Expert: Googlehackers waren amateurs
De hackers die bij Google en dertig andere bedrijven inbraken, hadden voldoende aan een beetje geluk en amateuristische malware, dat zegt Gunter Ollmann van beveiligingsbedrijf Damballa. Volgens hem was het geen bewuste keuze van de aanvallers om heel eenvoudige en gedateerde malware te gebruiken. Toch blijft de vraag bestaan waarom ze geen malware toolkit gebruikten. Op het internet zijn talloze doe-het-zelf toolkits verkrijgbaar die zeer complexe malware genereren.
"De output van commerciële malware toolkit zoals Zeus, Butterfly, SpyEye en Turkojan is veel complexer dan Trojan.Hydraq", zegt Ollmann. Hydraq is de naam van de malware die de Googlehackers voor hun aanval gebruikten. Het gaat hier om "doorsnee" tools. In vergelijking met Conficker is Hydraq net uit de oersoep gestapt, zo merkt de expert op. "En Conficker is al meer dan een jaar oud." Ook is er de vraag waarom de malware niet beschermd was, door bijvoorbeeld packers, cryptors of anti-debuggers. Maatregelen die eenvoudig zijn toe passen en waarvan elke cybercrimineel het bestaan kent.
Doe-het-zelf
Ollmann denkt niet dat de aanvallers bewust de amateuristische malware hebben gebruikt, om zo onderzoekers te laten denken dat het om amateurs gaat. "Wat we wel weten, is dat de botnetbeheerders meerdere botnet campagnes tegelijkertijd ontwikkelden." De campagnes gebruikten verschillende technieken en werden steeds geraffineerder, totdat Google halverwege januari alarm sloeg.
Met een doe-het-zelf toolkit was de aanval mogelijk nog veel langer onopgemerkt gebleven. Volgens de beveiligingsexpert kan het zijn dat de aanvallers dit soort toolkits niet vertrouwden. "Veel van de gratis en illegale kits bevatten een backdoor." Een andere mogelijkheid is dat de meeste kits in het Engels, Portugees of Spaans zijn. "Misschien begrepen de botnetbeheerders ze niet."
Studenten
Sommige analisten denken dat twee Chinese scholen achter de aanval zouden zitten. Ook Ollmann sluit niet uit dat het om studenten gaat, die de aanval als leerervaring beschouwden. "Hoe raar het ook lijkt, dit is een populair experiment voor newbie hackers en informaticastudenten." Een laatste reden waarom de aanvallers het gebruik van toolkits niet overwogen is dat ze een beschermd leven hebben geleid en dachten dat ze beter dan cybercrime professionals waren.
"Dat alles terzijde, de botnetbeheerders deden wat ze deden en waren succesvol genoeg. Ik denk dat ze een beetje mazzel met hun aanvallen hadden en ben een beetje verrast dat ze hun campagnes zolang hebben kunnen voeren", aldus Ollmann. Hij ziet het incident als een waardevolle les voor grote bedrijven. "Als een stel amateurs zoveel schade met gedateerde tools en een beetje geluk kan veroorzaken, hoe makkelijk denk je dat het voor ervaren cybercriminelen is om in te breken?"
De opzet/het idee van de aanval was ook zeer geavanceerd en goed uitgedacht.
Alleen hadden de betreffende hackers een stuk meer kunnen doen om hun malware (middelen) niet gedetecteerd te laten worden.
En daarbij komt dat ze een stuk schade aan hadden kunnen richten waar je 'U' tegen zegt.
Dus het plan was zeker niet amateuristisch, maar de uitvoering -door de gebruikte middelen- wel.
Inderdaad, Ollmann is een beetje de weg kwijt. Het gaat helemaal niet om botnets. Dit zijn doelgerichte aanvallen voor het stelen van gegevens, de aanval (niet alleen de malware) is zeer professioneel uitgevoerd, met name op het vlak van social engineering en het behaalde resultaat.
Toolkits, packers, cryptors en anti-debugmaatregelen zijn give-aways voor het opsporen van verdachte software. Logisch dat die niet werden gebruikt.
vind ik dit meer iets zeggen over het niveau van beveiliging van deze bedrijven en de vakbekwaamheid van de mensen die deze bedrijven in IT opzicht beveiligen, dan over de aanvallers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.