Részletes eseménytanulmány
A Fox-IT technikai jelentése szerint az Eindhoveni Műszaki Egyetem elleni támadás során egy ismeretlen elkövető kiszivárgott VPN-hitelesítő adatokkal többfaktoros védelem nélkül jutott be a hálózatba, majd NTLMv1 visszaélésen és DCSync technikán keresztül teljes körű domain adminisztrátori jogosultságot szerzett. A támadó 91 rendszeren hagyott nyomot, kézi vezérléssel is tevékenykedett, távoli hozzáférési eszközöket telepített (pl. AnyDesk, TeamViewer), és megkísérelte a mentési rendszer leállítását, mielőtt a hálózatot lekapcsolták volna az internetről.
Az Eindhoven Műszaki Egyetem (TU/e) 2025. januári kibertámadásáról készült technikai jelentés szerint egy ismeretlen támadó 2025. január 6-án, délután 14:08-kor sikeresen bejelentkezett az egyetem VPN-hálózatába két felhasználói fiók (account_lp2 és account_lp3) segítségével, vélhetően kiszivárgott hitelesítő adatok révén. A VPN nem alkalmazott többfaktoros hitelesítést, így a támadó akadálytalanul hozzáférhetett a belső hálózathoz.
A támadó ezután feltérképezte a TU/e hálózatát, majd 2025. január 11-én 21:07-kor megszerezte az úgynevezett break-glass fiókot, amely az egyetem legmagasabb szintű jogosultságait biztosította számára. Ezzel gyakorlatilag rendszergazdai jogokat szerzett az Active Directory teljes környezetében. Másnap, január 12-én 00:52-kor megpróbálta leállítani az egyetem biztonsági mentési rendszerét, de 01:17-kor az egyetem lekapcsolta hálózatát az internetről, így a támadás megszakadt.
A Fox-IT jelentése szerint a támadó valószínűleg rá tudta venni az egyik domain controller gépet (SYSTEM_DC4_PROD), hogy visszaváltson az elavult NTLMv1 hitelesítési protokollra, majd ezen keresztül megszerezte és visszafejtette az egyik számítógép fiók jelszóhashét. Ezt követően DCSync támadást hajtott végre a SYSTEM_DC1_PROD nevű domain controller ellen, amelynek során hozzájutott az összes fiók hash-elt jelszavához. Ezen hash-ek felhasználásával – különösen a domain adminisztrátor fiókéval (account_hp1) – a támadó autentikálni tudta magát más rendszerek felé is.
Bár a támadó elméletileg hozzáférhetett az egyetem teljes, titkosítatlan adatához, Fox-IT nem talált egyértelmű nyomokat jelentős mennyiségű adat kiszivárogtatására. Ugyanakkor valószínűsíthető, hogy bizalmas hitelesítési adatok – például felhasználónevek és jelszóhash-ek – kikerültek az egyetem Active Directory rendszeréből.
A támadó nyomait összesen 91 rendszerben találták meg, ezek közül 14 gépen manuális (hands-on-keyboard) aktivitás is történt, míg a többi rendszeren csupán hitelesítési események utalnak jelenlétére. A támadás kiterjedtsége, a megszerzett jogosultságok és az alkalmazott technikák alapján a teljes TU/e domain biztonsági kompromittáltságként kezelendő.