Threat Intelligence

APT-groepen op Nederlandse overheid: dreigingsinformatie en verdedigingsstrategieen

PE
Community Lead
Cloud Security Specialist
22 september 2024 24 min lezen
THREAT INTEL OSINT Microsoft Dark Web ISAC IOCs 47 New today Analysis AI Active Threats Malware 12 Phishing 8 APT 3 Threat Score Medium Live

Het Nederlandse dreigingslandschap wordt in toenemende mate bepaald door statelijke Advanced Persistent Threat (APT)-groepen met middelen en geduld die gewone cybercriminelen ruimschoots overstijgen. Het Nationaal Cyber Security Centrum (NCSC) benadrukt in het jaarlijkse Cybersecurity Assessment Netherlands (CSAN) dat ministeries, defensie, kritieke infrastructuur en de hightechsector permanent worden belaagd door actoren die zijn gelieerd aan China, Rusland, Iran en Noord-Korea. Hun doelen variëren van strategische inlichtingenwerving en technologische spionage tot het voorbereiden van verstorende acties.

APT-campagnes kenmerken zich door langdurige aanwezigheid (maanden tot jaren), stille werkwijzen en een grote mate van aanpassingsvermogen zodra verdedigers maatregelen aanscherpen. Voor Nederlandse overheidsorganisaties is inzicht in deze werkwijze geen luxe maar een nationale verplichting. Deze analyse bundelt bevindingen uit rapportages van NCSC, AIVD, MIVD en NCTV met indicatoren uit Microsoft Threat Intelligence en het MITRE ATT&CK-framework. Het resultaat is een set concrete verdedigingsmaatregelen binnen Microsoft 365 en de Azure-beveiligingsstack die direct toepasbaar is in SOC- en CSIRT-processen.

Wat je leert

Deze gids brengt de tien meest actieve APT-groepen tegen de Nederlandse overheid in kaart, inclusief hun motivatie, handelswijzen en voorkeursdoelen. Je krijgt inzicht in hun tactieken volgens het MITRE ATT&CK-framework, veelgebruikte aanvalswegen, methoden voor credentialdiefstal en laterale beweging, en beproefde manieren voor data-exfiltratie. Elk onderdeel is gekoppeld aan concrete verdedigingsmaatregelen in Microsoft Defender XDR en Azure Sentinel, inclusief hunting-queries, detectieregels en incidentresponsplaybooks.

Pro tip

Richt een dedicated threat-intelligencefunctie in met vaste analisten die dagelijks waarschuwingen van het NCSC, Microsoft Threat Intelligence en OSINT-bronnen beoordelen en vertalen naar detecties. Bij een ministerie leidde de vorming van een team van twee FTE binnen drie maanden tot meer dan veertig nieuwe APT-detectieregels in Sentinel en daalde de Mean Time To Detect van weken naar enkele uren. Dreigingsinformatie is geen product maar een doorlopend proces dat eigenaarschap en capaciteit vergt.

APT Threat Landscape: Nederlandse Overheid in het Vizier

Belangrijkste inzichten uit het CSAN 2024:

Dreigingsactoren volgens NCSC:

Tier 1 - Hoogste dreiging (actief en zeer geavanceerd)

  • Chinese APT-groepen: langdurige spionagecampagnes tegen overheid, defensie en hightechbedrijven
  • Russische APT-groepen: inlichtingenwerving gecombineerd met het voorbereiden van mogelijke verstoringsacties
  • Iraanse APT-groepen: snel groeiende capaciteiten, gericht op overheid, energie en academische instellingen

Tier 2 - Gemiddelde dreiging (opportunistisch)

  • Noord-Koreaanse APT-groepen: financieel gedreven en incidenteel gericht op inlichtingen, minder succesvol bij goed beveiligde doelwitten
  • Geavanceerde cybercriminelen: vooral ransomware, maar verstoren wel de beschikbaarheid van diensten

Primaire doelwitten in Nederland:

1. Rijksoverheid

  • Alle ministeries, uitvoerende diensten en diplomatieke posten
  • Inlichtingen- en defensieorganisaties (AIVD, MIVD, Defensie)
  • Waarde: beleidsinformatie, geclassificeerde documenten en diplomatieke communicatie

