
3 beruchte overheidshackers
Een blik op Equation, Fancy Bear en Elderwood.
Geboefte leert van militaire malware. De laatste jaren is de online wereld gebukt gegaan onder de onbedoelde erfenissen van software van diensten als de NSA, FSB en Mossad. Een korte blik op de overheidsaanvallers die IT'ers zelfs in hun thuisland uiteindelijk het leven zuur hebben gemaakt.

3 beruchte overheidshackers
Geboefte leert van militaire malware. De laatste jaren is de online wereld gebukt gegaan onder de onbedoelde erfenissen van software van diensten als de NSA, FSB en Mossad. Een korte blik op de overheidsaanvallers die IT'ers zelfs in hun thuisland uiteindelijk het leven zuur hebben gemaakt.
De wereld van digitale sabotage en criminaliteit is het afgelopen decennium stevig geprofessionaliseerd geraakt. Fraude is big business en je kunt bijna geen voet meer online zetten zonder tegen een phisher of andere aanvaller aan te lopen. Het vervelende is dat het geboefte ook malware en trucs gebruikt die uit de gemilitariseerde hoek van het internet komen.
Criminele exploits zijn gebaseerd op stukken van het Amerikaans-Isrëlische Flame, diverse malware leent stukjes van het Amerikaanse Stuxnet, saboterende software Shamoon leent elementen van Flame, en een NSA-gat werd dit jaar op grote schaal misbruikt in de ransomwareplagen WannaCrypt en NotPetya. Het verlies van honderden miljoenen euro's van bijvoorbeeld Maersk na de ransomware-aanval is nevenschade gebleken in de online oorlogsvoering van verschillende overheden.
De tools die overheden en autoriteiten inzetten vallen vroeger of later in handen van criminelen (misschien wel het beste argument tegen overheidsbackdoors). Het is niet alsof het gaat om een raket die na ontploffing nutteloos is geworden, zo zei journalist Kim Zetter onlangs bij beveiligingscongres BiTS van ESET, de code blijft namelijk achter bij het doelwit. Shamoon is daar een mooi voorbeeld van: de wiper leende van Flame om effectief te zijn.
Laten we daarom eens kijken naar hackerscollectieven die het web onveiliger maken. We staan in vandaag stil bij de grote drie die elkaar aan alle kanten beschuldigen van spionage en sabotage online: China, Rusland en de VS.
1. Equation Group
Actief sinds: Tenminste 2001
Vermoedelijke thuisbasis: VS
Vermoedelijke doel: Sabotage en spionage
Of dit de zogenoemde Tailored Acces Operations (TAO) van de NSA is, is niet helemaal zeker, maar in ieder geval gebruiken ze elementen van de speciaal door de NSA ontwikkelde malware - vér voordat de Snowden-onthullingen werden gedaan. De groep wekte pas in 2014 de interesse op van beveiligingsonderzoekers, toen ze onderzoek deden naar de Regin-campagne die onder meer een inbraak bij Belgacom omvatte. Onder meer Fox-IT concludeerde destijds dat het ging om aanvallen van de NSA en Britse equivalent GCHQ.
Kaspersky noemde de hackersgroep Equation Group vanwege de overduidelijk wiskundige aanpak en het gebruik van sterke encryptie in zijn producten. Het beveiligingsbedrijf publiceerde in 2015 een rapport over de ontdekte malware en IOC's die worden geassocieerd met Equation-aanvallen (PDF). Daarin zagen we technieken waarvan zelfs de meest optimistische IT-beveiliger cynisch wordt dat de mogelijkheden van verdedigers zeer beperkt zijn vergeleken met de capaciteit van aanvallers.
Een aardige indicatie dat het waarschijnlijk om een groep binnen de NSA gaat is het gebruik in 2008 al van zeer unieke zerodays die pas later werden aangetroffen in Stuxnet, de Amerikaanse sabotagemalware die in 2010 voor spannende krantenkoppen zorgde. Daarnaast was de gebruikte malware zelf, los van bijvoorbeeld de Flame-exploit waarbij een tot dan toe onbekende collision-techniek werd gebruikt om een certificaat te vervalsen, ongekend geavanceerd en buitengewoon modulair.
Nog een reden om te vermoeden dat het om niet zomaar een hackerscollectief gaat is de enorm krachtige HDD-firmware die de naam Equationdrug meekreeg. Deze firmware zorgde voor door beveiliginsgproducten ondetecteerbare interfaces om specifieke malware binnen te halen. Het is volgens Kaspersky onnoemelijk lastig om zulke firmware te reverse-engineeren, wat erop duidt dat deze groep veel resources heeft: geld, mankracht en toegang tot broncode van fabrikanten.
Gelukkig loopt de Haagse Kraakmacht nog flink achter bij het buitenland.
Reageer
Preview