De kennis die advanced persistent threat (APT)-groepen hebben over de exploits die zij gebruiken, valt erg tegen. Dit concludeert onderzoeker Gabor Szappanos van antivirusbedrijf Sophos.
Sophos onderzocht malware samples van de CVE-2014-1761 kwetsbaarheid, dat sinds april 2014 een standaard en populaire keuze voor cybercriminelen is geworden. Vele Office versies zijn beïnvloed door deze kwetsbaarheid, maar alleen Microsoft Office 2010 Service Pack 2 (32 bit) is daadwerkelijk door cybercriminelen aangevallen. In het onderzoek werd gekeken naar de kennis van de malwareschrijvers en APT-groepen over de exploits. Volgens het rapport wordt vaak onderzoek gedaan naar de werking van beveiligingstools, maar eigenlijk nooit naar de vaardigheden van de cybercriminelen. ‘Maar het is altijd nuttig om te weten hoe sterk je tegenstander is’, aldus het rapport.
Beperkte vaardigheden
Szappanos concludeert dat APT-groepen hun creaties niet goed genoeg testen, aangezien zij het niet opmerken wanneer bepaalde functionaliteiten niet correct werken. Ook missen de APT-groepen vaardigheden voor exploitatie. De bekendste APT-groepen die door de onderzoeker zijn geanalyseerd, vielen volgens het rapport in de laagste categorie van vaardigheidsniveau. Bovendien werkte de exploits in meer dan de helft van de gevallen (57 procent) niet. ‘APT-groepen nemen snel nieuwe exploits over, maar zelf ontwikkelen ze geen exploits en doen zij ook geen aanpassingen op bestaande exploits.’
Hun vaardigheden zijn ook ten opzichte van malwareschrijvers ver beneden de maat. Malwareschrijvers hebben volgens de onderzoekers duidelijk meer kennis over de exploits dan de bekende APT-groepen. Dit is echter geen goed nieuws volgens de onderzoekers, omdat malwareschrijvers een groter bereik hebben. Dit betekent dat de cybercriminelen met het grootste bereik ook de meeste vaardigheden hebben.
Cybercriminelen wijzigen exploit niet
Ondanks dat malware-groepen meer kennis van zaken hadden, was toch ook dit inzicht vrij beperkt wat betreft het aanbrengen van wijzigingen van het exploit. Toch slaagden zowel APT-groepen als malware-groepen er in om succesvolle cyberaanvallen te plegen, maar Szappanos verwacht niet dat andere Office-versies dan de bovengenoemde zullen worden aanfevallen. Hiervoor is namelijk enige aanpassing van de exploit nodig.
Volgens Szappanos toont het onderzoek aan dat wanneer beveiligingsonderzoekers en systeembeheerders dergelijke kwetsbaarheden volgen en hierop reageren, zij beter voorbereid zijn op deze groepen. Maar ondanks de resultaten van dit onderzoek, waarschuwt hij organisaties ook dat de malwareschrijvers niet moeten worden onderschat. ‘Zij ontwikkelen geavanceerde Trojan-families en het lukt hen om deze in te zetten tegen vooraanstaande organisaties. Dat zij geen meesters zijn in het ontwikkelen van exploits, betekent niet dat zij minder gevaarlijk zijn.’
Ik concludeer dat investeren in kennis loont. Helaas geldt dat ook voor criminelen.