Toen enkele maanden geleden de koffiemachine bij een van onze opdrachtgevers stuk ging, werd bij vervanging voor een luxe machine uit het buitenland gekozen. Deze luxe machine kon, naast diverse verse koffiespecialiteiten van koffiebonen, ook andere warme dranken produceren.
De automaat was al snel populair onder het personeel. Via een app op hun telefoon konden medewerkers hun warme drank kiezen en met een druk op de knop uit de automaat halen.
Het was uiteindelijk de ICT-beheerder die opmerkte dat de automaat bijzonder veel netwerkverkeer produceerde. De beheerder vermoedde dat de automaat via internet meer communiceerde dan alleen koffiespecialiteiten.
Digitale Opsporing wordt uiteindelijk gevraagd om de automaat te onderzoeken. Hierbij werden de vermoedens van de ICT-beheerder al snel bevestigd. De automaat bleek het netwerk af te speuren en een verbinding naar buiten op te bouwen.
De automaat werd verbonden met een virtuele, gecontroleerde omgeving (een zogenaamde sandbox omgeving) en het gedrag werd nauwkeurig geanalyseerd. De automaat bleek een VPN-verbinding op te bouwen naar een server in het buitenland. Enkele minuten nadat de verbinding actief was, werd het netwerk afgestruind en werden apparaten binnen de sandbox aangevallen.
Met de bevindingen uit het onderzoek is het netwerk van de opdrachtgever vervolgens, in samenwerking met de ICT-beheerder, door de specialisten van Digitale Opsporing gecontroleerd en zijn er verbeteringen doorgevoerd.
De server waarmee de automaat verbinding maakte bleek anoniem geregistreerd te staan in het buitenland. De hostingmaatschappij staat bekend om zijn schemerige praktijken. Daarnaast bleek de producent van de automaat onbereikbaar en de adresgegevens op de website ongeldig. De webwinkel die de automaten aanbood, heeft de automaat op basis van onze bevindingen uit het assortiment gehaald.
En de luxe automaat zelf? Die werkt ook prima zonder netwerkverbinding. Alleen is er nu nog enkel keuze uit koffie mét of zonder suiker & melk.