
Hoe de cybermaffia jouw cloudservers inpikt
Criminele hackers hebben ook gewoon CEO's, consultants en aannemers en ze hebben het allemaal op jouw resources voorzien.
Bendes maken geen jacht op jouw servers, maar het zijn juist de onderaannemers die het verder niet veel kunnen schelen wat ze krijgen. De crimineel die jouw servers inlijft? Dat is pas de laatste schakel in een keten aanvallers.

Hoe de cybermaffia jouw cloudservers inpikt
Bendes maken geen jacht op jouw servers, maar het zijn juist de onderaannemers die het verder niet veel kunnen schelen wat ze krijgen. De crimineel die jouw servers inlijft? Dat is pas de laatste schakel in een keten aanvallers.
Dat cybercriminelen samenwerken om hun buit te bemachtigen, zal je bekend zijn. Maar veruit de meeste aanvallers zijn niet georganiseerd in een grote bende, maar betreffen onderaannemers in een brede industrie. Die sector heeft CEO's met mensen die bijvoorbeeld botnets verhuren, klanten vinden ze in spammers of DDoS'ers, en ze hebben zelfs marketeers: acteurs bieden bijvoorbeeld een DDoS-service in videopromo's.
Drie soorten aanvallers
Een deel van deze uitgebreide organisatie zie je terug met een in de cloud geplaatste honeypot. Een honeypot is een server die bedoeld is om aanvallers te detecteren. Handig voor bedrijven om te zien waar aanvallen vandaan komen: de snoodaards richten geen schade aan, maar je ziet wel wie het zijn, welke tactieken ze gebruiken en waar ze vandaan komen. Beveiligen tegen deze groep wordt zo een stuk minder lastig. 'Ken uw vijand' - en dergelijke clichés.
Er zijn ruwweg drie soorten aanvallers die aan de poort rammelen. Dat is ten eerste de 'Bruteforcer'. Deze snifft rond en probeert in te loggen op elke server die hij of zij maar kan vinden. "Dit is duidelijk geautomatiseerd werk", vertelt honeypot-onderzoeker Pedram Hayati op beveiligingscongres Hack in the Box in Amsterdam.
Deze eerste groep fingerprint de servers (welke resources, hardware, ID's etc) door binnen te komen via zwakke inloggegevens. Hayati verdeelt aanvallers in de volgende drie groepen: de Bruteforcer, de Infecteerder en de Beheerder (PDF van presentatie).
Binnen 10 minuten aanval
Tijdens een demonstratie zet Hayati het wachtwoord op een van zijn honeypots op "password" en binnen een kwartier zit iemand vanaf een Nederlands IP-adres al in de honeypot om de resources in kaart te brengen. Hayati merkt op dat de aanvaller bekijkt hoeveel storage beschikbaar is en de officieel ongeautoriseerde partij voert een bekende aanval uit op Apache Tomcat om zich toegang te verschaffen tot de webserver.
De persoon die bij de live-demo binnen de honeypot rondsnuffelt, is het eerste onderdeel van een drietapsraket. Die aanvaller laat het bij het in kaart brengen van het systeem, vervolgens komt de tweede persoon erbij kijken en dat is degene die zorgt voor de infectie. Een gerichte aanvaller neemt inderdaad alle rollen in de aanvalsketen op zich, maar in de praktijk blijkt dat dit een kleine groep is. De overgrote meerderheid bestaat uit criminelen die een breed net uitwerpen.
Naar het edele handwerk
De meeste aanvallen verlopen via verschillende routes, wat een indicatie is dat het mogelijk verschillende aanvallers zijn, vertelt hij aan Computerworld. Maar het zijn dus ook verschillende types. De tweede groep die Hayati identificeert, noemt hij de 'Infecteerder'. Deze werkt niet alleen via een andere IP-range, de aanvaller gaat ook anders te werk en het is duidelijk dat de credentials al in handen zijn - via de eerste aanvaller, de Bruteforcer.
Hierna: Je hebt meestal te maken met de malafide sector; niet met één bende. Dat betekent dat je niet onder vuur ligt van een groep, maar van deelsectoren die elkaar ondersteunen. Cybercrime is ook een business en dat is ook dé zwakke plek van het rapaille dat in jouw netwerk probeert te geraken: ze zijn kwetsbaar omdat dezelfde economische spelregels gelden als voor legitieme bedrijven.
Reageer
Preview