als je daar een binary, oftewel zo'n patch bijvoorbeeld instopt, dan zie je eigenlijk de machinecode in bijvoorbeeld assembly, dat is een laag low-level taal, of eventueel geconverteerd naar C, dat is een ander sprong meer taal voor de mensen die het niet kennen. Dan kun je dat dan analyseren. En je kunt dan dus de gepatchte en de ongepatchte applicaties op het systeem vergelijk en naast elkaar leggen. En daar waar verschil is, dat is waar de kwetsbaarheid zeer waarschijnlijk zat.

En als je die locatie weet, dus die functie bijvoorbeeld, print iets, dat zou een functiebewijs kunnen zijn, arbitrair voorbeeld, dan zie je dat daar een verschil in zit, dan ga je dat bekijken. Welke code is er gefixt? Wat zou dan de kwetsbaarheid kunnen zijn geweest? Dan kun je dus van daaruit terugwerken naar hoe je dan een exploit kunt ontwikkelen en die dan dus vervolgens kan weaponize. 24 uur tijdlijn, er is dus zeer waarschijnlijk een heel stuk geautomatiseerd analyse heeft daar plaatsgevonden.

En ze hebben zeer waarschijnlijk allerlei al toolchains voor hun aanval. Dus ze hebben waarschijnlijk een heel command and control framework al staan waar ze alleen deze exploit in hoeven te hangen. Waardoor ze eigenlijk ook heel snel die weaponization van de exploit voor elkaar hebben. Maar dan moeten ze ook eventjes even op afstandje naar kijken, moet er dus ook een team mensen eigenlijk op de bank zitten die klaar zitten om te wachten dat er zo'n patch naar buiten komt. Dat is gewoon een out of band patch, dus niet op de normale Tuesday denk ik.

Dus je weet ook niet dat er een patch gaat komen en die moeten dan de tijd hebben om hier erheen te gaan duiken. Ja, klopt. En ja, ik denk dat zij gewoon de newsfeeds eigenlijk scrapen, dus de website van Microsoft en alles. Gewoon daar halen ze de informatie vanaf wat je net ook al aangaf eerder. En dat ze dan eigenlijk zien van oh hier zie ik iets met, actoren doen vaker wel iets met office documenten.

Dus ik kan me voorstellen dat ze graag Microsoft Office vulnerabilities zien, dat ze die in de gaten houden. Ja, en dan eigenlijk een hele automation workflow hebben waarin dat allemaal zo snel mogelijk wordt gefixt voor ze. Ja, nou ja goed, kan ik dat terugvinden en zo'n diffje doen, zodat je kan kijken wat doet die patch nou precies en welke bytes worden er veranderd. Soms hoef je maar één byte te fixen en het is klaar. Dat kan ik me voorstellen dat je dat nog wel eventueel snel kan, maar dan moet je ook alweer een exploit nog voorzien te maken in diezelfde 24 uur die je het uitnut.

Ja, ja dat is best knap. Ja, dus dat doen ze als je het even puur technisch bekijkt doen ze dat heel goed, heel snel. Ik weet ook niet hoeveel automation en je durft bijna niet te zeggen, maar hoeveel AI ze misschien ook hier ook wel niet voor gebruiken, die dat natuurlijk ook heel snel kan. Nou heb je technisch klaarstaan, dan heb je de cyber nerds van aan de Russische zijde die hebben, ik heb hier een exploit, die wil je ook zo snel mogelijk uitnutten. Dus dan moet je eigenlijk al een lijstje hebben klaar liggen naar wie gaan we dan nu een mailtje sturen en dan moet je teksten hebben klaar liggen die verleidelijk zijn waardoor mensen gaan klikken erop.

Ze moeten een attachment zien te maken waar dat aantrekkelijk is. Dus los van al die techniek zit er een veel groter inrichtingsspel omheen. Ja, er zit natuurlijk een enorm ecosysteem omheen en goed eerdere publieke aandacht hebben ook laten zien dat de APT's heel vaak phishing gebruiken en dergelijke met andere woorden dit is gewoon bekend terrein voor ze. Dus ik doe een beetje de aanname dat hier eigenlijk al een hele hoop voor klaar hebben staan. De hele phishing infrastructuur, wat je zegt, de mailtjes.

