Column


Column Maarten Albregts

Zijn statelijke actoren ook uw vijand?

Zonder noemenswaardige ophef kwamen begin augustus wat artikelen voorbij waarin melding werd gemaakt van een nieuw type zeer geavanceerde malware. Er werd verder weinig ruchtbaarheid aan gegeven. Misschien omdat het vakantietijd was, of door het feit dat er slechts 36 infecties met dit type malware gedetecteerd zijn. Mijn interesse was in ieder geval wel gewekt.

Wat was het geval? Het is een groep cybercriminelen gelukt om vijf jaar lang onontdekt binnen overheidsorganisaties, telecombedrijven en ambassades actief te blijven.

Daarbij hadden ze de mogelijkheid om air-gapped netwerken te infiltreren door verborgen filesystemen op usb-sticks te gebruiken. De malware die werd ingezet, gebruikte niet-bekende features van bekende besturingssystemen en waarschijnlijk zero-days.

Tot op vandaag is de infectievector nog onbekend (dus hoe de malware überhaupt is binnengekomen op goed beveiligde netwerken). Om de gestolen informatie uiteindelijk naar buiten te krijgen, werd voornamelijk DNS-verkeer gebruikt en op zo’n manier dat het niet of nauwelijks opvalt in loggings of analyses. Tot slot is ook nog opmerkelijk dat iedere malwareversie uniek was en specifiek op maat was gemaakt voor de aangevallen organisatie.

Project Sauron
Bij de analyse van de malwarecode kwamen de onderzoekers een variabele tegen met de naam ‘Sauron’ (een referentie naar Tolkiens ‘The Lord of the Rings’). We refereren naar deze malware als Project Sauron (bij Symantec: Remsec). Verder bleek duidelijk dat deze malware een evolutie was van al bekende en beruchte typen geavanceerde malware zoals Duqu, Flame en Regin.

De makers van deze malware moeten over een groot budget beschikken om dergelijke geavanceerde malware te kunnen maken en exploiteren. We kunnen ervan uitgaan dat dit ‘state-sponsored’ is (Duqu heeft weer belangrijke overeenkomsten met Stuxnet en dat wordt toegeschreven aan een Amerikaans-Israëlische samenwerking). De malware is in ieder geval ontdekt door Kaspersky bij een van hun klanten en later in samenwerking met Symantec verder onderzocht.

Enkele overwegingen
Zomaar wat overwegingen bij dit soort malware: als deze geavanceerde malware al minstens vijf jaar actief was, hoe geavanceerd is dan de nog niet ontdekte malware vandaag de dag? Er wordt een hoop geschreven over ransomware, datalekken en wat nog meer. Ik zie dat bij risicoanalyses de ‘statelijke actor’ al bij voorbaat wordt uitgesloten, maar hoe goed is de dreiging-gedreven aanpak in uw organisatie?

De meeste organisaties zijn trouwens nog druk met het naleven van compliance-eisen en frameworks met maatregelen aan het afvinken (te veel resources verspillen aan maatregelen die niets met de werkelijke dreiging te maken hebben). Zij die een stap verder zijn, doen aan riskmanagement. Maar hoe laag schatten we de kans in dat een ‘nation-state driven APT’ actief is in een van onze netwerken bij een risico analyse? Laag…

Dat brengt me trouwens nog op de Indicators-of-Compromise (IoC) bij dergelijke malware. Er staat een aantal indicatoren genoemd in het Kaspersky-onderzoeksrapport. Dat zijn allemaal technische indicatoren als ip-adressen, domeinnamen en file-hashes. Maar kijkend naar de impact voor een organisatie, dan is die op het eerste gezicht niet zichtbaar. Immers, de malware is ontworpen om jaren ongedetecteerd informatie te stelen. Maar stel dat een grote commerciële organisatie toch vaak net naast die grote deal grijpt en die concurrent heeft 'm wel… Dan is dat misschien ook een IoC? Ofwel een mogelijke Business-Indicator-of-Compromise…


Lees meer over