2. Kritieke infrastructuur

  • Energie (TenneT, Gasunie), transport (Schiphol, havenbedrijven, ProRail), telecom (KPN, VodafoneZiggo) en watersector
  • Waarde: SCADA/ICS-omgevingen en het vermogen om maatschappelijke verstoring te veroorzaken

3. Hightech en defensie-industrie

  • ASML, NXP, Thales en andere toeleveranciers voor ruimtevaart en defensie
  • Waarde: intellectueel eigendom, productiegeheimen en exportgevoelige technologie

4. Onderzoek en onderwijs

  • Universiteiten en kennisinstituten met defensie- of dual-use-onderzoek (TU Delft, TNO, MARIN)
  • Waarde: onderzoeksdata, talentrekrutering en toegang tot samenwerkingsnetwerken

5. Financiele sector

  • Grootbanken en betaalinfrastructuur
  • Waarde: financiele inlichtingen en het kunnen ontregelen van betalingsverkeer

Motieven per actor:

Chinese APT-groepen

  • Primair: technologische en economische spionage
  • Secundair: strategische beleidsinformatie over China-gerelateerde dossiers
  • Voorbeelden: IP van ASML, standpunten over 5G en Taiwan

Russische APT-groepen

  • Primair: militaire en geopolitieke inlichtingen (NAVO, EU, steun aan Oekraiene)
  • Secundair: voorpositionering voor hybride oorlogsvoering en invloedscampagnes
  • Voorbeelden: energie-infrastructuur, diplomatieke communicatie, defensieplanning

Iraanse APT-groepen

  • Primair: inzicht in Nederlands en Europees Iran-beleid, sancties en regionale dossiers
  • Secundair: vergelding en drukmiddelen richting Westerse overheden
  • Voorbeelden: communicatie van Buitenlandse Zaken, defensiecontractors, nucleair onderzoek

Succesfactoren voor aanvallers:

Hoog slagingspercentage (>30%)

  • Goed voorbereide spearphishing
  • Ketenaanvallen via leveranciers of beheerde dienstverleners
  • Zero-day-exploits op publiek blootgestelde systemen
  • Langdurige inzet van insiders of menselijke bronnen

Gemiddeld slagingspercentage (10-30%)

  • Credential stuffing en hergebruikte wachtwoorden
  • Misbruik van bekende kwetsbaarheden door achterstallig patchen
  • Watering-hole-aanvallen op veelbezochte sectorwebsites

Laag slagingspercentage (<10%)

  • Bulkphishing en commodity-malware
  • Opportunistische scans die door firewalls worden geblokkeerd

Dwell time (tijd tussen initiële compromis en detectie):

  • Marktgemiddelde: 21 dagen (Mandiant M-Trends 2024)
  • Overheidsorganisaties: circa 43 dagen vanwege complexe omgevingen
  • Nederlandse context: 60-120 dagen, afhankelijk van actor:
  • Chinese APT: 90-180 dagen
  • Russische APT: 45-90 dagen
  • Iraanse APT: 30-60 dagen

Doelstelling: breng de dwell time terug tot minder dan zeven dagen door continue monitoring, gericht threat hunting en geautomatiseerde detectieregels.

Top 10 APT Groups Targeting Nederlandse Overheid

Profielen van de belangrijkste APT-groepen, inclusief capaciteiten, TTP's en detectiekansen.

1. APT41 (China) - "Double Dragon"

Herkomst: gelieerd aan het Chinese Ministry of State Security (MSS) Actief sinds: 2012 Niveau: zeer hoog, zowel espionage als financieel gemotiveerde aanvallen

Nederlandse doelwitten

  • Ministeries van Economische Zaken en Buitenlandse Zaken
  • Halfgeleider- en telecombedrijven
  • Zorginstellingen tijdens COVID-19-onderzoek

Kenmerkende TTP's (MITRE ATT&CK)

  • Initiële toegang: spearphishing (T1566.001) met schadelijke documenten
  • Uitvoering: PowerShell (T1059.001) en WMI (T1047)
  • Persistentie: webshells op publiek toegankelijke servers (T1505.003)
  • Credentialdiefstal: LSASS-dumps (T1003.001) en Mimikatz
  • Laterale beweging: misbruik van RDP (T1563.002) en SMB (T1021.002)
  • Exfiltratie: HTTPS-verbindingen naar command-and-control (T1041) en misbruik van cloudopslag (T1567.002)

