Home » Digitale aanvallen Oekraïne: een tijdlijn

Digitale aanvallen Oekraïne: een tijdlijn

De afgelopen periode zijn de digitale aanvallen in Oekraïne in het nieuws geweest. Op deze pagina vindt u een chronologisch overzicht van de cyberaanvallen en de daaropvolgende publicaties.

Tijdlijn

Juni 2022

  • 22 juni

Nadat Litouwen een verbod heeft ingesteld op alle doorvoer per spoor van Russische goederen (m.u.v. levensmiddelen en personen) naar Kaliningrad, roepen verschillende activistische groeperingen, o.a. via Telegram, op om de vitale infrastructuur van Litouwen digitaal aan te vallen.

  • 20 juni

Cert-UA waarschuwt voor twee type aanvallen. Bij de ene wordt malafide bestand xxx.doc meegestuurd bij de ander een xxx.rtf. Beide aanvallen zorgen voor een download van een HTML-bestand en misbruiken de kwetsbaarheid CVE-2022-30190. Bij het doc bestand wordt Cobalt Strike malware uitgevoerd en bij het rtf bestand wordt de CredoMap malware ingezet.

Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190.

  • 17 juni

De actor Killnet roept via Telegram verschillende ransomware actoren als Conti en Revil op om gezamenlijk organisaties in de Verenigde Staten, Italië en Polen digitaal aan te vallen.

Volgens een woordvoerder van het Kremlin heeft een distributed denial-of-service (DDoS) aanval er op vrijdag voor gezorgd dat de speech van president Poetin op het International Economic Forum in St. Petersburg met een uur is uitgesteld.

  • 14 juni

De Wit-Russische hacktivistische actor Belarusian Cyber Partisans claimt toegang te hebben tot getapte gesprekken van onder andere de Russische ambassade in Wit-Rusland. Het zou gaan om opnames tussen 2020 en 2021.

  • 10 juni

Hackerscollectief Anonymous beweert een Russische drone fabrikant te hebben gehackt. Hierbij heeft de actor afbeeldingen gepubliceerd van een deel van de bemachtigde informatie.

  • 9 juni

Rusland waarschuwt Westerse landen voor digitale aanvallen indien zij Russische kritieke infrastructuur aanvallen. Dit naar aanleiding van het interview met de Amerikaanse generaal Paul Nakasone door Sky News (zie update van 1 juni op deze tijdlijn).

  • 7 juni

De website van het Russische ministerie van Bouw, Huisvesting en Voorzieningen verwees na een digitale aanval naar een pro Oekrainse bericht: “Glory to Ukraine”. De hackers eisten ook losgeld om het lekken van persoonlijke gegevens van de websitegebruikers te voorkomen.

Volgens RIA, een Russisch staatsnieuwsmedium, bevestigde een vertegenwoordiger van het ministerie dat de site offline was, maar dat gebruikersgegevens niet werden gecompromitteerd.

  • 2 juni

CERT-UA waarschuwt voor voor digitale aanvallen op verschillende Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De e-mails bevatten een document, die een link bevat naar een extern HTML-bestand met JavaScript code. De uitvoering van dit HTML-bestand resulteert in de misbruik van de kwetsbaarheden CVE-2021-40444 en CVE-2022-30190, waardoor een PowerShell commando wordt uitgevoerd. Het PowerShell commando download en voert een EXE-bestand uit, waardoor het systeem besmet raakt met het kwaadaardige programma Cobalt Strike Beacon. Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190

  • 1 juni

In een interview met Sky News bevestigd de Amerikaanse Generaal Paul Nakasone dat de Verenigde Staten offensieve digitale aanvallen heeft uitgevoerd ter ondersteuning aan Oekraine.

Mei 2022

  • 29 mei

Anonymous beweert Wit-Russische overheidswebsites te hebben aangevallen als vergelding voor de mogelijke Wit-Russische steun aan de Russische invasie.

  • 23 mei

Onderzoekers van beveiligingbedrijf Sekoia hebben digitale verkenningsactiviteiten waargenomen van de Russische actor TURLA. De bevindingen komen voort uit eerdere bevindingen van Google’s Threat Analysis Group (TAG), zie ook het bericht van 3 mei 2022 op deze tijdlijn. De activiteiten waren gericht op de Baltic Defense College, de Austrian Economic Chamber en NATO's eLearning platform genaamd JDAL. De Austrian Economic Chamber is in Oosterijk betrokken bij de uitvoering van sancties tegen Rusland.

