Column


Column Maarten Albregts:

Modus operandi: de HackingTeam-hack

De vraag of een security bedrijf cq -specialist, met redelijk tot hoog awarenessniveau, slachtoffer kan worden van een hackaanval is vorig jaar al beantwoord: HackingTeam is een Italiaans bedrijf dat gespecialiseerd is in pentesting, commerciële malware voor remote toegang tot systemen en de handel in zero-day kwetsbaarheden (een van de oprichters van dit bedrijf is nota bene de bedenker van de tool ‘Ettercap’; software om man-in-the-middle-aanvallen mee uit te voeren op netwerken).

HackingTeam verkoopt software aan overheden om computers en netwerken met social-engineeringtoolkits en zero-day kwetsbaarheden te kunnen hacken: commerciële spyware. Over de manier waarop dit bedrijf zélf is gehackt, was nog niet zo veel bekend, anders dan dat er ruim 400 GB aan data is buitgemaakt, inclusief de kroonjuwelen (de remote-access-software en de gebruikte zero-day kwetsbaarheden). De hack gaf vorig jaar al wel het besef en inzicht in de verregaande vercommercialiseerde handel van zero-day kwetsbaarheden en tot dan toe nog onbekende kwetsbaarheden in onder meer iOS, Safari en Microsoft SilverLight.

Ethisch motief?
Je kunt je afvragen hoe integer een bedrijf is dat commerciële spyware software verkoopt aan dubieuze regimes, die hiermee computers van dissidenten en tegenstanders infecteren, om zodoende zicht te krijgen op online activiteiten. Ik doe daar even geen uitspraak over, maar de hacker die zich genoodzaakt zag tot actie over te gaan om dit bedrijf zélf te hacken noemt zich ‘Phineas Fisher’ (een mogelijke verwijzing naar de beruchte FinFisher-malware) en had hierbij een politiek- en voor zichzelf ethisch verantwoord motief. Afgelopen week gaf hij bovendien een zeldzaam gedetailleerd overzicht hoe hij te werk is gegaan, waarbij de bijna gehele ‘modus operandi’ in cyber-killchain-style door hem op Pastbin is geplaatst.

Een van de zaken die me fascineerde was de afweging om een securitybedrijf niet met een spear-phishingtechniek aan te vallen, maar door te besluiten zelf een zero-day kwetsbaarheid te gaan zoeken in een apparaat dat gedurende zijn reconaissance-fase in beeld was gekomen. Het betrof een COTS-verkrijgbaar product dat een groot aantal bedrijven wel ergens in een DMZ heeft staan. Onder het mom van responsible disclosure is door Phineas Fisher nog niet bekendgemaakt welk product het precies betreft, maar hij heeft een root exploit gevonden en dit als entry point gebruikt. De volledige hack is na te lezen op deze link: http://pastebin.com/raw/GPSHF04A.

Monitoren en bewaken
Zelf werk ik bij een securitybedrijf met gelukkig een groot ethisch besef. De politiek gemotiveerde hacker zou niet zomaar bij Motiv uit moeten komen… Interessante vraag die wel blijft, is hoe detecteer je, of wapen je, tegen een dergelijke aanval? “Hacker zoekt en vindt zero-day in een veel verkocht en goed aangeschreven product.” (Die leveren we zelf ook van allerhande fabrikanten.) We komen dan toch weer uit op goed ingerichte monitoring en bewaking van computernetwerken. SIEM en IDS zouden geijkte maatregelen moeten zijn om uiteindelijk zo’n hack te kunnen detecteren. Het crashen van een proces, het installeren van firmware, het herstarten van een apparaat in een DMZ. Grote aantallen data die worden verplaatst. Het zou toch te detecteren en correleren moeten zijn...

Het artikel van Phineas Phisher zette me wel aan het denken om nog betere use-cases te bedenken. De securitymonitoringmaatregel staat aan de basis van detectie van dergelijke aanvallen. Tegenwoordig wordt de traditionele SIEM trouwens steeds gerichter gevoed vanuit systemen die geavanceerde analyses voor specifieke doeleinden uitvoeren. DNS Malware Analytics van HPE bijvoorbeeld, malware-analyse uit sandbox-oplossingen als FireEye of Check Point ThreatCloud. Deze beide oplossingen had Phineas Fisher niet gedetecteerd… In het geval van de HackingTeam-hack was waarschijnlijk Microsoft Advanced Threat Analytics een gerichte maatregel geweest om de pass-the-hashaanvallen die Phineas gebruikte te detecteren. Maar dat is achteraf te constateren. De modus operandi biedt weer stof tot nadenken en monitoring use-cases!


Lees meer over