Spy Wars: hoe door overheden ondersteunde cybergroepen elkaar bestelen en kopiëren

  1. 5 okt 2017
  2. 0 reacties

Geavanceerde groepen cyberaanvallers hacken andere groepen om data van slachtoffers te stelen, tools en technieken te ‘lenen’ en de infrastructuur van elkaar te gebruiken, wat het voor beveiligingsonderzoekers steeds moeilijker maakt om nauwkeurige inlichtingen over dreigingen in te winnen, aldus Kaspersky Lab's Global Research and Analysis Team (GReAT).

kasperskylab_200x46 Accurate informatie over digitale dreigingen berust op het identificeren van patronen en instrumenten die een bepaalde groep cyberaanvallers kenmerken. Dergelijke kennis stelt onderzoekers in staat om beoogde doelen, doelstellingen en gedrag van verschillende aanvallers in kaart te brengen en organisaties te helpen bij het vaststellen van hun risiconiveau. Van dit systeem blijft echter niet veel over als cybergroepen elkaar beginnen te hacken en hulpmiddelen, infrastructuur en zelfs slachtoffers van elkaar overnemen.

Kaspersky Lab acht het waarschijnlijk dat dergelijke aanvallen hoofdzakelijk worden uitgevoerd door groepen die door bepaalde landen worden ondersteund en hun pijlen richten op buitenlandse of minder competente aanvallers. Het is belangrijk dat IT-beveiligingsonderzoekers leren de signalen van deze aanvallen te herkennen en interpreteren, zodat ze hun bevindingen in de juiste context kunnen presenteren.

In een gedetailleerd verslag van de kansen voor dergelijke aanvallen onderscheiden GReAT-onderzoekers twee belangrijke benaderingen: passief en actief. Bij passieve aanvallen worden de data van andere groepen onderschept terwijl ze ‘onderweg’ zijn – bijvoorbeeld van de slachtoffers naar command- en controlservers – en vrijwel niet kunnen worden gedetecteerd. De actieve aanpak houdt in dat de infrastructuur van een andere cybergroep wordt geïnfiltreerd.

De actieve aanpak geeft een grotere kans op detectie, maar biedt de aanvaller ook de kans om frequent informatie te extraheren, de andere cybergroep en zijn slachtoffers in de gaten te houden of mogelijk zelfs eigen implantaten en aanvallen aan de andere cybergroep toe te schrijven. Het succes van actieve aanvallen leunt zwaar op fouten in de operationele beveiliging van het doelwit. Gedurende het onderzoek naar specifieke cybergroepen is GReAT gestuit op enkele verrassende artefacten die de suggestie wekken dat dergelijke actieve aanvallen al ‘in het wild’ plaatsvinden.

Enkele voorbeelden:

1. Achterdeuren die in de command-and-control-infrastructuur (C&C) van een andere entiteit zijn aangebracht

Door een achterdeur in een gehackt netwerk te installeren, kunnen aanvallers zich stevig in de operaties van een andere groep nestelen. Onderzoekers van Kaspersky Lab hebben twee gevallen ontdekt waarbij sprake lijkt te zijn van zulke backdoors.

Een daarvan is ontdekt in 2013, tijdens de analyse van een server van NetTraveler, een campagne in het Chinees die was gericht op activisten en organisaties in Azië. De tweede kwam in 2014 aan het licht, gedurende het onderzoek van een website die was gehackt door Crouching Yeti (ook bekend als Energetic Bear), een dreigingsactor die gebruik maakt van de Russische taal en sinds 2010 actief is. Het viel de onderzoekers op dat het panel dat het C&C-netwerk beheerde korte tijd was voorzien van een tag die naar een externe IP in China wees (waarschijnlijk een false flag). De onderzoekers vermoeden dat dit ook een achterdeur van een andere groep betrof, hoewel er geen aanwijzingen zijn gevonden voor het identificeren van deze groep.

2. Gehackte websites delen

In 2016 ontdekten onderzoekers van Kaspersky Lab dat een door het Koreaans-talige DarkHotel besmette website ook exploit scripts bevatte van ScarCruft, een groep die het voornamelijk op Russische, Chinese en Zuid-Koreaanse organisaties heeft gemunt. De DarkHotel-operatie is begonnen in april 2016, terwijl de ScarCruft-aanvallen een maand later werden geïmplementeerd. Dit suggereert dat ScarCruft de DarkHotel-aanvallen heeft geobserveerd alvorens de eigen activiteiten aan te vangen.

3. Targeting-by-proxy

Door een groep te infiltreren die zich al in een bepaalde regio of bedrijfssector heeft gevestigd, en op die manier te profiteren van de specialistische expertise van die groep, kan een aanvaller de kosten drukken en zijn doelmatigheid vergroten.

Sommige cybergroepen geven de voorkeur aan delen boven stelen. Dit zal een riskante aanpak blijken als een van de groepen minder gevorderd is en in de kraag wordt gevat, aangezien de in dat geval onvermijdelijke forensische analyse ook de andere indringers zal onthullen. In november 2014 meldde Kaspersky Lab dat een server van een onderzoeksinstelling in het Midden-Oosten, bekend geworden als de Magnet of Threats, tegelijkertijd onderdak bood aan implantaten van de zeer geavanceerde dreigingsactoren Regin en Equation Group (Engelstalig), Turla en ItaDuke (Russisch), Animal Farm (Franstalig) en Careto (Spaans). Deze server bleek zelfs het beginpunt te zijn van de ontdekking van Equation Group.

"Het is altijd al moeilijk om dreigingen te onderkennen, omdat bruikbare aanwijzingen dun gezaaid zijn en ook nog eens gemanipuleerd kunnen worden, maar nu moeten we ook al rekening houden met cyberaanvallers die het op elkáár hebben voorzien”, zegt Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab. “Als groepen gebruikmaken van elkaars tools, slachtoffers en infrastructuren, en elkaars identiteit aannemen bij het uitvoeren van hun acties, hoe kunnen onze onderzoekers dit alles dan nog nauwkeurig in kaart brengen? We kunnen constateren dat dergelijke praktijken al tot de realiteit behoren, wat inhoudt dat de onderzoekers pas op de plaats moeten maken, om hun manier van denken af te stemmen op die van deze geavanceerde cybergroepen.”

Om gelijke tred te houden met het snel evoluerende dreigingslandschap, adviseert Kaspersky Lab de implementatie van een volledig beveiligingsplatform in combinatie met de meest recente dreigingsdata. De bedrijfsbeveiligingsportefeuille van Kaspersky Lab biedt optimale bescherming met zijn nieuwe generatie endpoint security-pakket, detectie op basis van het Kaspersky Anti Targeted Attack-platform en voorspellings- en incidentrespons via de threat intelligence-diensten.

De paper getiteld Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell bevat gedetailleerde informatie over de manieren waarop groepen cyberaanvallers elementen van andere groepen verwerven en hergebruiken – zoals hergebruik van tools en malware-clustering – en de gevolgen van deze praktijken voor dreigingsinlichtingen.