De aanklacht tegen de Noord-Koreaanse hacker die ervan wordt verdacht bij Sony te hebben binnengedrongen en de ransomware WannaCrypt te hebben gemaakt, werd vorige maand openbaar gemaakt door het Amerikaanse ministerie van Justitie. Het meer dan 170 pagina's tellende document werd opgesteld door FBI-agent Nathan Shields en beschrijft gedetailleerd de forensische analyse die de opsporingsdienst naar verdachte Park Jin Hyok leidde.

Lessen voor IT

Onderzoekers hebben de organisatie waar de hacker deel uitmaakte diverse namen gegeven, waaronder de Lazarus Group, APT37, Lab 110, Group 123, Hidden Cobra, Nickel Academy en Reaper. Sommige van die namen komen van de malware-componenten die ze hebben gemaakt. Dat is het eerste wat opvalt als je de aanklacht leest: Noord-Koreaanse hackers spelen een belangrijke rol in veel verschillende malware-aanvallen van de afgelopen zes jaar.

De Noord-Koreaanse overheid heeft officieel ontkend dat Park bestaat en dat de misdaden die door hem gepleegd zouden zijn iets met het land te maken hebben. In plaats van ons in die discussie te mengen, laten we eens kijken naar de feiten die de FBI opsomt en wat we daar in de IT en informatiebeveiliging van kunnen leren.

Volgens de opsporingsdienst was Park gevestigd in een grensstad in China als werknemer van Chosun Expo. Dat is een bekend dekmantelorganisatie van een Noord-Koreaanse militaire digitale organisatie. Voordat de hacks bij Sony van start gingen, keerde de programmeur terug naar Noord-Korea.

Ransomware-componenten

De FBI analyseerde de malware en reconstrueerde diens componenten om een tijdlijn vast te stellen van drie verschillende inbraken bij Sony en drie versies van WannaCrypt. Er waren 10.000 hostnames in de malware geprogrammeerd die lieten zien dat de aanvallers uitgebreid onderzoek hadden uitgevoerd door maanden onopgemerkt in het Sony-netwerk door te brengen. De onderzoeksfase vond plaats in het najaar van 2014, voordat de eerste aanval in december van dat jaar volgde. Dit was vlak voor de release van de film The Interview, dat een belangrijk motief zou zijn van de aanval.

Er zaten elementen in de malware die waren ontworpen om specifieke Unix/Linux-systemen van het Sony-netwerk te veroveren. Ze gebruikten een aantal gerichte elementen, inclusief gespoofte spearphishing-mails die afkomstig leken te zijn van het Facebook-account van enkele Sony-medewerkers. Daar zaten allerlei malware-bijlages aan vast. Andere e-mails gingen naar personeel van Amerikaanse bioscoopketen AMC, die de gewraakte film in december zouden laten zien. Net als bij Sony zat er malware aan deze e-mails aan vast, maar deze pogingen om het netwerk van AMC te penetreren waren niet succesvol.

Dezelfde mail- en IP-adressen die in verband worden gebracht met de aanval op Sony doken ook op in aanvallen op een Brits productiebedrijf dat een tv-serie maakte die was gebaseerd op een plot die te maken had met Noord-Korea. In zijn boek Dawn of the Code War beschrijft John Carlin deze pogingen en vertelt hij over verschillende aanvallen van staatshackers op internationale doelen.

Complex netwerk

Ook betaalsysteem SWIFT werd in 2016 door dezelfde Noord-Koreaans bron aangevallen en er werden diverse rekeningen in Zuid-Oost Azië geplunderd. De FBI laat zien dat het vooronderzoek van deze aanvallers begon in het najaar van 2014. De banken werden besmet met een backdoor die communiceerde via een binair protocol dat leek op TLS-verkeer. De malware bij banken in Azië en bij Sony bevatten een soortgelijke delete-functie die ze in verband brachten met Noord-Koreaans hackers.

Bron: Department of Justice

Park en diens collega's hadden het druk: verschillende wateringhole-aanvallen waren gericht op Poolse banken en werden ontdekt in 2017 en waren begonnen in het najaar van 2016. Dezelfde e-mailadressen en Facebook-accounts in combinatie met de IP-adressen doken op in andere campagnes die gericht waren op verschillende bedrijven waaronder Lockheed Martin en diverse Zuid-Koreaans bedrijven. Voor de aanvallen gemaakte malware waren onder meer Brambul en Destover.

