Gerichte aanvallen waarbij het aanvallers om een specifiek bedrijf of overheidsinstelling te doen is, zijn de afgelopen jaren explosief gestegen. Ging het in 2005 nog om een a twee aanvallen per week, vorig jaar was het aantal opgelopen naar 10 per dag. Inmiddels worden er dagelijks 30 gerichte aanvallen gesignaleerd. De motieven verschillen, maar vaak worden de aanvallen pas ontdekt als het te laat is. Wij spraken met een expert op het gebied van “targeted attacks”, Maarten van Horenbeeck, die sommige lezers ongetwijfeld kennen als handler bij het SANS Internet Storm Center.

War Games

De spraakzame Vlaming raakte dankzij de film War Games in informatiebeveiliging geïnteresseerd. “Die film toonde op een mooie manier hoe een kritisch proces (lees: kernwapens) plots hun menselijke checks verloren en aangestuurd werden door... jawel, een computer. Nu, ettelijke jaren later zie je dat zulke zaken helemaal geen science fiction meer zijn.” Van Horenbeeck doelt op het feit dat de automatisering in zowat elk sociaal of zakelijk proces is doorgedrongen, wat niet alleen kansen, maar ook risco’s met zich meebrengt.

Gerichte aanvallen is een typisch onderwerp waarrond veel Fear, Uncertainty & Doubt gecreëerd wordt. Toch ontbrak en ontbreekt het volgens van Horenbeeck bij veel bedrijven aan informatie over het onderwerp. Daarom besloot hij zelf contact op te nemen met groepen en organisaties die met doelgerichte cyberaanvallen hadden te maken. “Initieel verwachtte ik tot de conclusie te komen dat veel van die aanvallen ten onrechte gemarkeerd werden als 'gericht'. Niets bleek minder waar, het probleem bestond daadwerkelijk.”

Restrisico…

Veel van deze gerichtte aanvallen worden eigenlijk bestempeld als “restrisico”. Bedrijven kiezen in de eerste plaats voor compliance en het voorkomen van dagelijkse beveiligingsproblemen. Om die probleemgebieden in te vullen maken ze gebruik van een heleboel standaarden die hen ter beschikking staan om een bepaald niveau van veiligheid, of liever, zekerheid, te bereiken.

Het feit dat een gerichtte aanval vervolgens toch tot een beveiligingsincident kan leiden wordt vaak beschouwd als restrisico, en bijvoorbeeld tegengegaan door het opzetten van een incident response team. Het probleem met deze aanvallen is echter dat de impact van een succesvolle aanval vaak nog veel hoger kan zijn dan die van de dagelijkse beveiligingsproblemen.

“Er is namelijk een specifiek doelwit met een kwantificeerbare waarde. Daarom moeten we leren vanuit dit perspectief ook de dreigingsagent op te volgen, in dit geval de groepen die dergelijke aanvallen initiëren. Dit wordt zelfs geïllustreerd door enkele van deze standaarden: ISO 15408, de evaluatie-criteria voor IT Security bevat een mooi diagram dat specifiek weergeeft hoe dreigingsagenten uiteindelijk aan de basis liggen van de meeste IT security problemen. Als de waarde van het doelwit groot genoeg is, heeft deze heel wat marge om verscheidene aanvalsscenario’s te testen.”

Hyves helpt hackers

Net als veel andere vendors, merkt ook van Horenbeek een toename van het aantal gerapporteerde incidenten. Slechts enkele jaren terug was data nog maar met moeite en alleen op papier terug te vinden, dus de verdergaande digitalisering heeft in feite nog maar weinig te maken met de toenemende druk van dit soort aanvallen.

De beveiligingsexpert ziet wel een probleem in de toename in social networking en blogs. “Het is veel gemakkelijker geworden om relaties tussen personen in kaart te brengen, en zelfs de schrijfstijl van bepaalde personen te analyseren. Deze data wordt volop gebruikt in dit soort aanvallen.”

In het geval van een commerciële organisatie proberen de aanvallers vaak een idee te krijgen van typische mailings die van de CEO komen, en imiteren ze deze met bijvoorbeeld een CHM, of Windows Help file als bijlage. In deze aanvallen is dit in principe een container met een HTML en een executable. De uiteindelijke doelwitten, deelnemers van het bedrijf, worden vaak uitgezocht via social networking. Hierbij worden berichten gespoofed van één werknemer naar een andere; soms met een erg geloofwaardige schrijfstijl. Dat soort informatie pikken de aanvallers vrij snel op door publieke bronnen te raadplegen, zoals blogs. Zodra ze op die manier tot één endpoint toegang hebben, kunnen ze in principe aan quasi ongelimiteerde hoeveelheden interne e-mail, wat hun meer en meer kansen geeft om hun aanval verder uit te breiden.

