Hou drie typen hackers in de gaten


Veel IT-afdelingen hebben een goede kennis van de technologie die zij gebruiken om hun organisatie of datacenter te beschermen tegen cybercriminelen. Of het nu gaat om UTM-appliances, oplossingen voor compliance management, tools om wifi-netwerken af te schermen of BYOD device management. Maar kennen zij hun vijanden net zo goed als zij met dit soort tools uit de voeten kunnen?


Hoe beter wij onze vrienden, kennissen of buren kennen, hoe beter we elkaar begrijpen en – dus – met elkaar omgaan. Dat geldt niet alleen voor menselijke relaties, maar ook voor de wereld van informatiebeveiliging. Laten we daarom een gewetensvraag stellen: hoe goed kent u uw vijanden? Letterlijk. Pak de meest recente security-incidenten die uw organisatie heeft meegemaakt: kent u de persoon die achter dit incident zat? Wat hem ertoe gebracht heeft juist uw organisatie op de korrel te nemen? Of om überhaupt zich met deze – zeg maar – ‘tak van sport’ te gaan bezig houden?

Essentiële informatie
Grote kans is dat u het antwoord op deze vragen schuldig moet blijven. Dat is een gemiste kans, want hoe goed uw technische beschermingsmaatregelen ook mogen zijn, als u niets weet over de motivatie van uw tegenstander, ontbreekt er essentiële informatie die het verschil kunnen uitmaken tussen succes en falen.

Onderzoek van WatchGuard heeft uitgewezen dat er drie typen hackers bestaan: de hacktivist, de cybercrimineel en de door landen of staten gesponsorde aanvallers.


The Hacktivist
De hacktivist wordt gedreven door politieke motieven. We hebben het hier in de regel over politieke activisten die de kracht van internet hebben ontdekt. Zij gebruiken cyberaanvallen als manier om hun politieke boodschap gehoord te krijgen of kracht bij te zetten. Denk aan groepen als Anonymous, maar ook aan de acties van het ‘Syrian Electronic Army‘. Veelal gaat het om decentraal optredende groepjes individuen, waar geen sprake is van een centrale leiding.

Ondanks het feit dat er van een georganiseerd verband vaak nauwelijks sprake is, kunnen deze groepen serieuze problemen veroorzaken. Zij maken veelal gebruik van gratis van internet geplukte ‘script kiddie’-tools als HOIC en LOIC, waarmee zij vooral DDOS (distributed denial of service) aanvallen uitvoeren. Dat is een op zich weinig ‘sophisticated’ aanvalstype, maar de problemen zijn er voor hun doelwit niet minder groot door. Sommige hacktivists hebben echter meer techniek aan boord en kiezen voor aanvallen op webapplicaties – denk aan SQL-injecties – om gegevens te stelen. Hun doel is meestal om hun slachtoffer een slecht imago te bezorgen door gevoelige gegevens openbaar te maken. Een fenomeen dat ‘doxing’ wordt genoemd.

Hacktivists willen hun doelwit dwingen om – bijvoorbeeld – hun beleid aan te passen. Denk aan dierenwelzijn en dergelijke. Dit betekent dat zeker niet alleen overheden of multinationals op de korrel genomen worden, maar ook kleinere bedrijven het slachtoffer kunnen worden.

Cybercriminelen
Deze groep wordt gedreven door maar één doel: geld verdienen – op welke manier dan ook. Het lastige van deze groep is dat deze zo divers is. Er zitten éénpitters tussen, maar ook strak georganiseerde en gefinancierde maffiabendes. Gezamenlijk zijn zij wereldwijd goed voor ‘een omzet’ van vele miljarden euros per jaar, geld dat zij stelen van zowel burgers, bedrijven als overheden.

