Russische inlichtingendiensten en een Chinese spionagegroep zitten achter de cyberaanval op het Europees Medicijnagentschap (EMA). Door een instelling in het authenticatiesysteem, konden de hackers tweestapsverificatie misbruiken. Zodoende wisten ze binnen te dringen op het netwerk van de medicijnwaakhond.Dat schrijft de Volkskrant op basis van eigen onderzoek.
Half december vorig jaar werd EMA getroffen door een cyberaanval. Daarbij wisten de aanvallers de hand te leggen op ‘een beperkt aantal documenten van derden’, waaronder interne e-mails. Al snel bleek dat het om stukken van Pfizer en BioNTech ging. Doordat de daders slechts toegang hadden tot één applicatie, weten we dat de daders op zoek waren naar informatie over de werking en toelatingsprocedures van coronavaccins, documentatie die het agentschap heeft ontvangen van farmaceutische bedrijven en betrokkenen bij het vaccinonderzoek. Er werden geen andere informatie- of computersystemen bekeken. Ook werden er geen persoonsgegevens van deelnemers aan de testrondes of medewerkers gestolen. EMA benadrukte dat de bedrijfsvoering op geen enkel moment in het geding was.
Een deel van de gestolen documenten is na de cyberaanval online gezet op een Russisch forum. De Europese medicijnwaakhond waarschuwde eind januari dat niet alle documenten ‘in hun onaangetaste, originele vorm’ waren. “Hoewel individuele e-mails authentiek zijn, zijn gegevens van verschillende gebruikers geselecteerd en samengevoegd, zijn er screenshots uit meerdere mappen en mailboxen gemaakt en hebben door de daders extra titels toegevoegd op een manier die het vertrouwen in vaccins kan ondermijnen”, schreef EMA in een persverklaring.
Tot op heden heeft niemand de verantwoordelijkheid opgeëist voor de aanval op het medicijnagentschap. Duitse media meldden eerder dat ‘een buitenlandse inlichtingendienst’ hiervoor verantwoordelijk is. Een anonieme bron bevestigde deze lezing tegenover de NOS. De Volkskrant zegt te weten wie er achter de aanval zit. Volgens het dagblad gaat het om Russische inlichtingendiensten en een Chinese spionagegroep.
De Volkskrant schrijft dat de bronnen die ze spraken ervan uitgaan dat de Chinezen in het voorjaar van 2020 al toegang hadden tot de interne systemen van EMA. Wat zij daar te zoeken hadden en of er informatie is buitgemaakt, is onbekend. De bronnen gaan er van uit dat de Chinezen ‘tot op zekere hoogte’ succesvol waren.
In het najaar volgden er nieuwe cyberaanvallen. Op dat moment bestookten Russische hackers verschillende medische organisaties. “Ze stuurden geselecteerde EMA-medewerkers een mail die van een collega leek te zijn (spearfishing). Als daarop werd geklikt, lieten ze kwaadaardige software implant achter”, schrijft de Volkskrant. Zo lukte het de hackers om het e-mailverkeer te onderscheppen.
Door de implementatie van tweestapsverificatie wisten de hackers het interne systeem van EMA aanvankelijk niet te infiltreren. Op een gegeven moment zagen ze een e-mail met daarin een zip-file voorbijkomen. Deze bevatte een beveiligingstoken voor een nieuwe medewerker. Russische hackers zagen dit, onderschepten het bestand en koppelden de beveiligingssleutel aan hun eigen apparaat.
Op dat moment hadden de alarmbellen moeten afgaan: het is namelijk niet mogelijk om meerdere tokens voor dezelfde gebruiker aan te maken. De medicijnwaakhond had deze optie echter uitgeschakeld, zo zeggen bronnen. Daardoor was EMA kwetsbaar voor een cyberaanval van buitenaf. Doordat de Russische hackers hun IP-adres maskeerden, konden ze wekenlang ongemerkt inloggen.
De bronnen vertellen tegenover de Volkskrant dat Russische hackers niet geïnteresseerd waren in de werking van de coronavaccins van Pfizer/BioNTech en Moderna. De aanvallers zochten naar informatie over de vaccinatiestrategieën van Europese lidstaten en andere landen. Deze info zou de Russische overheid willen gebruiken om het Spoetnik-vaccin te kunnen verkopen. EMA startte deze week met het beoordelingsproces van het Russische coronavaccin.
De bronnen geven aan niet te weten waarom een deel van de gestolen documenten openbaar is gemaakt. EMA vermoedt dat de hackers dit hebben gedaan om de druk op te voeren op de organisatie om zo snel mogelijk meer nieuwe coronavaccins goed te keuren. “Ondanks deze urgentie is er in de EU altijd consensus geweest om de hoge kwaliteitsnormen niet in gevaar te brengen en om elke aanbeveling te baseren op de kracht van het wetenschappelijk bewijs van de veiligheid, kwaliteit en werkzaamheid van een vaccin, en niets anders”, aldus het medicijnagentschap.
Door een interne audit kwam de cyberaanval aan het licht. Een systeembeheerder zag aan de logbestanden dat een medewerker opvallend vaak buiten kantooruren inlogde op het netwerk.
