Malware waarmee cyberspionnen toegang tot het Zwitserse defensiebedrijf RUAG hadden is zeker 1,5 jaar onopgemerkt gebleven voordat de infectie werd opgemerkt. De werkelijke duur van de infectie is mogelijk veel langer geweest, omdat de logs niet verder teruggaan dan september 2014.

Dat blijkt uit een onderzoek van de Zwitserse autoriteiten. Begin mei liet de Zwitserse defensieminister Guy Parmelin weten dat hackers in januari het ministerie van Defensie en het Zwitserse defensiebedrijf RUAG hadden aangevallen. Het zou daarbij om industriële spionage gaan, waarbij Rusland als verdachte werd genoemd. Bij de aanval op het defensiebedrijf RUAG, wat eigendom van de Zwitserse overheid is, zouden ook de persoonlijke gegevens van 30.000 ambtenaren zijn gestolen, alsmede informatie van de Zwitserse elite-eenheid Aufklärungsdetachements 10 (AAD 10). Deze eenheid wordt in crisissituaties ingezet. Het incident leidde zelfs in Nederland tot Kamervragen van de VVD.

Analyse

De Zwitserse autoriteiten hebben vandaag een rapport over het incident gepubliceerd. Daaruit blijkt dat de aanvallers malware genaamd Turla gebruikten, ook bekend als Uroburos en Snake. Via social engineering en zero day-lekken weet de groep al acht jaar lang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen. Overheidsinstanties en ambassades, alsmede defensie-, onderwijs-, en onderzoeksorganisaties en farmaceutische bedrijven zijn doelwit van de aanvallen. Het Belgische ministerie van Buitenlandse Zaken werd onder andere door de malware besmet.

In het geval van RUAG is niet bekend hoe de aanvallers de systemen wisten te infecteren. Wel ontdekten de onderzoekers dat zo'n 23GB aan gegevens is gestolen. Het gaat daarbij ook om verkeer tussen de botnetservers. Daarnaast zijn sommige gegevens vaker verstuurd. De verstuurde data was tevens vaak ingepakt. "De omvang van de gestolen data zeggen niets over de vertrouwelijkheid en de waarde van de data", aldus de onderzoekers. Het is namelijk niet mogelijk om te bepalen wat voor soort data er zijn gestolen, aangezien dit niet aan de hand van de logbestanden is te herleiden.

Maatregelen

Afsluitend worden in het rapport verschillende aanbevelingen gedaan om dergelijke infecties te voorkomen, zoals het gebruik van Microsoft AppLocker, het verminderen van gebruikersrechten, het monitoren op veelgebruikte tools zoals psexec.exe, het updaten van alle software en het verwijderen van onnodige software, waarbij als voorbeeld Adobe Flash Player wordt gegeven. Verder wordt het uitschakelen van macro's aangeraden en het uitschakelen of beperken van usb-poorten op computers.

"Zelfs als we de aanvallen als geavanceerd en gevaarlijk beschouwen, moet het worden genoemd dat de aanvallers ook gewoontes hebben en fouten maken, waardoor de verdedigers hen kunnen zien en de benodigde tegenmaatregelen kunnen nemen. Om zulke gewoontes en fouten te herkennen, moet het bewustzijn over dergelijke aanvallen groot zijn en moeten organisaties over de benodigde detectie- en analysemogelijkheden beschikken", zo concluderen de onderzoekers.