  • 20 mei

Pro Russische hackers hebben digitale aanvallen uitgevoerd op diverse Italiaanse overheidsinstituties. Op vrijdag 20 mei tweet de Italiaanse ambassade in London dat de website van het Italiaanse ministerie van Buitenlandse Zaken en haar ambassades beperkt bereikbaar zijn door digitale aanvallen.

  • 16 mei

De Italiaanse autoriteiten hebben DDoS-aanvallen van de actor Killnet beperkt. Deze aanvallen vonden plaats tijdens de live-optredens en de stemmingsronden van het Eurovisie Songfestival. In reactie op de mislukte poging heeft de actor aangegeven digitale aanvallen te gaan uitvoeren op websites van organisaties in: Verenigde Staten, Verenigd Koninkrijk, Duitsland, Letland, Roemenië, Esland, Polen, Oekraïne, Litouwen en Italië.

  • 12 mei

De actor KillNet heeft op 12 mei DDoS-aanvallen uitgevoerd op diverse websites van Italiaanse overheidsinstanties en bedrijven.

Op dezelfde dag waarschuwt het CERT-UA voor emails met als onderwerp “Щодо проведення акції помсти у Херсоні!” (“Met betrekking tot de wraakactie Cherson!”). Deze e-mails bevatten een HTM-bestand. Bij interactie met het bestand wordt uiteindelijk de malware "gammaload.ps1_v2” gedownload. CERT-UA schrijft deze aanval toe aan de Russische actor UAC-0010 (Gamaredon).

  • 10 mei

Afgelopen dinsdag, 10 mei, hebben de Europese Unie en internationale partners afkeurend gereageerd op de digitale aanval op het satellietnetwerk Ka-Sat. Deze aaval wordt toegeschreven aan de Russische Federatie. De digitale aanval vond kort voor de Russische invasie op 24 februari 2022 plaats en heeft aanzienlijke gevolgen gehad bij verschillende overheids¬instanties, bedrijven en burgers in Oekraïne. De digitale aanval zorgde ook voor spill-over-effecten bij verschillende lidstaten van de Europese Unie. 

  • 09 mei

Verschillende media melden dat door een digitale aanval Russische satelliettelevisiemenu’s  vlak voor de Victory day parade in Moscow verschillende anti-oorlogsleuzen vertoonden.

  • 07 mei

CERT-UA waarschuwt voor e-mails met als onderwerp “хімічної атаки” (chemische aanval). De e-mails bevatten een link naar een .XLS-document met een macro. Wanneer de macro wordt geactiveerd, download en voert het een malware uit. Hierdoor raakt de computer besmet met het kwaadaardige programma JesterStealer. Het kwaadaardige programma steelt (gevoelige) informatie van de besmette computer en verstuurt het vervolgens naar de aanvaller. 

  • 03 mei

Google publiceert in een blogpost dat zij door verschillende actoren digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

  •  De vanuit Rusland opererende actor APT28 (ook bekend als Fancy Bear) richt zich met een nieuwe malware variant op gebruikers in Oekraïne. De malware wordt per email verspreid via met een wachtwoord beveiligde zip bestand.
  • De organisatie heeft wederom activiteit vanuit de uit Rusland opererende actor Coldriver waargenomen (zie update 31 maart in deze tijdlijn). Volgens Google zou deze actor phishing pogingen hebben gedaan op onder meer een overheidsmedewerkers, politici, NGO's en journalisten.
  • De vanuit China opererende actor Curious Gorge heeft lang lopende campagnes voortgezet tegenover meerdere overheids-, productie-, defensie-, en logistieke-organisaties in Rusland en Oekraïne.  
  • Google heeft digitale aanvallen waargenomen door de aan Rusland gelieerde actor Turla. De actor richtte zich op de Baltische staten en probeerde defensieorganisaties en cybersecuritybedrijven te compromitteren.
  • En tot slot meldt Google dat door de actor Ghostwriter (Belarus) nog altijd actief phishing aanvallen worden uitgevoerd richting Oekraïense burgers.
  • 01 mei

Het Britse ministerie van Buitenlandse Zaken zegt, op basis van extern onderzoek, te weten dat Rusland desinformatie over de oorlog in Oekraïne verspreid via een 'trollenfabriek'. Volgens het ministerie zijn accounts van verschillende politici en specifieke mensen, uit het VK, India en Zuid-Afrika, benaderd.
Het onderzoek laat volgens de Britse experts zien hoe de grootschalige desinformatiecampagne van het Kremlin is ontworpen om de internationale publiek over de oorlog in Oekraïne te manipuleren.

