“In de mail zat een linkje met daarin een virus”, zegt Frank Groenewegen van beveiligingsbedrijf Fox-IT, die betrokken was bij het onderzoek naar de aanval. “Toen dat werd uitgevoerd, zetten ze de deur op een kier.”

Daarna begonnen de aanvallers met het afspeuren van het netwerk van de universiteit, op zoek naar kiertjes om meer bevoegdheden te krijgen. Daarmee zouden de aanvallers het netwerk beter in kaart kunnen brengen en harder kunnen toeslaan.

De eerste maand lukte dat niet, maar half november bleken een paar servers verouderde software te hebben. Daarin zitten vaak beveiligingsgaten waarmee een systeem kan worden gekraakt. Op die manier kregen de hackers op 21 november volledige toegang tot het centrale Windows-netwerk van de universiteit.

Rondstruinen

Vanaf toen konden de aanvallers vrijelijk rondstruinen op het netwerk en bestuurden ze de inrichting ervan. Een week voor de uiteindelijke aanval maakten ze een fout: ze zorgden er per ongeluk voor dat de antivirussoftware van de universiteit een waarschuwing gaf.

Maar nadat het bewuste computersysteem was opgeschoond, werd er geen verdere actie ondernomen, waardoor de aanvallers verder konden. Ze schakelden de antivirussoftware uit, zodat ze niet nogmaals tegen de lamp zouden lopen.

Source