Lange tijd is de complexe, stiekeme cyberaanval een zeldzame zaak van spionage op hoog niveau geweest. Dat is niet langer het geval. De zogeheten advanced persistent threats (apt's) ontpoppen zich tot een standaardmiddel voor cybercrime en voor commercie.
Apt’s (advanced persistent threats) zijn de laatste maanden steeds vaker in het nieuws. Dat is geen teken van kerstkomkommertijd, maar de nieuwe realiteit. Het uitvoeren van geavanceerde aanvallen die lange tijd nodig hebben om hun doel te bereiken, komt echt steeds vaker voor. Waarom? Omdat het steeds betaalbaarder wordt voor cybercriminelen en cyberspionnen. Onderzoek door onze GReAT-experts (Global Research and Analysis Team) wijst uit dat apt’s in 2014 steeds goedkoper zijn geworden en bovendien door meer groepen aanvallers zijn uitgevoerd.
Onderwereld professionaliseert
Daarbij is ook het fenomeen van huurlingen opgedoken: aanvallers die zich flexibel laten inhuren door een willekeurige partij. Net zoals je in de gewone bedrijfswereld opdrachtgevers, aannemers, onderaannemers en meer hebt. We kunnen dus wel spreken van de commercialisering van cybercrime en de ‘veralgemenisering’ van apt’s. Cybercrime en apt’s hebben elkaar gevonden. Zo hebben onderzoekers al meerdere cyberdiefstallen bij enkele banken ontdekt. Daarbij zijn dus niet de bankklanten aangevallen, maar de financiële instellingen zelf. Waarom? Naar verluidt zou de beruchte Amerikaanse bankrover Willie Sutton vorige eeuw al het antwoord hebben gegeven: ‘Omdat daar het geld ligt.’
Dezelfde wijsheid is van toepassing op de uitbreiding van het werkterrein voor apt-gebruikende aanvallers. Wij zien namelijk meer aanvallen op – en via – organisaties in supply chains. De grootschalige diefstal van creditcardgegevens bij de Amerikaanse winkelketens Target en Home Depot zijn overduidelijk bewijs van deze trend. De dieven zijn daar binnengekomen via gestolen inloggegevens van toeleveranciers voor die winkelketens. Naast supply chains nemen cybercriminelen ook kritieke infrastructuren op de korrel. Onder andere door middel van cybersabotage, zoals met gevaarlijke wiper-malware die kostbare bedrijfsdata wist of computers blokkeert door bootbestanden te verwijderen.
Filmindustrie gehackt
Soms is wissen niet het enige doel, maar slechts de laatste stap. Zie maar de actuele cyberramp die Sony Pictures is overkomen. De computers bij de filmdivisie van het Japanse concern waren ineens geblokkeerd en data was gewist. De aanvallers hebben dit pas gedaan nadat ze vele terabytes aan data hadden weggesluisd. Die buit is geleidelijk aan gestolen, want deze aanval met de Destover-malware blijkt een apt te zijn die al minstens een jaar gaande was.
De FBI heeft nu dan ook een brede waarschuwing afgegeven voor bedrijven om op hun hoede te zijn voor de vernietigende werking van wiper-malware. Ondertussen wordt het opsporen van cybercriminelen bemoeilijkt doordat professionele aanvallers bewust valse sporen achterlaten. Zit Noord-Korea erachter of zijn het afpersers? Is het extern of een insider? Zijn het Russische hackers of Chinezen? De fusie tussen cybercrime en apt’s zorgt ervoor dat dit soort complexe aanvallen steeds minder zeldzaam zullen zijn.
De toename in het aantal aanvallers is overigens mede te danken aan de naming & shaming-tactiek die wetshandhavers hanteren. Zo heeft de FBI eerder al vijf hackers van het Chinese leger met naam en toenaam geopenbaard in zijn aanklacht voor cyberspionage op Amerikaanse bedrijven. Terwijl arrestaties niet echt te verwachten zijn, is de kans groot dat openlijk geïdentificeerde aanvallers tijdelijk onderduiken en elk hun werk elders voortzetten. De versplintering van professionele aanvallers leidt zo tot meer apt-groepen. Deze zijn dan op soortgelijke doelwitten uit, waardoor bedrijven niet alleen meer aanvallen kunnen verwachten, maar ook nog eens van uit diverse hoeken.
Jezelf en je bedrijf beschermen
De creativiteit die hierbij wordt ingezet, neemt ook toe. Zie maar de Darkhotel-campagne waarbij luxe hotels zijn gecompromitteerd om vervolgens overnachtende topmanagers van specifieke bedrijven te kunnen hacken. Niet elke gast van de ‘duistere hotels’ werd gepakt, alleen doelgericht de vooraf geïdentificeerde waardevolste mensen. Hoe deze sluwe operatie is uitgevoerd? Lees daarvoor mijn vorige blog over Darkhotel.
Wordt 2015 dus een doemjaar, door de commercialisering en fusie van cybercrime en apt’s? Dat hangt af van je tegenmaatregelen. Je kunt jezelf beschermen door technologie te combineren met kennis. Zorg bijvoorbeeld voor whitelisting van software, maar zorg ook voor het veel belangrijkere element van kennis. Laat werknemers én topmanagers inlichten, trainen en bijspijkeren. Zorg dat je op de hoogte blijft, bijvoorbeeld door de gratis rapporten van de diverse security-onderzoekers en experts te lezen. Kennis is macht!
Waarom staat dit artikel bij “opinie”?