Malwaretoolkit WINNTI, CROSSWALK, DUSTPAN en maatwerkmodulen

Detectiekansen

  • Webshell-activiteit op Exchange of SharePoint
  • PowerShell-processen met base64-commando's en outbound connecties
  • Niet-systeemprocessen die LSASS benaderen
  • Interne RDP-sessies buiten jumpservers om
  • Grote HTTPS-uploads vanaf servers naar onbekende cloudopslag

2. APT28 (Rusland) - "Fancy Bear"

Herkomst: Russische militaire inlichtingendienst (GRU) eenheid 26165 Actief sinds: 2004 Niveau: zeer hoog, gericht op geopolitieke inlichtingen

Nederlandse doelwitten

  • Ministeries van Defensie en Buitenlandse Zaken
  • Organisaties betrokken bij MH17-onderzoek
  • NAVO- en Oekraiene-gerelateerde organisaties

Kenmerkende TTP's

  • Initiële toegang: spearphishing en nagemaakte aanmeldportalen
  • Credentialdiefstal: password spraying (T1110.003), misbruik van Exchange Web Services
  • Dataverzameling: e-mailcollectie via IMAP/EWS (T1114.002)
  • Laterale beweging: geldige accounts (T1078) en Kerberos-aanvallen
  • Persistentie: geplande taken (T1053.005) en registry run keys
  • Command-and-control: gehackte websites als proxy (T1090.002)

Malwaretoolkit ZEBROCY, X-Agent, Sednit en CHOPSTICK

Detectiekansen

  • Gefaalde logins over veel accounts binnen korte tijd
  • Automatisch aangemaakte e-mailforwardingregels
  • Afwijkende Kerberos TGT-aanvragen
  • EWS-API-verkeer vanaf niet-mobiele apparaten
  • Geplande taken met versluierde commando's

3. APT29 (Rusland) - "Cozy Bear"

Herkomst: Russische buitenlandse inlichtingendienst (SVR) Actief sinds: 2008 Niveau: extreem hoog, lange-termijnspionage

Nederlandse doelwitten

  • Ministeries en uitvoeringsorganisaties
  • Denktanks en beleidsinstituten
  • Diplomatieke posten
  • Vaccinontwikkeling en farmaceutische ketens

Kenmerkende TTP's

  • Initiële toegang: supply-chain-compromissen (zoals SolarWinds) en gerichte phishing
  • Uitvoering: living-off-the-land binaries (LOLBins)
  • Persistentie: misbruik van vertrouwde software-updates (T1195.002)
  • Detectieontwijking: process injection (T1055) en DLL-side-loading (T1574.002)
  • C2: DNS-tunneling (T1071.004) en geloofwaardige HTTPS-domeinen
  • Exfiltratie: multi-hop-proxies en zwaar versleutelde kanalen

Malwaretoolkit SUNBURST, TEARDROP, RAINDROP, COZYDUKE en WellMess

Detectiekansen

  • Ongebruikelijke uitgaande verbindingen van vertrouwde softwarepakketten
  • DNS-queries met hoge entropie
  • Verdachte procesrelaties die op injectie duiden
  • DLL's geladen vanaf niet-standaard paden
  • Code-uitvoering vanuit TEMP-directories

4. APT10 (China) - "MenuPass" / "Stone Panda"

Herkomst: verbonden aan het Chinese MSS Actief sinds: 2009 Niveau: hoog, met focus op ketenaanvallen via managed service providers (MSP's)

Nederlandse doelwitten

  • MSP's die overheid en vitale sectoren bedienen
  • Telecomproviders
  • Hightechproductiebedrijven

Kenmerkende TTP's

  • Initiële toegang: compromitteer MSP en beweeg door naar klanten (T1199)
  • Persistentie: geplande taken en services (T1543.003)
  • Credentialdiefstal: dumping van wachtwoorden en hashes (T1003)
  • Laterale beweging: hergebruik van beheerhulpmiddelen van MSP's
  • C2: versleutelde, eigen protocollen

