APT's kunnen vaak worden gelinkt aan bredere cyberaanvallen
Bepaalde cyberaanvallen lijken op het eerste oog niets met elkaar te maken hebben, maar kunnen wel degelijk worden gelinkt aan bredere aanvallen. Zo maken cybercriminelen gebruik van gezamenlijke ontwikkeling en distributie van hun malware. Organisaties en consumenten worden dan ook vaak veel gerichter aangevallen dan ze zich realiseren.
Dit concludeert FireEye, ontwikkelaar van een virtueel beveiligingsplatform dat organisaties real-time bescherming biedt tegen de nieuwste cyberaanvallen, in haar laatste rapport Supply Chain Analysis: From Quartermaster to Sunshop.
Belangrijke overeenkomsten
Het rapport heeft 11 APT-campagnes onderzocht die verschillende industrieën als doelwit hadden. In eerste instantie leek het erop dat er geen relaties waren in de campagnes, maar na uitgebreid onderzoek zijn er belangrijke overeenkomsten naar voren gekomen. Zo is gebruik gemaakt van dezelfde malware-tools, code-elementen, binaire cijfers met dezelfde tijdstempel en ondertekende binaire cijfers met dezelfde digitale certificaten.
Het onderzoek toont aan dat cybercriminelen malware gezamenlijk ontwikkelen en distribueren. Ondanks dat er verscheidene APT-actoren zijn gebruikt en de verschillen tussen de campagnes groot zijn, is er ook overlapping. Deze gezamenlijke ontwikkeling en distributie kan het beste omschreven worden als een digitale kwartiermaker. De persoon of groep achter deze aanvallen stuurt deze aanvallen aan als voorbereiding op iets groters. Hierbij staat de missie centraal: de levering en het onderhoud van malware-tools die cyberspionage ondersteunen. Deze digitale kwartiermaker kan bijvoorbeeld een digitale cyber-wapenhandelaar zijn die ingangen in gecompromitteerde systemen levert en onderhoudt.
Hulpprogramma
Daarnaast hebben de onderzoekers van FireEye een hulpprogramma aangetroffen dat hoogstwaarschijnlijk is gebruikt bij een aantal van de 11 APT-campagnes. De dialogen en menu-opties in dit programma zijn in het Chinees, waaruit blijkt dat ze waarschijnlijk zijn ontwikkeld en gebruikt door Chinezen.
“Ons onderzoek richt zich op de planning en ontwikkelingen van één of meerdere advanced persistant threat (ATP) actoren”, zegt Darien Kindlund, manager threat intelligence bij FireEye. “Het is duidelijk dat malware de voorkeur heeft bij cyberaanvallen. Het stroomlijnen van malware-ontwikkeling biedt financieel voordeel voor aanvallers. Uit de onderzoeksresultaten blijkt verder dat de aanvallen in de toekomst meer gericht zullen zijn op specifieke industrieën om groter financieel gewin te realiseren.”
