Column


Column Guido Hettema

Hackers vinden nieuw doelwit: de media

De cyberaanvallen op financiële instellingen en retailers kennen we wel. Maar een andere sector heeft ook steeds meer te maken met bedreigingen: de media.

Op websites van uitgevers zijn niet alleen kwaadwillende scripts te plaatsen, ze kunnen ook dienen als plek voor downloads van malware op het systeem van een eindgebruiker. Zoiets gebeurde ook bij de Britse krant The Guardian in december vorig jaar. Een gearchiveerd artikel over cybercrime leidde gebruikers naar de Angler Exploit Kit die probeerde de lezer te infecteren met malware. In dit voorbeeld ging het om een technisch vrij complexe aanval, maar die op de Chinese Central News Agency was eenvoudiger. De website werd gehackt en de belangrijkste pagina onleesbaar gemaakt.

De boodschap was simpel: de site zou weer zijn normale vorm krijgen als er geld werd overgemaakt. De afgelopen jaren hield de Russische hacker ‘w0rm’ databasedumps met gevoelige data in gijzeling van CNET, Vice en de Wall Street Journal. Deze hacker publiceerde daarnaast SQL-injectiekwetsbaarheden (SQLi) die betrekking hadden op websites van ABC, USA Today en CBC/Radio-Canada en konden leiden tot het lekken van gevoelige data.

Hacktivisme
Maar geld is niet de enige motivatie voor aanvallen op digitale media. Soms vind je de achtergrond in land, religie, cultuur of persoonlijke overtuiging. De pro-Assad-hackgroep Syrian Electronic Army (SEA) richtte zijn pijlen de afgelopen jaren op nieuwssites die voor hun propaganda werken als een rode lap voor een stier. Helaas zijn uitgevers aantrekkelijke doelwitten voor deze campagnes. De SEA heeft een schat aan tools, technieken en procedures (TTP’s) tot zijn beschikking. Denk aan DNS-hijacken, overnames van social media-accounts, malware- en phishing-campagnes, DDoS-aanvallen, misbruik van kwetsbaarheden in contentmanagementsystemen en een eigen Linux-besturingssysteem van waaruit dit alles te orkestreren is. Een van de bekendste hackers-activisten zijn de leden van hackerscollectief Anonymous. Zij zijn niet vies van databaselekken van websites en van het defacen van sites, hoewel de DDos-aanval favoriet blijft.

Voor de lol
En er zijn nog meer redenen om aanvallen uit te voeren. Veel hackers willen met hun aanval gewoon de aandacht van de media en medehackers trekken. Dit type activiteiten wordt ook wel aangeduid als hacks die ‘simply for the lulz’ zijn uitgevoerd – internettaal voor: puur en alleen gedaan voor eigen plezier. Deze aanvallen kunnen de vorm aannemen van Local File Inclusion (LFI) en SQLi, zoals de anti-media-aanval van NullCrew, die gevoelige data – verkregen van Al Arabiya, CBC en PBS – op straat gooide.

Vorig jaar voelde bitcoin-nieuwssite CoinFire de pijn drie keer zo hard: de site kreeg te maken met domeinkaping, overname van social media-accounts én DDoS. Maar de mediagerelateerde DDoS-aanval die bij de meeste mensen waarschijnlijk nog het meest vers in het geheugen ligt, is die op de BBC op oudjaarsavond vorig jaar – door veel media de grootste DDoS-aanval ooit genoemd. Toen ZDNet eind januari een artikel publiceerde waarin de omvang van de aanval in twijfel werd getrokken, werd de site zelf doelwit van een vergeldingsactie, een DDoS-aanval geclaimd door de New World Hackers.

Wat te doen?
Ook al blijven de verschillende genoemde motieven hackers aansporen door te gaan met aanvallen op digitale media, uitgevers zullen echt geen afscheid nemen van hun platformen. Wat moeten ze dan wel doen?

Er is geen wondermiddel dat beschermt tegen de vele tools en strategieën die deze aanvallers gebruiken. Als organisatie moet je jezelf dus beschermen met up-to-date kennis over de bedreigingen waarmee je te maken krijgt. Voor DNS-hijacking is het bijvoorbeeld van belang te zorgen voor registry locks, en multi-factor authenticatie te gebruiken waar mogelijk. Voldoet je systeem niet aan je security-verwachtingen, kies dan voor een overstap naar een andere provider.

Voor bescherming tegen platleggen van je site, hosten van kwaadaardige scripts, LFI en SQLi is het raadzaam de technologische onderdelen van je aanwezigheid op het web up-to-date te houden en ze onderdeel te maken van een regelmatig patchproces. Overweeg ook een krachtigere web application firewall (WAF) te installeren. Daarmee houd je pogingen tot kwaadaardige communicatie met je site in de gaten en kun je snel actie ondernemen.

Kies bij DDoS-bescherming voor een leverancier die kan werken met jouw unieke omgeving én opgewassen is tegen elk denkbaar aanvalsniveau. Want het laatste wat je in het heetst van de strijd wilt, is wisselen van leverancier.


Lees meer over