Malwaretoolkit UPPERCUT, ANEL, HAYMAKER en SNUGRIDE

Detectiekansen

  • MSP-beheeraccounts die plotseling interne systemen benaderen
  • Nieuwe geplande taken aangemaakt door externe accounts
  • Laterale beweging vanaf MSP-jumpservers naar interne workloads

5. APT40 (China) - "TEMP.Periscope"

Herkomst: MSS, gericht op maritieme informatieverwerving Actief sinds: 2013 Niveau: hoog, met nadruk op scheepvaart en marine

Nederlandse doelwitten

  • Havenbedrijven en logistieke ketens
  • Marine- en defensieaannemers
  • Scheepswerven en toeleveranciers

Kenmerkende TTP's

  • Initiële toegang: webserver-exploits (T1190) en misbruik van recente CVE's
  • Persistentie: webshells (T1505.003)
  • Verzameling: schermopnames (T1113) en keyloggers (T1056.001)
  • Exfiltratie: FTP en HTTP POST naar C2

Detectiekansen

  • Verdachte scripts binnen IIS-, Apache- of Tomcat-processen
  • Ongebruikelijke processen die vanaf w3wp.exe of java.exe starten
  • FTP-uploads vanaf webservers naar onbekende bestemmingen

Verdedigingsprioriteiten per actor:

Chinese APT's (APT41, APT10, APT40)

  • 1: Leveranciers- en softwareketenbeveiliging
  • 2: Webapplicatiebescherming en webshell-detectie
  • 3: Gegevensclassificatie en DLP om exfiltratie te beperken
  • 4: Netwerksegmentatie en microsegmentatie

Russische APT's (APT28, APT29)

  • 1: Identiteitsbeveiliging (MFA, passwordless, spray-detectie)
  • 2: E-mail- en collaborationbeveiliging tegen phishing en mailboxmisbruik
  • 3: Endpointdetectie en respons voor procesinjectie en malware
  • 4: Structurele threat hunting op LOLBin-gebruik en DNS-tunneling

Iraanse APT's

  • 1: Perimeter- en VPN-verdediging, inclusief snel patchbeheer
  • 2: Strikte MFA-handhaving voor alle accounts
  • 3: Back-upbescherming (immutabele opslag, isolatie)
  • 4: Gereed incidentrespons inclusief escalatieroutes naar NCSC

Defense Strategies: Mitigating APT Threats met Microsoft 365

Verdediging in diepte tegen statelijke actoren:

Laag 1: Identiteitsbescherming

Doel: misbruik van geldige accounts voorkomen

Belangrijkste maatregelen

1. Universele multi-factor-authenticatie

  • Azure AD MFA voor 100% van de accounts
  • Voorkeursmethoden: Microsoft Authenticator, FIDO2-sleutels, Windows Hello
  • Vermijd sms en telefoongesprekken vanwege sim-swapping
  • Conditional Access die MFA afdwingt voor alle cloudapps

2. Passwordless authenticatie

  • Windows Hello for Business, FIDO2 en passwordless phone sign-in
  • Reduceert phishing-, brute-force- en password-sprayaanvallen vrijwel volledig

3. Risicogestuurde Conditional Access

  • Azure AD Identity Protection voor realtime risicobeoordeling
  • Hoogrisicoaanmeldingen blokkeren of direct wachtwoordreset afdwingen
  • Detectie van onmogelijk reizen en anonieme IP-adressen koppelen aan aanvullende eisen

4. Privileged Identity Management (PIM)

  • Geen permanente beheerrechten; alles via just-in-time-activering
  • MFA en goedkeuring bij toewijzing van gevoelige rollen
  • Sessies maximaal acht uur actief

Laag 2: Endpointbescherming

Doel: malware, exploits en afwijkend gedrag blokkeren

Belangrijkste maatregelen

1. Microsoft Defender for Endpoint

  • Next-gen antivirus, EDR en geautomatiseerde respons
  • Attack Surface Reduction-regels voor macroblokkade, LSASS-bescherming, procesinjectie en LOLBin-misbruik

