⠠⠵ avukoDuiding en Mitre ATT&CK mapping TK brief PolitieHack
"Zoals gemeld in mijn brief van 27 september"
- 2024-09-27 First reported
"is een politieaccount gehackt"
- Credential Access TA0006 https://attack.mitre.org/tactics/TA0006/
- Initial Access > Valid Accounts T1078 https://attack.mitre.org/techniques/T1078/
"Het lijkt te gaan om de global address list"
- Collection TA0009 https://attack.mitre.org/tactics/TA0009/
- Exfiltration TA0010 https://attack.mitre.org/tactics/TA0010/
"De AIVD en MIVD hebben de politie geïnformeerd over het cyberincident"
- Lijkt er op te duiden dat er geen (of te laat) eigen detectie was.
"[AIVD & MIVD] achten het zeer waarschijnlijk dat een statelijke actor verantwoordelijk is"
- "Zeer waarschijnlijk" is het hoogste niveau van waarschijnlijkheid van de diensten. Uit een recent stuk "Anti institutioneel extremisme in Nederland" (https://www.aivd.nl/onderwerpen/extremisme/documenten/publicaties/2023/05/25/anti-institutioneel-extremisme-in-nederland-een-ernstige-dreiging-voor-de-democratische-rechtsorde):
De AIVD geeft de onzekerheden in deze inschattingen aan door gebruik te maken van ‘waarschijnlijkheidstermen’. Van minst tot meest waarschijnlijk zijn dit: ‘onwaarschijnlijk’, ‘twijfelachtig’, ‘mogelijk’, ‘waarschijnlijk’ en ‘zeer waarschijnlijk’.
Next steps
Concrete duidelijkheid over alle punten waar we nu alleen de algemene "TA" duiding hebben, is relevant voor verdere detectie bij eventuele andere, en toekomstige slachtoffers.
Mitre ATT&CK (https://attack.mitre.org/tactics/enterprise/) heeft voor zover ik kan nagaan zwakke of geen goede adversary technieken en/of mitigatie technieken voor dit type aanval. Die stappen toevoegen gaat het model ook verder helpen.
Bronnen:
- Tweede Kamer brief: https://open.overheid.nl/documenten/dpc-6bb8e12115dcff7c81a03663a4e340f79fb2ec2f/pdf
- Interview met Corpschef Nationale Politie: https://npo.nl/start/serie/nieuwsuur/seizoen-2024/nieuwsuur_4863/afspelen
Marietje Schaake
René
Quantum
RTL Nieuws
Tom Zijlstra
haiku_shelf 
ccinfo.nl
