De wereld van digitale sabotage en criminaliteit is het afgelopen decennium stevig geprofessionaliseerd geraakt. Fraude is big business en je kunt bijna geen voet meer online zetten zonder tegen een phisher of andere aanvaller aan te lopen. Het vervelende is dat het geboefte ook malware en trucs gebruikt die uit de gemilitariseerde hoek van het internet komen.
Criminele exploits zijn gebaseerd op stukken van het Amerikaans-Isrëlische Flame, diverse malware leent stukjes van het Amerikaanse Stuxnet, saboterende software Shamoon leent elementen van Flame, en een NSA-gat werd dit jaar op grote schaal misbruikt in de ransomwareplagen WannaCrypt en NotPetya. Het verlies van honderden miljoenen euro's van bijvoorbeeld Maersk na de ransomware-aanval is nevenschade gebleken in de online oorlogsvoering van verschillende overheden.
De tools die overheden en autoriteiten inzetten vallen vroeger of later in handen van criminelen (misschien wel het beste argument tegen overheidsbackdoors). Het is niet alsof het gaat om een raket die na ontploffing nutteloos is geworden, zo zei journalist Kim Zetter onlangs bij beveiligingscongres BiTS van ESET, de code blijft namelijk achter bij het doelwit. Shamoon is daar een mooi voorbeeld van: de wiper leende van Flame om effectief te zijn.
Laten we daarom eens kijken naar hackerscollectieven die het web onveiliger maken. We staan in vandaag stil bij de grote drie die elkaar aan alle kanten beschuldigen van spionage en sabotage online: China, Rusland en de VS.
1. Equation Group
Actief sinds: Tenminste 2001
Vermoedelijke thuisbasis: VS
Vermoedelijke doel: Sabotage en spionage
Of dit de zogenoemde Tailored Acces Operations (TAO) van de NSA is, is niet helemaal zeker, maar in ieder geval gebruiken ze elementen van de speciaal door de NSA ontwikkelde malware - vér voordat de Snowden-onthullingen werden gedaan. De groep wekte pas in 2014 de interesse op van beveiligingsonderzoekers, toen ze onderzoek deden naar de Regin-campagne die onder meer een inbraak bij Belgacom omvatte. Onder meer Fox-IT concludeerde destijds dat het ging om aanvallen van de NSA en Britse equivalent GCHQ.
Kaspersky noemde de hackersgroep Equation Group vanwege de overduidelijk wiskundige aanpak en het gebruik van sterke encryptie in zijn producten. Het beveiligingsbedrijf publiceerde in 2015 een rapport over de ontdekte malware en IOC's die worden geassocieerd met Equation-aanvallen (PDF). Daarin zagen we technieken waarvan zelfs de meest optimistische IT-beveiliger cynisch wordt dat de mogelijkheden van verdedigers zeer beperkt zijn vergeleken met de capaciteit van aanvallers.
Een aardige indicatie dat het waarschijnlijk om een groep binnen de NSA gaat is het gebruik in 2008 al van zeer unieke zerodays die pas later werden aangetroffen in Stuxnet, de Amerikaanse sabotagemalware die in 2010 voor spannende krantenkoppen zorgde. Daarnaast was de gebruikte malware zelf, los van bijvoorbeeld de Flame-exploit waarbij een tot dan toe onbekende collision-techniek werd gebruikt om een certificaat te vervalsen, ongekend geavanceerd en buitengewoon modulair.
Nog een reden om te vermoeden dat het om niet zomaar een hackerscollectief gaat is de enorm krachtige HDD-firmware die de naam Equationdrug meekreeg. Deze firmware zorgde voor door beveiliginsgproducten ondetecteerbare interfaces om specifieke malware binnen te halen. Het is volgens Kaspersky onnoemelijk lastig om zulke firmware te reverse-engineeren, wat erop duidt dat deze groep veel resources heeft: geld, mankracht en toegang tot broncode van fabrikanten.