2. Applicatiecontrole

  • Windows Defender Application Control en Smart App Control
  • Alleen vertrouwde binaries en drivers toestaan; blokkeert maatwerktooling

3. Device compliance via Intune

  • BitLocker verplicht, updates binnen 14 dagen, firewall en antivirus actief
  • Niet-conforme apparaten blokkeren via Conditional Access

Laag 3: E-mail- en samenwerkingsbeveiliging

Doel: phishing, malwarelevering en mailboxmisbruik tegengaan

Belangrijkste maatregelen

1. Microsoft Defender for Office 365

  • Safe Links en Safe Attachments
  • Anti-phishingbeleid met impersonatie-, spoof- en mailboxintelligentie
  • DMARC/DKIM/SPF afdwingen voor inkomend verkeer

2. Aanvalssimulaties en training

  • Regelmatige spearphishing-scenario's
  • Drempelwaarden: klikratio <5%, rapportage >20%
  • Directe bijscholing voor gebruikers die in de val trappen

3. Mailboxverdediging

  • Legacy-authenticatie uitschakelen (IMAP/POP3/SMTP AUTH)
  • Automatische forwardingregels monitoren
  • Volledige mailboxauditlogs voor onderzoek

Laag 4: Netwerk- en cloudbeveiliging

Doel: C2-verkeer, laterale beweging en exfiltratie detecteren

Belangrijkste maatregelen

1. Microsoft Defender for Cloud Apps

  • Cloud Discovery en Shadow IT-inzicht
  • Anomaliedetectie voor massale downloads, zeldzame landen en onmogelijk reizen
  • Sessieregels die gevoelige downloads vanaf onbeheerde apparaten blokkeren

2. Segmentatie en Zero Trust Network Access

  • Applicatietoegang via Azure AD Application Proxy of ZTNA in plaats van klassiek VPN
  • Private Endpoints voor PaaS-diensten
  • Microsegmentatie om zijdelingse beweging te beperken

3. DNS-beveiliging

  • Filtering van kwaadaardige domeinen
  • Volledige logging voor hunting op DNS-tunneling (lange, entropierijke queries)
  • Sentinel-analyses die TXT-records en afwijkende domeinpatronen signaleren

Laag 5: Databescherming

Doel: voorkomen dat vertrouwelijke informatie wordt buitgemaakt

Belangrijkste maatregelen

1. Microsoft Purview Information Protection

  • Gegevens classificeren met labels (Openbaar t/m Zeer Vertrouwelijk)
  • Automatische labeling en encryptie plus Rights Management

2. Data Loss Prevention

  • DLP-beleid voor e-mail, endpoints en cloudopslag
  • Voorbeelden: blokkeer staatsgeheime labels naar externen, waarschuw bij >100 bestanden naar USB

3. Insider Risk Management

  • Gedragsanalyse om massale downloads, toegang tot vreemde projecten en mogelijke datalekken te detecteren
  • Koppelingen met HR-signalen (uitdiensttreding, performance issues)

Deze vijf lagen vormen een samenhangende defensiestrategie waarin identiteiten, endpoints, communicatie, netwerken en data elkaar versterken en direct zijn gekoppeld aan MITRE ATT&CK-technieken van de genoemde APT-groepen.

Proactive Threat Hunting: KQL Queries voor APT Detection

Aanpak voor hypothese-gedreven threat hunting:

Use-cases en voorbeeldlogica

APT28 password spraying Hypothese: een bron-IP probeert in korte tijd veel accounts met hetzelfde wachtwoord. Detectie: tel mislukte aanmeldingen per IP en blokkeer zodra meerdere accounts getroffen zijn.

APT29 DNS-tunneling Hypothese: C2-verkeer wordt verstopt in DNS-queries. Detectie: zoek naar lange domeinen met hoge entropie, ongebruikelijke recordtypes en veel TXT-requests.

APT41 webshell-activiteit Hypothese: aanvallers plaatsen webshells op internetgerichte servers. Detectie: monitor processen die starten vanuit w3wp.exe, httpd of java en direct netwerkconnecties openen.

Credential dumping (LSASS) Hypothese: aanvallers gebruiken Mimikatz of gelijkwaardige tooling. Detectie: signaleer processen die LSASS lezen buiten System of lsass.exe zelf.