Verder noemt de beveiligingsexpert allerhande social engineering truukjes die ten volle benut worden. “Een voorbeeld is het schrijven van een volledige mail, met enkele krasse uitspraken over een bepaald persoon, zonder effectief zijn naam te noemen. Er wordt dan een geïnfecteerde bijlage toegevoegd met de naam van de persoon waar de e-mail op doelt.”

Dankzij dit soort berichten weet de aanvaller een gevoel van nieuwsgierigheid op te werkken dat heel wat weg heeft van cognitieve dissonantie: een eerder bestaand gevoel dat de uitspraak waar of niet waar is, en de potentieel tegenstrijdige mail die het tegenovergestelde beweert. De enige manier om zekerheid te krijgen dat het effectief over dié persoon gaat is door de bijlage te openen.

Daarnaast zijn de technieken die een paar jaar terug nog vernieuwend waren, nu gestandaardiseerd. “Je ziet dat bepaalde exploit templates, bijvoorbeeld documenten die een specifiek beveilingslek misbruiken, initieel door één groep gebruikt worden, en korte tijd later door andere groepen. Hetzelfde geldt voor de uiteindelijke trojaanse paarden. Er is eerst microdistributie naar één specifiek doelwit, waarna de aanvallen geleidelijk aan uitgebreid worden naar andere doelwitten.” Lijkt het erop dat het gebruikte beveiligingslek in kwestie gepatcht gaat worden, dan wordt die ook voor veel meer aanvallen gebruikt.

De manier van aanvallen gaat nog veel verder verklaar van Horenbeeck. Aanvallers die het bijvoorbeeld op een bepaalde online gemeenschap hebben voorzien. In die gevallen waar het doelwit een ganse community is, wordt vaak een portal die binnen de community een zeker aanzien geniet gehackt,
waarna bijvoorbeeld een hidden iframe tag wordt geïntroduceerd die verwijst naar een server die verschillende exploits aanbiedt.

Backdool bij?

Zodra de term gerichte aanvallen valt, denkt iedereen meteen aan Chinese hackers. Dat is volgens de experts niet terecht. Het enige dat de aanvallen vooralsnog duidelijk maken is dat deze aanvallen worden geïnitieerd door groepen die bedreven zijn in het verzamelen van informatie en deze vervolgens ten gelde te maken. Uit gemak worden hiervoor machines gebruikt die kwetsbaar zijn en snel als controleserver kunnen opgezet worden. China heeft een relatief grote hoeveelheid network ranges en het is dan ook niet verwonderlijk dat enkele van de controleservers hierop opduiken. De data van de aanvallen zelf geeft vaak niet voldoende informatie om te achterhalen wie nu eigenlijk de aanval heeft uitgevoerd. Er zijn echter wel indicatoren die aantonen dat
er een aantal groepen van Chinese origine zijn.

Van Horenbeeck vertelt hoe hij een keer een in de VS gehoste controle-server onderzocht. De trojan controller stuurde echter op het moment van de
connectie een ID door die de datum van vandaag bevatte. Door steeds opnieuw dat ID te pollen, bleek dat de trojan controller om 00h00 Chinese Standard Time van dag veranderde.

Veel van de minder bekende doelwitten zijn daarenboven minderheidsgroepen binnen China: denk aan Falun Gong en de Tibetaanse afscheidingsbeweging.
Ook de code en context van de aanvallen lekt informatie: malware die gecompileerd is met Chinese resources, bijvoorbeeld.

Microsoft open Office

De aanvallen vinden voornamelijk plaats via doc, xls, ppt en pdf bestanden, maar ook Ichitaro, Access of WinRAR bestanden worden gebruikt. De keuze van de aanvaller hangt volledig af van de hoeveelheid gebruikers en in hoeverre de applicatie effectief de gebruiker op de hoogte brengt wanneer een security update verschijnt. De combinatie van beide factoren geeft een goede weergave van het aantal potentieel kwetsbare gebruikers.

Het onderzoeken van de aanvallen blijkt vaak lastig dan het lijkt. “In één incident gebruikte men bijvoorbeeld een LHA bestand, dat in principe geopend kan worden in LHA, WinZIP en verscheidene andere archivers. Dit specifieke bestand benutte echter een vulnerability in WinRAR, en werkte dus ook enkel op systemen waar deze tool gelinked was aan die extentie. Er is zelden echt duidelijkheid tot een hele set onderzoeken afgerond is.”

Preventie begint volgens van Horenbeeck bij het weten welke software de eindgebruikers gebruiken. Deze informatie kan dan als input fungeren voor de technische infrastructuur en configuratie. Zo kunnen bedrijven ervoor kiezen om slechts bepaalde extenties door te laten op de mail relay, of
white-listing toe te passen op de toegelaten applicaties.

Daarnaast zijn er ook bepaalde manieren om applicaties beter te beveiligen. Zo laten recente Office versies het toe om oudere, minder betrouwbare versies van documenten te blokkeren op corporate (GPO) niveau, en is er de MoICE document pre-parser van Microsoft die kan helpen de impact van bepaalde vulnerabilities te verkleinen.

Morgen het tweede deel van het interview.