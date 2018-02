Gisteren bracht netwerk- en securitybedrijf Cisco zijn Annual Cybersecurity Report uit waarin de aandacht vooral uitging naar de opkomst van versleuteling bij malwaremakers (inmiddels is zeventig procent van malafide verkeer voorzien van encryptie, zo stelt Cisco) en de opkomst van machine learning-technieken - een wapenwedloop waar we eind vorig jaar nog uitgebreid bij stilstonden in dit artikel.

Randverschijnsel groeit

Het netwerk- en securitybedrijf haalt ook een veelal onderbelicht verschijnsel aan dat vaker de kop op steekt: aanvallen op de keten van toeleveranciers. Dat verschijnsel benoemde security-organisatie SANS in 2016 een van de gevaarlijke nieuwe aanvalstechnieken, maar het was toen nog een randverschijnsel. Vorig jaar zagen we meerdere incidenten waarbij criminelen (of staatshackers) zicht richtten op het aanpassen van software die door organisaties wordt gebruikt.

Cisco haalt onder meer het incident met CCleaner aan van vorig jaar. "We zien aanvallen die meeliften op software. Legitieme flows worden misbruikt om toegang te krijgen tot de core van je netwerk", vertelt Cisco Nederlands Directeur Security Michel Schaalje. In het geval van CCleaner hadden aanvallers controle gekregen over de systemen waar de software op werd gebouwd en konden ze de broncode voorzien van malafide opdrachten, die vervolgens werden verspreid met legitieme uitrol.

Aanval op updateservers

Dat doet een beetje denken aan Xcode Ghost, waarbij aanvallers zich richtten op plekken waar Xcode-ontwikkelaars op werkten om ze te verleiden tot het installeren van een malafide versie van de programmeeromgeving voor Apple-producten. Op die manier werden legitieme apps verpakt met malware en konden aanvallers iPhone-gebruikers belagen via apps van doorgaans betrouwbare bronnen.

Een voorbeeld van een ander kaliber aanval dat Schaalje benoemt, zijn de ransomware-besmettingen vorig jaar met NotPetya. In dat geval werd de Oekraïense software MEDoc, in die regio populaire boekhoudsoftware, te grazen genomen om de verspreiding een vliegende start te geven. Aanvallers kregen controle over de updateservers van de softwareleverancier en konden zo een geïnfecteerde versie verspreiden naar alle zakelijke gebruikers.

Officiële bron, malafide ISO

Tussen Xcode Ghost en NotPetya in zagen we nog een kleiner voorbeeld van een verwante aanval en dat was met Linux Mint. De officiële ISO-bron was anderhalf jaar geleden kortstondig gekaapt door een link te plaatsen naar een 'officieel' Mint-image op een Bulgaarse server. Dat image was voorzien van een backdoor in de vorm van Unix-trojan Tsunami, die een IRC-kanaal opzet en instructies binnenhaalt van een C&C.

Aanvallers weten dus op verschillende manieren toeleveranciers te vinden: via een directe aanval op hun systemen, via wateringhole-aanvallen op plekken waar ontwikkelaars samenkomen en via het onder vuur nemen van de updateservers van de softwarebouwer. De methodes variëren, maar het eindresultaat is hetzelfde: er rolt een Trojaans paard via legitieme software binnen bij veilig geachte IT-omgevingen.

