De kraak bij het Amerikaanse securitybedrijf FireEye toont eens te meer aan dat alles en iedereen is te hacken. ‘Dat de aanvallers er vandoor zijn gegaan met softwaretools voor penetratietesters is nog het minst erg’, stelt security-expert Ronald Prins.
Het zou de ‘godfather’ van de Nederlandse cybersecurity-industrie niet verbazen dat veel groter onheil is aangericht. Prins vreest dat de hackers hebben geprobeerd de updates van apparaten bij klanten te manipuleren. Volgens Prins ligt dit voor de hand. Want goede hackers die ‘binnen’ zijn geweest, gaan in eerste instantie niet achter ‘red team tools’ aan. ‘Die volgen andere scenario’s’, aldus Prins, die te gast was bij een videoconferentie van de jonge Nederlandse cyberbeveiliger Zolder.
Nadat Prins afgelopen vrijdag hierover zijn mening had gegeven, werd dit weekeinde bekend dat vermoedelijk Russische hackers inzage hebben gehad in het interne emailverkeer bij het Amerikaanse ministerie van Financiën. Ook het agentschap dat gaat over internet en telecommunicatie zou zijn bespioneerd. Verder bestaat binnen de kring van Amerikaanse veiligheidsdiensten de vrees dat ook andere, niet nader genoemde overheidsdiensten zijn gehackt.
Persbureau Reuters haalt twee anonieme bronnen aan die stellen dat de lekken onderdeel zijn van een brede campagne die ook de hack van FireEye omvat. De hacks in Washington zijn zo ernstig dat de Nationale Veiligheidsraad afgelopen zaterdag bijeen kwam voor spoedberaad.
Billen bloot
In verband met de beursregels moest het bedrijf met de billen bloot. Volgens Prins heeft FireEye het qua communicatie slim aangepakt. Het valt hem op dat alle nadruk wordt gelegd op de gestolen tools. Hij acht het niet ondenkbaar dat FireEye dit heeft gedaan om de aandacht van de hoofdzaak af te leiden. Prins gelooft niet dat de aanvallers in de eerste plaats op de tools uit waren. Hun interesse was eerder gericht op de overheidsinstellingen die bij FireEye klant zijn.
Volgens FireEye is er geen bewijs dat de tools door de aanvallers zijn gebruikt of dat klantgegevens zijn weggelekt. Maar conclusies zijn prematuur. Het ontbreken van bewijs betekent allerminst dat dit niet is gebeurd. De FBI en Microsoft doen hier nog onderzoek naar.
Eredivisie
Prins, die onlangs het nieuwe bedrijf Hunt & Hackett startte, weet dat zo’n soort hack extra hard aankomt bij beveiligingsbedrijven. Ook Fox-IT, het bedrijf waarvan Prins medeoprichter was, kreeg eens een aanval te verduren. Avast, Bit9, RSA en Kaspersky ondergingen hetzelfde lot. Het is in de wereld van cybersecurity een bekend gegeven dat goede hackers als ze maar lang genoeg proberen altijd wel een manier vinden om binnen te dringen. Zeker de Russische staatshackers die naar verluidt achter de aanval op FireEye zitten, zijn tot veel in staat.
FireEye-topman Kevin Mandia schreef de hack toe aan een land met aanvalskwaliteiten uit de eredivisie van de hackerswereld. Volgens de Washington Post zit de Russische buitenlandse geheime dienst SVR achter de aanval. Het team hackers dat aan de SVR is verbonden, staat bekend onder de namen APT29 of Cozy Bear. Dezelfde groep hackte in 2015 de servers van de Democraten in Amerika. Onlangs zou deze spionagegroep data van Covid-19 vaccinatie-onderzoek hebben geprobeerd te stelen.
Zwakke plekken
Over de omvang van de schade bij FireEye valt nog niet veel te zeggen. Het Amerikaanse bedrijf lijkt de hack snel naar buiten te hebben gebracht, al is niet bekendgemaakt wanneer de aanval plaatsvond.
Prins benadrukt dat de diefstal van de tools niet heel erg hoeft schadelijk te zijn. Van die tools waarmee pentesters zwakke plekken in de security van hun opdrachtgever kunnen opsporen, is volgens hem veertig procent standaard. Ongeveer eenzelfde percentage betreft tools die FireEye iets heeft verbeterd maar verder bekend terrein zijn. FireEye heeft daar vrij veel informatie over naar buiten gebracht. Ook stelt het bedrijf dat de gestolen tools geen lekken bevatten waartegen geen bescherming mogelijk is.
Supergeheime tools
Insiders uit de securitywereld zien ook geen parallel met 2015 toen het softwarebedrijf Hacking Team gevaarlijke tools kwijtraakte gevolgd door een diefstal bij Amerikaanse NSA in 2017. Beide lekken stelden hackers in staat honderdduizenden systemen binnen te dringen en enorme schade te veroorzaken. Ditmaal zijn geen supergeheime tools in verkeerde handen geraakt.