En ze gebruiken dus ook bijvoorbeeld wat ook opvalt in hun weaponization, ze gebruiken Covenant. En dat is best komisch want Covenant is een super mooie command and control framework open source van de Amerikaanse partij SpectreOps. Ze hebben dat ontwikkeld en waarom vind ik dat interessant? Ja, blijkt toch ook weer dat zij terugvalt op open source tooling. Dus ze hebben eigenlijk een soort klein frameworkje daarmee gebouwd.

En dan was er een mini door, dat is dan een soort backdoor die in de Malicious document uit, dus de exploit die wordt daarin meegeleverd om uit te voeren. Maar waar wordt dit normaal voor gebruikt dan? Ik denk niet om te hacken, maar. Nou Covenant die is geschreven door SpectreOps met heel veel reteaming engagements en pen testing en dat soort zaken. Dus uiteindelijk wordt het gebruikt in de, noem het maar even de goede kant van de zaak.

Dus bedrijven helpen. Alleen ze hebben het open source gemaakt, dus in principe iedereen kan het downloaden. Het werkt best nice. Het is helemaal geschreven in . net, Microsoft ecosystem.

Okschrijfelijk. Ja, ik kan er nog een aflevering over doen. En nou goed, en dus een van hun implants eigenlijk voor dat command and control framework of en implant. Dus hetgeen wat eigenlijk terug naar huis belt van hallo, wat wil je doen, wat wil ik voor je doen? Dat is dus van Covenant.

En dat geeft dus full remote access en post exploitation mogelijkheden. En ja, wat over de phishing trouwens gesproken, wat je zei over die berichten. De phishing is gestuurd in allerlei talen, dus in Engels, Roemeens, Slovaaks en Oekraïns. En werden verstuurd als een hydrometeorologisch center. Dus dat ze vanuit daarvan communiceren.

Weet maar gewoon zeggen weerberichtjes. Maar goed, horen we dit dus. Dus een patch is beschikbaar en binnen 24 uur zit die rust al weer klaar om jou aan te vallen. We zeiden in de inleiding al eventjes van de huidige manier hoe de gepatcht wordt, dat gaat niet werken. Wat zouden bedrijven hiervan moeten leren?

Wat moeten we anders gaan doen? Ik heb hierover nagedacht. Het is een vrij complex probleem om een soort van silver bullet voor te hebben. Ik denk dat het over de hele baseline in je security posture moet zitten. Hou niet te veel vast aan dat je gewoon je patch cycle hebt.

Maar wees ook klaar om een soort noodproces te hebben. Er komt iets binnen. Ik heb een threat intel feed in mijn organisatie of een app in de security afdeling. En zorg ervoor dat als het iets een hoger score heeft, dat je dan maar versneld gaat uitrollen. Als je merkte dat de impact heel groot kan zijn.

In dit geval, het zijn RTF bestanden. Ik dacht eigenlijk ook gewoon Microsoft Word bestanden. Die zou je eventueel in karantäne kunnen zetten, analyseren en dan doorsturen naar gebruikers. Ja, zeker. Dat is ook een hele mooie toevoeging.

Dus het sandbox van die attachments. Zeker als het vanuit onbekende verzenders komt. Het is ook best wel apart als je in een keer van willekeurige mensen op het internet attachment krijgt in je e-mail. Maar goed, als er heel veel mensen al geabonneerd zijn op weerberichten. Ik kan me voorstellen aan het front dat je wel weet hoe het ervoor staat.

Ook qua weer. En dat je die als attachment al ontvangt. Of je alleen maar een from header te spoeven en je zal er doorheen komen. Is het iets complexer terhoudig? Daarom, het is heel lastig om dat goed te spoeven vanuit een legitieme instantie.

En als je een berichtje zou krijgen van een radar bij je 24 plaats van bijrader. Dan zou je eigenlijk naar daar een beetje af moeten gaan. Ja, daarnaast zijn er nog wat zaken zoals, doe een blast radius check. Dus als iemand zijn pc wordt compromised door zijn acteur. Ja, waar kan die persoon allemaal bij?