April 2022

  • 27 april

Microsoft heeft een rapport uitgebracht met details over Russische digitale aanvallen die zijn waargenomen tijdens de oorlog tussen Rusland en Oekraïne. Sinds de Russische invasie heeft Microsoft meer dan 200 digitale aanvallen tegen Oekraïense organisaties en burgers waargenomen. Een aantal van deze digitale aanvallen lijken afgestemd te zijn op kinetische militaire operaties, aldus Microsoft. Het rapport bevat een gedetailleerde tijdlijn van de Russische digitale aanvallen en is uitgebracht om organisaties waaronder vitale aanbieders en Rijksoverheid te helpen de weerbaarheid te verhogen.

  • 22 april

De nationale postdienst van Oekraïne, Ukrposhta, is na het introduceren van een nieuwe postzegel, getroffen door een DDoS-aanval. Op de postzegel is een Oekraïense soldaat afgebeeld, die een offensief gebaar maakt naar het nu gezonken Russische oorlogsschip Moskva.

  • 21 april

De Verenigde Staten, Australië, Nieuw-Zeeland, Canada en het Verenigd Koninkrijk plaatsen op de website van CISA een gezamenlijke waarschuwing voor cyber activiteit gericht op de kritieke infrastructuur vanuit Russische statelijke en criminele actoren. Deze activiteiten kunnen plaatsvinden als reactie op de opgelegde sancties, evenals materiële steun die wordt verleend door de westerse bondgenoten en partners.

  • 20 april

De aan Rusland gelieerde actor Shuckworm (ook bekend als Gamaredon en Armageddon) blijft zich voortdurend richten op organisaties in Oekraïne. Het maakt hierbij gebruik van verschillende versies van de malware Backdoor.Pterodo. De frequentie van de aanvallen zorgt dat het een van de belangrijkste cyberbedreigingen blijft waarmee organisaties in de regio worden geconfronteerd.

  • 19 april

CERT-UA waarschuwt voor phishing mails uit hun naam met als onderwerp "Srochno!” (Dringend!). De e-mails zijn gericht op Oekraïense organisaties en bevatten een .XLS bijlage met daarin een macro. Wanneer de macro wordt geactiveerd, download en voert het een bestand uit en raakt vervolgens de computer besmet met Cobalt Strike Beacon malware.

  • 17 april

De activistische Hackgroep KillNet heeft DDoS-aanvallen uitgevoerd op verschillende websites van luchthavens, transport en overheidsorganisaties in Europa. Dit heeft voor sommige organisaties geresulteerd in het tijdelijk niet meer bereikbaar zijn van de website.

  • 12 april

Beveiligingsbedrijf ESET en de Oekraïense CERT CERT-UA hebben bij een aanval op een Oekraïens energiebedrijf nieuwe malware, Industroyer2, ontdekt die zich richt op ICS-systemen. Bij de aanval is ook andere malware gebruikt, waaronder verschillende wipers. Zie voor meer details over deze malware de websites van ESET en CERT-UA. De aanval is volgens ESET en CERT-UA succesvol afgeslagen.

  • 8 april

Op 8 april zorgde een denial-of-service aanval ervoor dat de websites van de Finse ministeries van Defensie en Buitenlandse Zaken tijdelijk onbereikbaar waren. De aanval begon rond het middaguur, terwijl de Oekraïense president Zelensky het Finse parlement toesprak. 

  • 7 april

Microsoft laat weten dat het digitale aanvallen op Oekraïne heeft weten te voorkomen. Het gaat om een aanval van Strontium, een Russische statelijke actor die gerelateerd wordt aan de inlichtingendienst GRU. Strontium probeerde Oekraïense overheidsorganisaties en mediabedrijven te compromitteren en richtte zich daarnaast op overheidsorganisaties en denktanks in de EU en VS die betrokken zijn bij internationale betrekkingen. In de aanval maakte Strontium gebruik van 7 malafide internetdomeinen om toegang te verkrijgen tot de slachtoffers.