De FBI heeft zijn analyse geverifieerd aan de hand van gepubliceerd onderzoek van Russisch analysebureau Group-IB. Diens rapport verscheen in de zomer van 2017 en verbindt ook diverse hack-aanvallen aan elkaar. Ten slotte zijn elementen in die hacks ook gebruikt in WannaCrypt, samen met elementen als IP- en e-mailadressen. Er zijn drie versies van de ransomware die samen dezelfde basiscode hebben en dezelfde Bitcoin-wallets gebruiken.

Remmende voorsprong?

Wat me lezende door de aanklacht opviel was het wereldwijde bereik van de Noord-Koreaanse command-and-control-infrastructuur. Servers waren verspreid in de VS, Zuid-Afrika, Saudi-Arabië, Polen en andere landen. Accounts werden benaderd vanuit verschillende VPN's en proxyservers verspreid over de wereld met een duidelijk doel de bronlocatie te verhullen. Verschillende backdoors en trojans werden afgevuurd via verscheidene Gmail-adressen en profielen op Facebook.

Bron: Department of Justice

Wat dit allemaal nog ongelooflijker maakt is dat tot vrij kort geleden Noord-Korea ongeveer duizend beschikbare publieke IP-adressen had en vrij weinig bandbreedte had voor netwerkverbindingen. Om die reden was het vrij eenvoudig voor een hackerscollectief om het land te DDoS'en door de Noord-Koreaans ISP te bestoken, als represaille voor de Sony-hack

Lessen voor IT:

Van de documenten en de Noord-Koreaanse hackaanvallen kunnen we de volgende vijf dingen leren, die als het goed is geen grote verrassing zijn, maar blijkbaar wel aandacht behoeven:

1. Phishing-training is essentieel

De reden dat bioskoopketen AMC niet gegrepen werd heeft niet eens zozeer te maken met de tools die draaiden, maar met bewuste werknemers. Die herkenden de gespoofte e-mails dankzij de doorlopende trainingen om phishing te herkennen. Aanvallers worden steeds beter in het maken van echt lijkende e-mails en gebruiken interne informatie, logo's, sjablonen en gespoofte domeinen en adressen om mensen een gevaarlijke klik te laten maken.

Continue training die zich richt op praktijkvoorbeelden en rekening houdt met de evolutie van phishing blijkt van groot belang. Verschillende organisaties als KnowBe4, SANS en MediaPro.com bieden cursussen die zich op een doorlopende cyclus richten. Denk ook aan het stimuleren van werknemers, eventueel met gamification of een ander beloningssysteem, om de training interessanter en daarmee effectiever te maken.

2. Neem je IDS onder de loep

Intrusion Detection Systems (IDS) zijn niet waterdicht, zo blijkt uit incident na incident. Deze aanvallers zaten maanden in het netwerk en aangrenzende systemen om te inventariseren welke servers ze nodig hadden en welke werknemers het beste waren om na te bootsen voor een succesvolle phishing-aanval. Als je IDS indringers niet opmerkt, is de tijd aangebroken om je te richten op andere oplossingen.

Elk doelwit werd zorgvuldig gekozen en onderzocht om het realisme van de uiteindelijke e-mail om ze te pakken te nemen te verbeteren, zodat de kans groot was dat hij of zij een gewillig slachtoffer zou zijn. Behalve bij AMC waren de aanvallers ontzettend succesvol in het binnendringen van andere zakelijke netwerken en het besteden van maanden aan een studie om de juiste zwakke plekken te identificeren.

3. Verbeter de netwerksegmentatie

Om je IDS bij te staan, is het ook belangrijk om de netwerksegmantatie op orde te hebben. Sony's netwerk was niet goed gepartitioneerd, waardoor laterale beweging niet zo lastig was voor de aanvallers. Met hardere scheiding van VLAN's en zelfs fysieke netwerken is het een stuk lastiger voor aanvallers om over te springen van gebruikers naar belangrijke netwerkbronnen.

4. Onderzoek je toegangscontrole

Het is de hoogste tijd om toegangscontrole kritisch te bekijken. Welke werknemers hebben admin-rechten en is dat ook daadwerkelijk nodig voor de taken die ze uitvoeren? Probeer het aantal mensen dat volledige rechten hebben te verlagen tot nul, onder meer met JIT-rechten, waarmee gebruikers tijdelijke rechten krijgen om een specifieke taak uit te voeren, waarna de toegang weer wordt afgesloten.

5. Zet een Red Team in

Gebruik een Red Team om zwakke plekken te vinden. Vanuit het rapport van het team dat je netwerk probeert te veroveren kun je zien welke plekken kwetsbaar zijn mocht je te maken krijgen met een echte aanval. Zet je Red Team in nadat je bovenstaande punten hebt aangepakt, om het ze zo moeilijk mogelijk te maken.