2. Fancy Bear
Actief sinds: Tenminste 2010
Vermoedelijke thuisbasis: Rusland
Vermoedelijke doel: Sabotage en spionage
Een aantal Russische groepen dat actief was met het verspreiden van malware onder overheidsinstellingen en media tijdens diverse verkiezingscampagnes, kwam vooral in de kijker toen data werd gestolen vanuit de partij van presidentskandidaat Hillary Clinton. Er zijn meerdere collectieven geïdentificeerd en van elke onderzoeker krijgen ze een andere naam. Fancy Bear ken je daarom wellicht als Pawn Storm, APT28 of Sofacy - de eerste is een verwijzing naar een operatie en de laatste specifieke in Rusland ontworpen malware.
De groep richtte zich eerst voornamelijk op landen als Polen, Oekraïne, Syrië en Georgië en wekte daarom weinig interesse bij Westerse diensten. De afgelopen twee jaar werden doelwitten in de VS, Nederland, Frankrijk en meer Europese landen aangevallen en begonnen we op te letten, maar er is nog steeds verrassend weinig bekend over de groep die al jaren wordt gevolgd door diverse beveiligingsteams - niet eens de naam die intern gebruikt wordt is bekend.
Een van de doelwitten was het Nederlandse ministerie van Algemene Zaken, zo werd begin dit jaar bekend. De hackergroepen Fancy Bear en Cozy Bear (APT29) was het daarbij schijnbaar niet gelukt om binnen te komen. De onthullingen over vermeende Russische inmenging in binnenlandse politiek leidde tot onrust vlak voor de verkiezingen. Omdat we in Nederland met de hand stemmen, zouden eventuele Russische hacks geen invloed hebben, zo verzekerde minister Plasterk de Tweede Kamer.
De twee groepen hebben duidelijk de steun van een overheid - en gezien de doelwitten en acties kunnen we wel raden welke - vanwege het geld dat er doorheen wordt gejaagd. Voor diverse aanvallen worden namelijk verse zerodays in software ingezet die veel geld waard zijn. Dat betekent of een bijzonder effectief en slim onderzoeksteam dat de ene na de andere kritieke bug ontdekt, of een geldschieter met een stevig kapitaal achter de hand.
3. Elderwood Project
Actief sinds: Tenminste 2009
Vermoedelijke thuisbasis: China
Vermoedelijke doel: Sabotage en spionage
Deze groep is naar verluidt oorsprong van de term Advanced Persistent Threat (APT). Zoals zoveel terminologie in de securitywereld is die van de APT behoorlijk uitgehold en wordt ermee gesmeten bij de eerste de beste hack waarbij een lakse securityhouding een grotere rol speelt dan de aanhoudingskracht en inventiviteit van de aanvallers. APT werd voor het eerst omschreven bij de beruchte Aurora-aanval, waar deze groep achter zat.
De aanval is berucht vanwege zijn enorme scope en geavanceerde aanvalstechnieken met splinternieuwe gaten in back-endsoftware en om binnen te komen een nog niet ontdekte kwetsbaarheid in Adobe Reader. Onder meer Google was in 2010 slachtoffer. Het zoekbedrijf ontdekte de inbraak nadat er vreemde dingen gebeurden in de Gmail-accounts van Chinese dissidenten. Intern onderzoek bracht vervolgens Google op het spoor van de groep.
Buiten Google zagen nog veel meer techbedrijven belangrijke gegevens, waaronder broncodes, weggesluisd worden naar externe opslagplaatsen. Google reageerde laaiend, wees met de beschuldigende vinger naar China - wat later werd bevestigd door onderzoek van Symantec die in 2012 een uitgebreid rapport publiceerde (PDF) - en ben trok zich terug uit het land na de hack en verhuisde de boedel naar Hong Kong. Diverse producten van het bedrijf, zoals Gmail en Chrome, zijn al enkele jaren niet meer toegankelijk in China.
Dit is weer een voorbeeld van een óf heel technisch onderlegde en grote groep specialisten óf geldschieters met diepe zakken, want bij de Aurora-aanval werden maar liefst acht unieke, nog nooit eerder geziene zerodays ingezet. Dat doet onderzoekers vermoeden dat dit een groep is die wordt gesteund door een overheid of zelfs een verzameling officiële staatshackers is. Inmiddels bestempelt Symantec Elderwood als een hackplatform waar meerdere subgroepen gebruik van maken, maar het blijft gissen of het om een goed gesubsidieerde third-party gaat of een organisatie met eigen afdelingen.
Gelukkig loopt de Haagse Kraakmacht nog flink achter bij het buitenland.
Reageer
Preview