  • 4 april

CERT-UA bericht dat er verschillende malafide bestanden zijn aangetroffen die gebruikt kunnen worden bij een spearphishing-aanval. Deze bestanden hadden Engelstalige namen en waren gericht op een overheidsorganisatie in Letland. CERT-UA schrijft deze aanval toe aan UAC-0010 (Armageddon).

Op dezelfde dag bericht CERT-UA ook dat Oekraïense overheidsorganisatiesdoelwit van Armageddon zijn geweest. Ook hier ging het om een spearphishing-aanval. Doelwitten ontvingen malafide bestanden met persoonsgegevens van vermeende oorlogsmisdadigers.

Maart 2022

  • 31 maart

Google publiceert een blog over de vanuit Rusland opererende actor Coldriver. Deze actor zou phishing pogingen hebben gedaan op onder meer een afdeling van de NAVO. Google heeft geen aanwijzingen dat deze pogingen succesvol zijn geweest. Deze groep is al sinds 2015 actief en heeft in het verleden verschillende doelen aangevallen zoals ministeries, ngo's en journalisten.

  • 29 maart

Een grote DDoS aanval op de Oekraïense internetserviceprovider Ukrtelecom zorgt ervoor dat diensten voor klanten van deze provider tijdelijk onbereikbaar zijn.

  • 28 maart

Een Russische internetprovider doet een kortstondige BGP hijack van de Twitter adresruimte. De BGP-aankondiging heeft uiteindelijk weinig effect omdat Twitter de BGP aankondigingen beschermt met RPKI.

  • 24 maart

Drie Russische spionnen hebben zich vijf jaar lang gericht op energie-infrastructuur in 135 landen in een poging de Russische regering in staat te stellen elektriciteitscentrales op afstand te besturen, dat beweert het Amerikaanse Ministerie van Justitie in een aanklacht die op 24 maart bekend werd gemaakt.

Hackergroepring Anonymous roept op Twitter bedrijven op zich terug te trekken uit Rusland. De groep geeft bedrijven 48 uur de tijd om zich terug te trekken, anders zullen zij Anonymous doelwit worden. Eerder heeft Anonymous gegevens van Russische bedrijven gepubliceerd.

  • 23 maart

Cert-UA maakt melding van een nieuwe wiper malware genaamd Double Zero. Deze malware wordt verspreid via .zip-bestanden.

  • 22 maart

De Amerikaanse president Joe Biden waarschuwt bedrijven in zijn land voor potentiele Russische cyberaanvallen, onder andere als reactie op de westerse sancties tegen Rusland.

  • 21 maart

Cert-UA waarschuwt voor aanvallen door hacker groepering InvisiMole. Deze groepering wordt gelinkt aan de Russische APT Gamaredon.  

  • 20 maart

Hackersgroep Anonymous waarschuwt Westerse bedrijven de banden met Rusland te verbreken en dreigt met gerichte acties.

  • 18 maart

Security Affairs bericht over een destructieve Node-IRP package (malware-aanval) gericht op organisaties in Rusland en Belarus.

  • 15 maart

Het Computer Emergency Response Team van Oekraïne (CERT-UA)  maakt melding van een phishing campagne waarbij uit naam van de Oekraïense overheid massaal mails worden verstuurd. Voor de aanvallen wordt gebruik gemaakt van Cobalt Strike, Grimplant en GraphSteel.

Daarnaast heeft ESET in Oekraïne een nieuwe wiper malware met de naam Caddywiper ontdekt. Wiper malware doet zich voor als ransomware, alleen kunnen beschadigde systemen of bestanden niet hersteld worden. 

  • 11 maart

Anonymous heeft 20 terabyte aan data gelekt na een digitale aanval op de Duitse vestiging van het Russische Rosneft. De Duitse inlichtingendienst BSI heeft als reactie hierop vitale sectoren gewaarschuwd. 

  • 8 maart

Der Spiegel meldt dat de Duitse  BSI, onderdeel van het Duitse ministerie van Binnenlandse Zaken, waarschuwt voor een digitale aanval. Het zou hier gaan om een aanval op de kritieke infrastructuur als gevolg van de hulp die Duitsland aan Oekraïne biedt sinds het begin van de oorlog.

