Wereldwijd zijn duizenden netwerken door cyberspionnen geïnfiltreerd, zo waarschuwt Joe Stewart van Dell SecureWorks. Het team van Stewart houdt zich al geruime tijd bezig met het opsporen van cyberspionnen. Inmiddels zijn meer dan 200 unieke malware-families ontdekt die bij cyberspionage campagnes zijn ingezet. Verder werden ook 1.100 domeinen gevonden waarmee de aanvallers de malware bestuurden of waar ze slachtoffers van spear phishing-aanvallen naar toe lokten.

In vergelijking met traditionele cybercrime gaat het in het geval van cyberspionage om weinig infecties. "Elk keer dat een 'APT (Advanced Persistent Threat) botnet' wordt ontdekt, lijkt het om een kleinschalige operatie te gaan. Maar deze illusie laat niet zien dat voor elk ontdekt en gepubliceerd APT botnet er nog honderden op duizenden netwerken onopgemerkt blijven", aldus Stewart.

Plurk
Onlangs ontdekte SecureWorks nog cyberspionage-malware die een aparte tactiek gebruikte om detectie door systeembeheerders te voorkomen. De malware communiceerde via de Plurk microbloggingdienst. Daardoor leek het alsof de besmette machines een legitieme website bezochten, terwijl ze in werkelijkheid gecodeerde opdrachten van de aanvallers kregen.

Intellectueel eigendom
Wat betreft de dreiging van cyberspionage raakt dit alleen bedrijven waarvan de aanvallers vinden dat er interessant intellectueel eigendom is te halen. Toch ziet Stewart een overlap tussen de werkwijzen van cyberspionnen en traditionele cybercriminelen, zoals het gebruik van spear phishing e-mails om toegang tot online bankrekeningen te krijgen.

"De meeste organisaties hebben dan geen intellectueel eigendom dat interessant voor buitenlandse spionnen is, ze beschikken allemaal over een bankrekening. De technieken voor het beschermen van netwerken zijn in beide gevallen hetzelfde, en bedrijven moeten begrijpen waarom cyberspionage-aanvallen werken en waarom ze bijna altijd succesvol zijn tenzij de juiste beveiligingsmaatregelen aanwezig zijn."