•  
•  
•  
•  

0 Reacties Bewaren

De ontwikkeling van complexe spionagemalware blijkt vooral een kwestie van outsourcing: diverse ontwikkelaars over de hele wereld maken componenten, die naar eigen inzicht door verschillende geheime diensten kunnen worden samengevoegd voor gerichte aanvallen op andere staten en bedrijven.

Regin, de laatst gevonden grote geavanceerde malwarefamilie, zou ontwikkeld zijn door de Britse geheime dienst GCHQ. Onderzoekers zeggen dat componenten ervan weer zijn ontwikkeld door andere geheime diensten zoals de Australian Signals Directorate (ASD). Dat maakt dat wordt aangenomen dat de zo geheten Five Eyes (VS, VK, Canada, Nieuw Zeeland en Australië) samenwerken in het componeren van spionagesoftware.

Dat zou op zich een logische ontwikkeling zijn. In criminele kringen is het al langer gangbaar dat onderdelen van malware worden gemaakt door verschillende ontwikkelaars die vaak niet van elkaars bestaan of werk afweten. Uiteindelijk zorgt de uitvoerder van de aanval voor de juiste mix aan componenten die voor die aanval het meeste succes beloven.

Criminelen en spionnen: kip en het ei

Die praktijk lijkt nu ook gangbaar te zijn in de schimmige wereld van overheidsinlichtingendiensten. Met terugwerkende kracht kan je je zelfs afvragen welke kant het eerste met een dergelijke werkwijze is begonnen, aangezien tot nu toe is aangenomen dat criminelen nauwlettend in de gaten houden welke technieken de overheidsdiensten gebruiken om die later te kopiëren.

Dat de componenten van Regin zijn gemaakt door verschillende inlichtingendiensten is een ontdekking van Kaspersky, zo schrijft Mashable. Onderzoeker Costin Raiu zag de code van de malware QWERTY (een keylogger) en herkende het patroon van een Regin-plugin, namelijk plugin 50201. Verdere studie overtuigden de Kaspersky-onderzoekers dat QWERTY inderdaad een onderdeel is van Regin.

Dat brengt Mashable tot de conclusie dat GCHQ en de ADS achter de malware zitten, gebaseerd op de uitkomsten van de laatste Snowden-onthullingen door Der Spiegel vorige week en de uitlatingen van onafhankelijk onderzoeker Claudio Guarnieri die onder meer bij The Intercept zijn analyses loslaat.

Wie gebruikt de malware nog meer?

Maar volgens Raiu betekent dat nog niet dat het gebruik van Regin alleen door de Five Eyes-landen gebeurt. Daarnaast is het ontdekken van de diverse componenten die door of via Regin worden gebruikt, nog in volle gang. Eerder al schreef Computerworld over de obstakels die onder andere Kaspersky tegenkwam in de speurtocht naar de werkelijke origine van Regin, dat naar verluidt in diverse technologische hoedanigheden al meer dan 15 jaar zou bestaan.

Mashable citeert voor die speurtocht een mooie metafoor van een niet bij naam genoemde beveiligingsonderzoeker: "Regin was als een dinosaurus: veel onderzoekers vonden door de jaren heen wat van zijn botten, maar niemand kon daarvan een volledig skelet maken."

Het componeren van die los van elkaar ontwikkelde malware-onderdelen geeft aan hoe sterk de werkwijze van inlichtingendiensten lijkt op die van criminele organisaties. Het geeft ook weer voeding aan de eerder door Kaspersky geuite zorgen dat experts van inlichtingendiensten soms over gaan naar The Dark Side en hun technologische bagage meenemen naar criminele organisaties. Immers, het werk blijft hetzelfde. De verdiensten zijn van een andere orde.

Lees meer over

• spionage
• Kaspersky Labs
• malwaremaker
• malware
• APT
• inlichtingendiensten
• GCHQ
• APT malware
• Regin