Laterale beweging via RDP Hypothese: aanvallers misbruiken RDP om tussen servers te bewegen. Detectie: identificeer interne RDP-verbindingen die niet via een jumpserver lopen en controleer gebruikte accounts.

E-mail-exfiltratie via EWS Hypothese: APT28 haalt mailboxen leeg via Exchange Web Services. Detectie: zoek naar bulk-folderaccess, downloads vanaf niet-mobiele clients en nieuw aangemaakte forwardingregels.

Jachtfrequentie

  • Dagelijks: beoordeling van high-severity-alerts en nieuwe indicatoren uit NCSC/Microsoft.
  • Wekelijks: 1-2 hypothese-gedreven hunts op prioritaire TTP's en documentatie van lessons learned.
  • Maandelijks: kill-chain-analyse, purple-team-sessies en trendrapportage aan het CISO-office.
  • Per kwartaal: historische review over 3-6 maanden en evaluatie van gemiste detecties.

Threat Intelligence Operations: Van Raw Data naar Actionable Defense

Zo bouw je een volwassen threat-intelligenceprogramma:

Fase 1 - Collectie Bronnen combineren strategisch, operationeel en tactisch niveau:

  • Strategisch: NCSC CSAN, AIVD/MIVD-publicaties, NCTV-dreigingsbeeld, Microsoft Digital Defense Report.
  • Operationeel: NCSC-waarschuwingen, Microsoft Security Blog, Defender Threat Intelligence, MISP-communities, STIX/TAXII-feeds.
  • Tactisch: CISA Known Exploited Vulnerabilities, NVD, Proof-of-Concepts op GitHub, darkweb-monitoring en OSINT van onderzoekers.

Fase 2 - Verwerking

  1. Triageer op relevantie voor jouw omgeving.
  2. Valideer indicatoren en filter ruis.
  3. Voeg context en risico-inschatting toe.
  4. Verrijk met interne logs: zie je deze IOC's al terug?
  5. Koppel aan bekende actoren en campagnes.

Fase 3 - Verspreiding

  • Bestuur: kwartaalupdate met strategische dreigingen, impact en investeringsvoorstellen.
  • SOC/IR: realtime levering van IOC's, TTP's, huntingqueries en playbooks.
  • IT-operations: concrete patch- en configuratie-opdrachten inclusief deadlines.
  • Eindgebruikers: gerichte waarschuwingen en awareness-content bij lopende phishinggolven.

Fase 4 - Toepassing

  • Zet TTP's om naar Sentinel-detectieregels en Defender TI-indicatoren (alert/block).
  • Plan hunts voor kritieke technieken zoals LSASS-dumps of DNS-tunneling.
  • Hardening: activeer ASR-regels, schakel legacy-authenticatie uit, blokkeer IOC's op firewall/proxy.
  • Incident playbooks: beschrijf per actor de onderzoeks- en meldingsstappen richting NCSC.

Fase 5 - Feedback en samenwerking

  • Meten: dekking per MITRE-techniek, time-to-detect <24 uur, true-positive-rate >30%, huntsucces 5-10%.
  • Verbeterloop: wekelijks retro-overleg over false positives en hiaten.
  • Delen: rapporteer relevante bevindingen aan NCSC, sector-ISAC's, collega-ministeries en Microsoft om collectieve verdediging te versterken.

Advanced Persistent Threats tegen Nederlandse overheden vragen om meer dan traditionele beveiliging. Alleen organisaties met actuele dreigingsinformatie, goed getrainde analisten en strak ingestelde Microsoft Defender XDR- en Azure Sentinel-omgevingen houden de dwell time onder controle. Combineer daarom defense-in-depth-maatregelen met structurele threat hunting, actor-specifieke playbooks en samenwerking via NCSC en sector-ISAC's. Door kennis en indicatoren te delen verklein je het voordeel van statelijke actoren en vergroot je de weerbaarheid van de gehele overheid.

Lees meer over APT-dreigingen, threat intelligence en detectieregels voor Nederlandse overheidsorganisaties
Bekijk artikelen →
APT Threat Intelligence Nation-State Actors NCSC Cyber Espionage Government Security Defender XDR