Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Zoeken

  1. Netherlands
  2. Inspiratie
  3. Blog
  4. Cybersecurity
  5. Wie zit er achter de hack? Zo ontmaskeren digitale forensische onderzoekers hun aanvallers

Wie zit er achter de hack? Zo ontmaskeren digitale forensische onderzoekers hun aanvallers

CybersecurityCloud Security

Share

Na een cyberaanval draait het voor bedrijven meestal om herstel: systemen moeten weer draaien, klanten mogen niets merken. Maar achter de schermen begint dan pas het werk van forensische analisten. Hun opdracht: uitzoeken wie erachter zit, en waarom. Dat is cruciale informatie. Voor de getroffen organisatie, maar ook voor de sector of zelfs de gehele maatschappij. Hoe gaan ze te werk? En waarom is die ‘wie’-vraag zo interessant? Een kijkje in de keuken bij de digitale speurders van het CSIRT van Orange Cyberdefense.

Het is kwart over twee ‘s nachts. Een onverwachte piek in het dataverkeer triggert een alert in het SIEM-systeem. Een server maakt verbinding met een onbekend IP-adres in Singapore. De server verstuurt data, veel data. Tegelijkertijd probeert iemand in te loggen op een server die normaal alleen intern beschikbaar is.

Een uur later is de IT-afdeling nog nietsvermoedend. De systemen draaien, klanten merken niets. Pas ‘s ochtends, als een medewerker niet kan inloggen en een cruciale database offline blijkt, gaat het alarm echt af.

Opvallend tijdstip

De forensische analisten die worden ingeschakeld, zien iets opvallends: de eerste commando’s zijn uitgevoerd om 02:13 uur, een tijdstip dat weinig Nederlanders nog aan het werk zijn. De logs tonen een reeks acties die doen denken aan eerdere aanvallen die zijn toegeschreven aan een Chinese APT-groep. Scriptjes in de aanvalscode bevatten foutmeldingen in het Mandarijn.

Wat volgt is geen lineair onderzoek, maar een speurtocht langs digitale kruimels: logbestanden, scripts, foutmeldingen, gedragspatronen. Soms verraadt zelfs het tijdstip van de aanval iets over de dader.

Geen Hollywoodfilm

Bovenstaand scenario komt niet uit een Hollywoodfilm, maar schetst een ‘normale’ werkdag van de digitale forensische experts Paul Treffers en Saskia Kuschke. Als forensisch onderzoeker en incident responder bij Orange Cyberdefense hebben zij tientallen complexe cyberincidenten onderzocht. Een rol waarin ze met precisie en geduld de klant uit de greep van de aanvallers proberen te bevrijden en de schade zoveel mogelijk minimaliseren. Ook zoeken ze naar antwoorden op prangende vragen. Wie zitten er achter de hack? Waarom is deze klant getroffen? En belangrijk: hoe voorkomen we dit in de toekomst?

Waarom zou je willen weten wie je gehackt heeft?

Niet elke organisatie stelt die vragen na een aanval. “Veel bedrijven richten zich op schadebeperking en herstel. De systemen moeten weer draaien, klanten mogen niets merken”, zegt Treffers. “Logisch, maar daar stopt het niet. Stel, je bent een maakbedrijf en je ontwerpen worden gestolen. Dan wil je weten of die over drie maanden opduiken bij een buitenlandse concurrent. Zo’n hack kan strategische gevolgen hebben.”

Kuschke ziet hier een belangrijk verschil in denkwijze. “Organisaties met een hoge cybersecurity-volwassenheid willen áltijd weten wie erachter zit. Niet uit wraak, maar voor inzicht. Als je weet wie je heeft aangevallen, kun je je verdediging daar specifiek op inrichten.” Ze vergelijkt het met een reeks woninginbraken: “Weet je dat er in je wijk een bende actief is die jaagt op high-end elektronica, dan beveilig je je huis anders. In de digitale wereld werkt dat precies zo.”