En hoe groot is dan de impact ook van een bedrijf als iemand zijn endpoint, het systeem waar ze op werken. Als die gepakt is. Dat zijn maatregelen die moet je eigenlijk altijd al doen. Een beetje met die gedachte van, ik weet al dat ik gehackt word of ben al gehackt. Dus wat voor soort andere dingen moet ik gaan.

Je zegt zelf, het patch jezelf moet je maar even niet zo oprichten. Je moet juist andere dingen gaan doen. Het gaat uiteindelijk over de hele linie, je security posture. Want uiteindelijk, het is zoals jij in het begin al aangaf. Het patch je versus de uptime van je bedrijf.

Waarvoor we de hele teststraten hebben. Het is gewoon een complex probleem. Zeker als je een heel groot netwerk hebt om mee te dealen. Dus ik zou het vooral zoeken in alle detectie en preventiemiddelen die we al hebben. Want nu weten we ervan en is het op basis van bindiff.

Maar er zijn natuurlijk ook genoeg zero days waar we ook nog steeds proberen tegen te verdedigen. Dus het is één van de zoveel aanvalsmethodieken. Maar goed, stel nou een. Je krijgt een attachment, je zit malware aan vast. Als iemand erop klikt, dan zou je ook hopen dat je end point agent, dus die moet wel iets hebben draaien.

Dat hij dat ook wel detecteert en aan je sok doorgeeft. Gebeurt hier iets geks nu op deze werkplek? Ja, dit zijn de meer stabiele beveiligingsmaatregelen. Die ongeacht hoe hackers binnenkomen uiteindelijk toch je beschermen. Dus uiteindelijk kom je altijd weer op die detectie neer.

Patch is duidelijk een preventief middel. Ik hoor altijd de NCTV in hun herhaling zeggen, ja, het zijn altijd suckles, eigenlijk die bedrijven die gehackt worden. Want er was een patch beschikbaar en of ze zijn weer bekende wachtwoorden. Nou, ik herhaal nog maar eens, al die preventieve maatregelen, we zijn gewoon niet in staat dat goed te doen. Ja, nee, dat klopt.

Niet 100 procent in ieder geval. Daarom denk ik dat preventief en reactief eigenlijk elkaar heel sterk moeten aanvullen. En wat denk ik ook, ik kom even terug op Covenant. De Covenant, de command and control, het netwerkverkeer. Er zijn volgens mij wat rapporten over hoe je dat zou kunnen detecteren in je netwerk.

En ik denk dat hier ook wel weer een proactieve rol voor de defenders in zit. Dat ze al die open source frameworks, dat ze signatures voor dat verkeer in hun monitoring embedden. Ik weet, bij ons doen ze het allemaal netjes bij internet, daar komt het niet uit. Ik heb nog even een vraag hoe jij met dit onderwerpje aan kwam zetten. Oké, nou, dank je wel.

We gaan afronden. We hebben Jelle wel een beetje gemist, maar het ging ook wel aardig toch, Marco? Zeker, ja. Toch dank Jelle, want je doet altijd heel veel aan de voorbereiding. Ook dat je weer voor ons keurige tekst hebt uitgeschreven.

Oké, iedereen bedankt voor het luisteren. Mochten jullie opmerkingen of vragen hebben, ideeën voor gasten, die kan je allemaal weer melen naar vragen. Hetzaibehelden. nl, ik krijg best veel reacties. Niet altijd alles is geschikt om hier te delen.

Dat is wel positief, maar ik wil die mensen ook niet gelijk verschud zetten van wat ze allemaal gemeld hebben. In ieder geval volgende week hebben we Jelle weer erbij zitten. Elke week kan je naar een nieuwe aflevering luisteren van Zaibehelden. En onze gesprekken met Zaibehelden kun je terug luisteren via Spotify of je eigen favoriete podcast-app. En vergeet ook niet te subscriben, dan krijg je zelf elke week weer een notificatie als er een nieuwe aflevering klaarstaat.

Veel dank voor het luisteren en graag tot volgende keer. En tot de volgende keer.