  • 3 maart

De Oekraïense SSU meldt dat websites van lokale overheden zijn gehackt om berichten van overgave te plaatsen. De SSU laat op Twitter weten dat het gaat om desinformatie en roept burgers op deze informatie niet voor waar aan te nemen. Ook de Oekraïense ambassade in het Verenigd Koninkrijk laat weten last te hebben van digitale aanvallen en daardoor slecht bereikbaar te zijn.

  • 2 maart

De Oekraïense overheid roept techbedrijven op om zakelijke relaties met Rusland te verbreken. Verschillende techbedrijven stoppen (deels) met hun dienstverlening aan Rusland. Daarnaast meldt cybersecurity bedrijf Proofpoint spearphishingaanvallen op Europese overheidsinstanties door verschillende statelijke actoren. Het doel lijkt dat deze actoren meer inzicht proberen te krijgen in de opvang en migratie van Oekraïners.

  • 1 maart

Onderzoekers van Wordfence hacks melden  op websites van diverse Oekraïense universiteiten tijdens de start van de invasie. Wordfence schrijft de aanvallen toe aan de actor theMx0nda. Deze groep heeft openlijk verklaard Rusland te steunen in haar oorlog tegen Oekraïne.

Februari 2022

  • 28 februari

De Belarusian Cyber-Partisans claimen wederom een digitale aanval op de spoorwegen in Belarus te hebben uitgevoerd om Russische troepenverplaatsingen te dwarsbomen. Een actueel overzicht van cybergroeperingen die zich in het conflict hebben gemengd, inclusief statelijke actoren als Sandworm, is hier te vinden.

De laatste ontwikkelingen in ogenschouw genomen heeft het NCSC een handelingsperspectief en dreigingspecifieke maatregelen gepubliceerd. Op dit moment worden er geen actieve digitale aanvallen op Nederland of Nederlandse belangen waargenomen.

  • 26 februari

De Oekraïense minister van Digitale Transformatie roept hackers wereldwijd op om zich aan te melden voor een “Oekraïens IT leger”. 

  • 25 februari

Ransomware-groepering Conti laat in een verklaring weten zich achter Rusland te scharen. Om Rusland te ondersteunen dreigt Conti met aanvallen op kritieke infrastructuur van landen die zich tegen Rusland keren. Ransomware-concurrent LockBit daarentegen meldt zich in deze oorlog afzijdig te houden en uitsluitend gemotiveerd te zijn door financiële doeleinden.

  • 24 februari

Na de invasie van Russische troepen in Oekraïne hebben diverse niet-statelijke actoren zich in het conflict gemengd. Diezelfde avond verklaart hackers-collectief Anonymous de oorlog aan Rusland. Vervolgens claimen vrijwilligers aangesloten bij dit collectief diverse Russische overheids- en mediawebsites middels DDoS-aanvallen offline te hebben gehaald. Ook claimt deze groep vrijwilligers gevoelige data van het Russische ministerie van defensie in handen te hebben. Deze claims kunnen niet altijd worden geverifieerd, wat onduidelijkheid en verwarring kan veroorzaken. 

  • 23 februari

Er worden hevige DDoS-aanvallen uitgevoerd die gericht zijn op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar. Het gaat daarbij onder andere om de websites van diverse ministeries. Gelijktijdig worden er meerdere phishingcampagnes waargenomen. 

Daarnaast maken gedurende de avond van 23 februari diverse partijen melding van een nieuwe wiper malware die zij hebben aangetroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

  • 21 februari

De Oekraïense CERT-UA publiceert een website bericht over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer.

  • 15 februari

Er vinden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne worden geraakt. Op 15 februari vindt ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er is geen sprake van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.

Januari 2022

  • 26 januari

CERT Ukraine (CERT UA) publiceert een deel van het onderzoek naar zowel de defacements als de aanval met de malware. In dit onderzoek worden grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van

  • 14 januari

Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

  • 15 januari

Microsoft publiceert een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

  • 14 januari

De Oekraïense veiligheidsdienst SSU geeft een statement af over een aanval op websites van diverse overheidspartijen. Hierbij worden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch wordt aangegeven dat persoonlijke gegevens van Oekraïense burgers zijn gestolen en dat burgers zich moeten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU wordt duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikt over verhoogde rechten binnen de omgeving waardoor de websites kunnen worden aangepast.