Er speelt nog iets mee: sociale verantwoordelijkheid. “Bij fysieke criminaliteit doe je aangifte bij de politie. Die verzamelt gegevens over alle inbraken in een gebied, herkent patronen en zet mensen en middelen daar in”, zegt Kuschke. “Met cybercrime werkt het net zo. Door informatie te delen, vergroot je het gezamenlijke inzicht in aanvalstechnieken. En dat helpt uiteindelijk iedereen om ze beter te voorkomen.”

Incident of doelwit?

Een belangrijke scheidslijn in de forensische analyse is het verschil tussen een toevallig slachtoffer en een gericht doelwit. “Soms ben je gewoon op het verkeerde moment op de verkeerde plek”, zegt Treffers. “Een kwetsbaarheid in je VPN werd gescand, iemand kwam binnen, klaar. Maar ben je specifiek benaderd en zijn je kroonjuwelen gestolen? Dan weet je dat de aanval gericht was.”

Dat onderscheid maakt veel uit voor het vervolg. Niet alleen voor het herstel, maar ook voor de beveiligingsmaatregelen die je daarna neemt. “Het is onderdeel van je volwassenwording als organisatie”, zegt Kuschke. “Als je blijft denken dat je slachtoffer was van toeval, terwijl je feitelijk een doelwit bent, blijf je kwetsbaar.”

Van brand blussen naar spoorzoeken

Voordat forensisch onderzoek kan beginnen, moet de situatie eerst volledig onder controle zijn. “Forensisch onderzoek start pas als er grip is op de situatie”, legt Treffers uit. “Je zorgt ervoor dat de digitale luiken naar beneden gaan, zodat de aanvallers niet nogmaals kunnen toeslaan.”

Dat betekent snelle containment: systemen die nog in verbinding staan met de buitenwereld, worden geïsoleerd. “Trek de netwerkstekkers eruit, maar laat de stroom aan”, adviseert Treffers. “Zodra je de stekker eruit trekt, vernietig je mogelijk waardevol bewijsmateriaal. Dat is alsof je door een plaats delict loopt en alle sporen uitwist.”

Pas daarna begint het echte speurwerk. Treffers en Kuschke beschrijven zeven belangrijke bronnen van aanwijzingen:

  1. Tijdlijn-reconstructie: het hart van het onderzoek
    Het opbouwen van een chronologische tijdlijn is cruciaal. “Je kijkt: wat is er gebeurd, in welke volgorde, en vanaf welk startpunt?” zegt Kuschke. “We beginnen daar waar de eerste sporen zichtbaar zijn. Vergelijk het met een lichaam dat wordt gevonden in een hotelkamer. Je onderzoekt eerst die kamer, en werkt dan terug: waren ze eerder in de lobby, de bar, het zwembad?”
    Digitale equivalenten zijn logins, malware-installaties of ongebruikelijke netwerkverbindingen. Vanaf daar zoek je naar waar de aanvaller vandaan kwam, en hoe die door het netwerk is bewogen.
  2. Tijdspatronen en werkritmes
    Het moment waarop een aanval plaatsvindt, kan veel verraden. “Als de activiteit steeds rond 02:00 uur Nederlandse tijd plaatsvindt, is dat misschien midden in de werkdag in Beijing”, zegt Treffers. “Dat kan een sterke aanwijzing zijn over de herkomst of het type aanvaller.”
  3. Gedragspatronen en signature moves
    Iedere groep heeft vaste methodes, van de volgorde waarin systemen worden geraakt tot de specifieke exploits die ze inzetten. APT’s vallen op door een hoge graad van organisatie en voorbereiding. “Russische cybercrime-groepen maken juist meer lawaai en gaan sneller te werk”, zegt Kuschke.
  4. Infrastructuur – minder betrouwbaar dan vroeger
    Vroeger kon je veel leren van de servers en IP-adressen die aanvallers gebruikten. Tegenwoordig is dat lastiger: binnen enkele minuten kan een domeinnaam of server worden vervangen. “IP’s en domeinnamen zijn vluchtig”, zegt Treffers. “We kijken er nog wel naar, maar hechten er minder waarde aan, en kijken meer naar aanvalspatronen.”
  5. Code-analyse en talige aanwijzingen
    In malwarecode vind je soms onbedoelde hints: beledigingen, spelfouten, of commentaar in een vreemde taal. Ook de manier waarop bepaalde functies zijn geschreven, kan typerend zijn voor een groep. “Je ziet terug wat hun favoriete aanvalsmethode is”, aldus Treffers.
  6. Anti-forensische technieken
    Sommige aanvallers proberen bewust sporen te wissen of te manipuleren – bijvoorbeeld door timestamps aan te passen, zodat onderzoekers denken dat gebeurtenissen op een ander moment plaatsvonden. “Paradoxaal genoeg kan juist dát gedrag verraden dat je te maken hebt met een ervaren groep”, zegt Kuschke.
  7. Ervaring en intuïtie
    “Je moet normaal gedrag goed kennen om afwijkingen te herkennen”, benadrukt Kuschke. Dat vergt ervaring én goed getrainde systeembeheerders die patronen aanvoelen. “Als een admin zegt: ‘Dit klopt niet’, dan neem ik dat altijd serieus”, vult Treffers aan.