Mike Wiacek, ceo van Stairwell en voormalig baas van Google’s Threat Analysis Group, zegt in CSO Online dat de hackersgroep gelet op hun bestaande capaciteiten ook niet om deze tools zitten te springen. Hij ziet de diefstal van de tools als bijvangst. Verder oppert hij de mogelijkheid dat de hackers de tools hebben meegenomen zonder van tevoren te weten of ze nuttig zijn. Volgens hem kan het voor aanvallers sowieso handig zijn om te weten hoe FireEye bij klanten penetratietests doet.
Andere onderzoekers stellen dat de hackers op basis van de tools nieuwe aanvalsmethoden kunnen ontwikkelen. Verder bestaat de kans dat de gestolen tools in handen komen van cybercriminelen die minder bedreven zijn dan Cozy Bear.
Overigens is FireEye begonnen klanten zoveel mogelijk te vrijwaren van de schadelijke gevolgen als gevolg van de kraak. Meer dan driehonderd tegenmaatregelen zijn genomen. Daarnaast is andere securitybedrijven alle informatie aangeboden die nodig is om passende tegenacties te nemen. Meteen is een lijst van kwetsbaarheden vrijgegeven waarop bedrijven moeten letten. Ook is aangegeven hoe het gebruik van gestolen tools is te ontdekken. Dit maakt de kans op schade kleiner als hackers met de gestolen tools aanvallen doen.
FireEye heeft wereldwijd zo’n 9.600 klanten waaronder ruim duizend overheidsinstellingen en politieorganisaties. Het bedrijf kent ook vestigingen in Nederland en België.
Natuurlijk is het slordig dat een bedrijf waarvan je het niet zou verwachten het slachtoffer is van een hack en het bewijst maar weer eens dat vertrouwen goed is maar controle beter. Of de schade inderdaad meer dan reputatieschade betreft is iets wat de toekomst leert want het ontbreken van bewijs betekent inderdaad allerminst dat dit niet is gebeurd. Want het verschil tussen cyberspionage en cybercrimininaliteit is maar klein en als je – zoals Mike Wiacek stelt – weet hoe de hazen lopen door de tools te stelen dan snijdt je de ‘scriptkiddies’ niet alleen de pas af maar kun je ook je (tegen)aanval beter plannen.
Oja, een ander (bij NCSC bekend) probleem is dat er trojan zit in SolarWinds Orion wat dus zoiets is als een achterdeur:
https://advisories.ncsc.nl/advisory?id=NCSC-2020-1021
Ben ik de enige die hier een patroon in herkent wat we eerder gezien hebben… M.E. Doc met NotPetya?
Dus door een leverancier te hacken, daar een update vol te stoppen met malware of tools die malware binnen halen en deze via gesignde en dus “veilig” geachte updates te verspreiden.
In feite komt de trojan al binnen de op klassieke manier via de poort van de klant die het paard zelf naar binnen haalt.
Henri,
Je bent natuurlijk de slimste van ons allemaal dus dat jij als enige de list in het paard van Troje doorziet zou me niks verbazen. En nu ik erover nadenk is het geniaal wat je voorstelt, iedereen bang maken om snel updates aan te brengen om deze net als in de Griekse mythologie te voorzien van code om zo bressen in de verdedigingsmuur te maken en een aanvalsmacht binnen de muren te verkrijgen.
Haha, oudlid, ik snap je reactie en zo bedoelde ik het niet.
Voor mij voelt het als een inzicht.. Ik heb bijvoorbeeld ook een PRTG monitor wat niet heel anders is dan SolarWinds Orion. PRTG staat aan dat automatisch alle updates worden geïnstalleerd, juist uit veiligheid. Maar ik heb nu dus extra maatregelen getroffen die PRTG minder krachtig maken, maar daarmee wel voorkom dat PRTG in plaats van de oplossing het probleem blijkt te zijn.
Precies tegenovergesteld van wat je zegt dat ik doe.
En zoals jij proza produceert in je reacties geef je blijk van grote intelligentie en belezenheid. Maar dat is toch weer anders dan slim 🙂
oudlid is niet de slimste maar wel intelligent
henri is wel de slimste maar bedoelde het niet zo.
ze houden beiden niet zo van ad hominem, zeggen ze.
het advies is om geen updates te installeren, voor uw eigen veiligheid.
wat is nu wijsheid ?
Henri,
Het gemak van automatische updates kent inderdaad een risico want security is niet een ‘set & forget’ discipline, hackers zijn zowel slim als intelligent. En nee Dino, ik adviseer niet om updates achterwege te laten maar om enige terughoudendheid in het aanbrengen ervan want we kennen in de verdediging van onze eigen waterlinie ook de krijgslist met het turfschip van Breda. Ik wees daarom in mijn eerste reactie op het verschil tussen vertrouwen en controle want laatste ‘verwaterd’ nog weleens:
“Een slimme generaal vermijdt een leger als het scherp is, maar valt aan als het traag is en geneigd is om terug te keren. Dat is de kunst van het bestuderen van stemmingen.” – Sun Tzu