Een goede teaser prikkelt de nieuwsgierigheid. En dat deed Fox-It met zijn sessie ‘Zo hacken Russische spionnen’. De animo ervoor was zo groot dat de organisatie moest uitwijken van een zaal met honderd naar een zaal met vierhonderd stoelen – en ook die was tot de nok toe gevuld.
‘Threat Intelligence Analyst Maarten van Dantzig van 14:00u – 14:45u het seminar ‘Zo hacken Russische spionnen’’, twitterde Fox-It voorafgaand aan de Infosecurity.nl, Data & Cloud Expo. Alsof de duivel ermee speelde, want op genoemd tijdstip geen Van Dantzig. De cybersecurityspecialist verbonden aan de Nederlandse autoriteit op het gebied van cybersecurity had wat anders aan zijn hoofd, en wel een ‘groot incident elders’, met mogelijk Russische inbreng. Wel op het podium van Theater 4 zijn collega-veiligheidsexpert Frank Groenewegen.
Met Groenewegen aan het woord bleef het onderwerp in goede handen. Groenewegen en Van Dantzig waren nauw betrokken bij een onderzoek bij ‘een internationale klant met kantoren in Nederland’, die ongewenst bezoek op zijn netwerk had. Het was ook dit onderzoek waarmee Groenewegen het publiek liet kennismaken. Daarvoor ging hij naar het security operations center (soc) van Fox-It tussen 2013 en 2014. Kwade genius in de spionagethriller is de Turla-groep, een naar verluidt hackersgroep in dienst van de Russische geheime dienst. Geen kleine jongens zowaar; volgens Groenewegen ‘een team dat zich ophoudt in de Champions League van de internationale hackerswereld’ en al twintig jaar wereldwijd actief is om bedrijven te saboteren.
Scalpen
Het mogen dan de slechteriken zijn, het beeld dat Groenewegen vervolgens van Turla schetst, dwingt bewondering af. Scalpen aan de broeksriem van het hackerscollectief: het interne netwerk van Pentagon (2008), het Belgische ministerie van Binnenlandse Zaken (2014; het ministerie stond als gevolg van de hack binnen de Europese grenzen maandenlang op de zwarte lijst, want ‘onbetrouwbaar’), een Zwitsers defensiebedrijf (2014), het Duitse parlement (2018) en recent de Iraanse inlichtingendienst.
Dat laatste incident was volgens Groenewegen bijzonder interessant, omdat het in de kern bleek te gaan om hackgroep die een andere hackgroep tot slachtoffer maakte.
Rode draad in het betoog was Snake, een geavanceerde, zelfontworpen rootkit die Turla bij zijn operaties inzet, zo ook in het door hem aangehaalde praktijkvoorbeeld. Groenewegen verduidelijkt dat de rootkit óók malware is. ‘De rootkit is modulaire malware, een framework. Wat wil zeggen dat ze alleen de modules activeren die noodzakelijk zijn voor de operatie. Ze activeren dus eerst een klein stukje malware, daarna een ander groter stuk malware om vervolgens de rootkit – derde stuk malware – te activeren.’
Behalve de vooruitstrevende technieken waarmee Turla werkt, springt ook de gedegen en gefaseerde voorbereiding in het oog. Geen lawaaierige hit-and-run, maar operaties waarbij Turla zich heel geleidelijk zo goed als onzichtbaar in een netwerk nestelt en jarenlang een eindeloze reeks van brokjes informatie wegsluist.
Natuurlijk was Groenewegens spreekbeurt voor alles een proeve van bekwaamheid. Terecht. Immers, het in Delft gevestigde cybersecuritybedrijf ziet er – en kennelijk niet zonder succes – al twintig jaar op toe dat het digitale verkeer wat veiliger verloopt. Maar Groenewegen wilde bovenal tips geven. Juist die insteek was voor Fox-It reden om de sessie te verzorgen. Groenewegen: ‘Buiten dat het een spannend verhaal is, wil ik graag dat de toeschouwers begrijpen hoe dit soort aanvallers te werk gaan. Op basis daarvan hoop ik dat ze zelf zich beter kunnen voorbereiden en alvast nadenken wat ze zouden doen als dit bij hun zelf zou gebeuren.’
De goede opkomst bewees genoeg.
Tips
Hamvraag is dan: hoe detecteer je spionnen? ‘Het is een combinatie van dingen, maar veelal geluk’, merkt de Fox-It-medewerker daarover op. Dat klinkt niet hoopvol. Wat de veiligheidsexpert er vooral mee wil zeggen is dat niemand veilig is, maar dat met goede detectie een hoop ergere ellende is te voorkomen.
Nog meer tips: ken je tegenstander, en overleg vaak en veelvuldig met securityexperts. Groenewegen: ‘Doe alleen waar je goed in bent! Als je vreemde dingen ziet gebeuren in je netwerk en je iets niet zeker weet, vraag een second opinion aan een cybersecurityexpert die voldoende en bewezen ervaring heeft voordat je overgaat tot actie. Het kan een groot incident voorkomen.’
Toch slachtoffer van een hack? Vraag je dan drie dingen af: wat is de scope van de hack, hoe zijn ze binnengekomen (‘Als je dat niet weet, komen ze morgen weer.’) en welke info is gestolen (in het licht van de AVG)?
Terug naar het Nederlandse praktijkvoorbeeld, waarbij Fox-It de Turla-groep op heterdaad betrapte. Daar moest uiteindelijk een blunder – het door Groenewegen genoemde geluk – aan voorafgaan. Want bij het uitrollen van een upgrade van de Snake-rootkit over het netwerk van het slachtoffer bedienden de hackers zich van een gewone kopieeractie en niet van de veilige optie waarover de rootkit wel beschikt. ‘Kennelijk was dat net even te omslachtig. Het werk van domme operators’, merkt Groenewegen op. Het betekende wel dat daarmee de dekking even wegviel en de medewerkers in het Fox-It-soc opeens vreemde dingen konden zien gebeuren en op onderzoek uitgingen.
Ook sterspelers in de Champions League missen weleens een strafschop.