Honeypots? Niet hun terrein

Sommige security-onderzoekers gebruiken honeypots. Dat zijn een soort digitale loksystemen: een nepserver of -netwerk dat eruitziet als een aantrekkelijk doelwit voor hackers. Het vangt aanvallers als het ware op, zodat onderzoekers hun werkwijze kunnen bestuderen.
Op de vraag of Orange Cyberdefense zelf honeypots inzet, is Treffers duidelijk: “Nee. Wij zijn een pure reactieve dienst. Honeypots worden soms gebruikt voor dataverzameling of onderzoek, maar wij hebben daar geen tijd voor in een incident en we hebben genoeg telemetrie via onze wereldwijde infrastructuur. Bovendien kom je al snel op juridisch glad ijs. Want mag je wel een misdaad uitlokken?”

Honeypot-achtige technieken zouden kunnen worden ingezet, om een aanvaller bewust te vertragen om zo meer sporen te verzamelen. “Maar dat is de uitzondering, niet de regel.” Kuschke vergelijkt het met het verschil tussen medisch onderzoek en patiëntenzorg: “Wij behandelen de patiënt, het incident. Onderzoekers die met honeypots werken, verzamelen data voor de lange termijn. Dat is een ander vakgebied.”

De rol van AI: hulpmiddel, geen vervanger

Op de vraag naar nieuwe technieken noemt Kuschke AI als belangrijke ontwikkeling, maar met nuance. “Je krijgt geen AI die het onderzoek voor je doet. Het begrijpt niet wat er aan de hand is, het kan niet voor zichzelf denken.

Toch ziet Kuschke wel degelijk de meerwaarde van AI in hun werkveld. “Kunstmatige intelligentie kan grote datasets analyseren en een samenvatting geven van de belangrijkste punten. Of alle rapporten die we ooit hebben geproduceerd doorzoekbaar maken op technieken en patronen. Zo kun je AI vragen: ‘Ik heb Citrix en deze tool gezien, zijn er vergelijkbare zaken geweest?’ Daarmee is AI een hulpmiddel, maar absoluut geen vervanging voor de menselijke kennis, ervaring en intuïtie.”

Geen onoverwinnelijke vijand

Ondanks de complexiteit van moderne aanvallen wil Kuschke ondernemers een hart onder de riem steken: “Threat actors zijn goed, maar niet onverslaanbaar. Ook kleine organisaties kunnen hun weerbaarheid vergroten. Zie het als een lange reis naar volwassenheid in cybersecurity. Een waarbij elke stap je minder kwetsbaar maakt.”

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11