Cybercriminelen maken deel uit van een ‘underground economy’ die groeit en bloeit als nooit te voren. Hier vindt een rauwe vorm van kapitalisme plaats waarbij sommige partijen nieuwe technologie en nieuwe producten ontwikkelen, andere groepen deze via webshops te koop of te huur aanbieden, terwijl weer andere groepen deze tools afnemen om daadwerkelijk aanvallen uit voeren. Soms zijn deze aanvallen bedoeld om geld afhandig te maken, maar veel aanvallen hebben ook tot doel om informatie te verzamelen die weer verhuurd of verkocht kan worden. Momenteel zijn web exploits als Blackhole, Phoenix en Nuclear Pack erg populair. Op basis hiervan kunnen zij vergaand geautomatiseerde aanvallen uitvoeren op argeloze gebruikers van websites of webapplicaties zonder dat deze personen er iets van merken (drive-by attacks). Aanvallen, info verzamelen en categoriseren gebeurt allemaal geautomatiseerd.

Door regeringen gesponsorde aanvallers
Dit is een relatief nieuwe groep van hackers waar veel analisten en security-bedrijven zich grote zorgen maken. Deze hackers worden namelijk gefinancierd door regeringen om zeer geavanceerde technologie te ontwikkelen en te gebruiken om aanvallen op zorgvuldig geselecteerde bedrijven of overheidsinstellingen uit te voeren. Doel van de aanval is veelal het stelen van intellectuele eigendommen.

Twee recente voorbeelden laten zien welke risico’s we met dit type hackers lopen. Neem Operation Aurora. Algemeen wordt er van uitgegaan dat deze aanval is uitgevoerd door Chinese hackers om toegang te krijgen tot Google en een aantal andere grote bedrijven. Men was op zoek naar gevoelige bedrijfsinformatie. Dezelfde groep lijkt ook ingebroken te hebben – of pogingen daartoe gedaan te hebben – bij Amerikaanse veiligheidsdiensten.

Stuxnet valt ook in deze categorie. In dit geval lijken een of meer staten opdracht gegeven te hebben voor het ontwikkelen van malware die zich niet alleen jarenlang schuil heeft gehouden in computersystemen die industriële installaties aansturen, maar die tevens in staat waren om zogeheten PLC’s (programmable logic controllers) te infecteren zodat deze anders dan bedoeld zouden functioneren. De aanval leek met name gericht op de nucleaire installaties van Iran.

Zeer geavanceerd
Van deze drie groepen hackers maakt de laatste groep in de regel gebruik van de meest geavanceerde tools. Juist door de betrokkenheid van een regering zijn de aanvallers veilig en kunnen zij veel geld investeren in het aantrekken van briljante researchers die – bewust of onbewust – aan het ontwikkelen van zeer geraffineerde software werken. Vaak wordt gebruik gemaakt van ‘vulnerabilities’ die nog niet algemeen bekend zijn. Een teken dat personen aan het werk zijn met een zeer diepgaande kennis van de security-industrie. Kijk ook niet raar op als deze aanvallers gebruik maken van stenografische technieken, kernel level rootkits en zeer geavanceerde vormen van encryptie. Allemaal bedoeld om bestaande security-maatregelen te omzeilen en ontdekking van een aanval te voorkomen. Deze aanvallers zijn – niet onlogisch, gezien hun opdrachtgevers – zeer vasthoudend en staan er om bekend om hele series aanvallen op een bepaald doelwit uit te voeren, net zo lang tot men ‘binnen’ is. Een fenomeen dat inmiddels ook wel ‘advanced persistent threat’ (APT) wordt genoemd.

Veel security professionals hebben de laatste jaren flinke vooruitgang geboekt als het gaat om het buiten de deur houden van de eerste twee typen hackers. De derde groep is daarentegen van een geheel ander niveau. In alle drie gevallen geldt echter dat we er als security professionals niet zijn met enkel en alleen het aanschaffen van moderne hardware en software tools. We moeten goed weten wie zich een weg naar binnen probeert te banen. Hebben we daar een goed beeld van, dan weten we ook meer over de tools en technieken die zij in de regel zullen gebruiken. En dat is zeer waardevolle informatie voor wie zijn business goed wil beschermen.

Auteur: Etienne van der Woude is Regional Sales Manager Benelux van WatchGuard