Op maat gemaakte aanvallen op kleine schaal worden steeds populairder. Dat verwachten onderzoekers van Kaspersky Lab op basis van een gedetailleerde analyse van het Equationdrug cyberspionageplatform. Uit de analyse komt duidelijk het verschil tussen geavanceerde, door overheden gesponsorde 'cybercriminelen', en traditionele cybercriminelen naar voren.
Equationdrug is het belangrijkste spionageplatform dat is ontwikkeld door de Equation Group en is al ruim een decennium in gebruik, hoewel het nu grotendeels is vervangen door het nog geavanceerdere Grayfish-platform. ‘Deze aanvallers proberen meer stabiele, onzichtbare, betrouwbare en universele cyberspionagegereedschappen te maken’, zegt Costin Raiu, directeur van het Global Research and Analysis Team (GReAT) van Kaspersky Lab. ‘Zij doen dit door raamwerken te creëren voor het verpakken van dergelijke code in iets dat kan worden aangepast op live systemen en die een betrouwbare manier bieden om alle componenten en data in versleutelde vorm op te slaan, ontoegankelijk voor reguliere gebruikers.’
De reden dat dit type hackers anders is dan traditionele cybercriminelen, komt volgens Raiu door het feit dat het raamwerk door hen wordt verfijnd. ‘Traditionele cybercriminelen geven er echter de voorkeur aan om zich te concentreren op payloads en malwaremogelijkheden die zijn ontworpen voor directe financiële winst.’
Gerichte, op maat gemaakte aanvallen
De verfijning van het raamwerk is echter niet het enige waarop door overheden gesponsorde aanvallers hun tactieken differentiëren ten opzichte van traditionele cybercriminelen. Ook verspreiden traditionele cybercriminelen massa-mails met kwaadaardige bijlagen of infecteren websites op grote schaal. Door gesponsorde hackers daarentegen geven de voorkeur aan zeer gerichte, chirurgische aanvallen waarbij ze slechts een handvol geselecteerde gebruikers infecteren. Verder is er ook een verschil in benadering. Waar traditionele cybercriminelen meestal openbaar beschikbare broncode hergebruiken, zoals die van de beruchte Zeus of Carberb trojans, bouwen natie gesponsorde actoren unieke, op maat gemaakte malware. Daarbij implementeren ze zelfs beperkingen die decryptie en uitvoering buiten de doelcomputer voorkomen.
Meer gegevens stelen
Ten slotte zit er een verschil in de manier waarop waardevolle informatie wordt gestolen. Traditionele cybercriminelen ontbreekt het vaak aan tijd en opslagruimte om handmatig alle geïnfecteerde machines te controleren en te analyseren wie de eigenaar ervan is, welke gegevens erop staan opgeslagen en welke software ze gebruiken, voordat zij alle potentieel interessante data overzetten en opslaan. Daarom coderen zij alles-in-één-stelende malware die enkel de meest waardevolle gegevens van de computers van de slachtoffers extraheren, zoals wachtwoorden en creditcardnummers. Hierdoor kunnen ze echter snel gesignaleerd worden door op de computers geïnstalleerde beveiligingssoftware.
Aanvallers die gesponsord worden door overheden en vergelijkbare instellingen hebben daarentegen de middelen om zoveel gegevens op te slaan als ze willen. Om geen aandacht te trekken en onzichtbaar te blijven voor beveiligingssoftware proberen ze infectie van willekeurige gebruikers te voorkomen. In plaats daarvan vertrouwen ze op een generieke systeembeheertool op afstand, waarmee ze alle informatie kunnen kopiëren die ze nodig kunnen hebben, ongeacht de hoeveelheden. Dit kan echter ook tegen hen werken, omdat het verplaatsen van een grote hoeveelheden data de netwerkverbinding kan vertragen en zo argwaan kan wekken.
‘Het lijkt misschien ongebruikelijk dat een cyberspionageplatform zo krachtig als Equationdrug in zijn malware core standaard niet alle diefstalcapaciteit biedt’, aldus Raiu. Hij legt uit dat de reden hiervoor is dat ze liever een aanval op maat creëren voor elk van hun slachtoffers. ‘Alleen als ze ervoor hebben gekozen om iemand actief te volgen en de beveiligingsproducten op de betreffende machines onschadelijk zijn gemaakt, ontvangt het slachtoffer een plug-in voor het live volgen van diens gesprekken of andere specifieke functies met betrekking tot zijn activiteiten.’ Raiu gelooft dat modulariteit en maatwerk in de toekomst unieke handelsmerken zullen worden van door naties gesponsorde aanvallers.
Producten van Kaspersky Lab ontdekten een aantal pogingen om gebruikers aan te vallen via exploits die door de Equation Group worden gebruikt in hun malware. Veel van deze aanvallen mislukten vanwege de Automatic Exploit Prevention-technologie, die het exploiteren van onbekende kwetsbaarheden op generieke wijze detecteert en blokkeert.