image

FBI waarschuwt voor gerichte aanvallen tegen vitale infrastructuur

zaterdag 21 oktober 2017, 11:38 door Redactie, 6 reacties

Het Amerikaanse ministerie van Binnenlandse Veiligheid en de FBI hebben een waarschuwing afgegeven voor gerichte aanvallen tegen de vitale infrastructuur. De aanvallers hebben het voorzien op overheidsinstellingen en organisaties in verschillende sectoren, waaronder energie, water, luchtvaart en vitale productie. Volgens de waarschuwing vinden de aanvallen al zeker sinds mei plaats en zijn die in verschillende gevallen succesvol geweest.

Om toegang tot de netwerken te krijgen richten de aanvallers zich eerst op een toeleverancier of andere derde partij met minder goed beveiligde netwerken. Zodra deze netwerken zijn gecompromitteerd gebruiken de aanvallers hun toegang om daarvandaan het oorspronkelijke doelwit aan te vallen. De aanvallen bestaan uit verschillende fases. Tijdens de eerste fase wordt er informatie van bedrijfssites verzameld. Als voorbeeld geeft de FBI een kleine foto die door de aanvallers van de human resources-pagina van het bedrijf werd gedownload. Het bleek echter om een foto in hoge resolutie te gaan die controlesystemen, modellen en statusinformatie in de achtergrond weergaf.

De gevonden informatie wordt gebruikt voor de tweede fase; het versturen van spearphishingmails. Deze e-mails bevatten Word-documenten die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden. Hierbij wordt de wachtwoordhash van de gebruiker naar de remote server gestuurd. Volgens de FBI proberen de aanvallers waarschijnlijk deze hash te kraken om zo het wachtwoord van de gebruiker te achterhalen.

Tijdens de derde fase sturen de aanvallers opnieuw kwaadaardige e-mails, dit keer met links die naar malware wijzen of kwaadaardige Word-documenten als bijlage hebben. Ook komt het voor dat er zogeheten watering hole-aanvallen worden ingezet. Hierbij hacken de aanvallers websites die potentiële doelwitten uit zichzelf bezoeken. Het gaat dan bijvoorbeeld om websites over de vitale infrastructuur. Kwaadaardige code die de aanvallers aan deze websites toevoegen probeert om via een SMB-verbinding inloggegevens te stelen.

Zodra een systeem is besmet worden er aanvullende tools gedownload. Ook worden er op de systemen van gehackte toeleveranciers accounts aangemaakt die zich als legitieme service-accounts voordoen. Om op afstand verbinding met gehackte systemen te maken, maken de aanvallers gebruik van diensten zoals VPN, RDP en Outlook Web Access (OWA). In de waarschuwing geven de FBI en het ministerie zogeheten indicators of compromise (IOC's). Dit zijn technische details die op een infectie kunnen duiden. Ook worden allerlei beveiligingsadviezen en detectie- en preventiemaatregelen gegeven. Wie er achter de aanvallen zitten wordt niet vermeld.

Reacties (6)
21-10-2017, 11:55 door Anoniem
Bescherm de infrastructuur met betere encryptie?!
21-10-2017, 16:50 door Anoniem
Dit lezen we ook drie keer per jaar, zeker weer een nieuwe wet op komst.....
21-10-2017, 23:19 door Anoniem
Waarom staat SMB aan zodat er contact kan worden gemaakt met een SMB-server?
Zoooooooooooo ouderwets.
22-10-2017, 08:34 door karma4 - Bijgewerkt: 22-10-2017, 08:43
Als je de security op orde brengt te weten:
- gescheiden netwerken
- per netwerkdeel de componenten (hardware/software) hardenen conform doelstellingen in een risicoklasse
- monitoring wat er gebeurt wat er veranderd en waarom dat gebeurt
Dan ben je een eind op weg.

https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/informatieveiligheid
https://www.digitaleoverheid.nl/beleid/kwaliteittevredenheid/informatieveiligheid/
https://www.cip-overheid.nl/
https://www.sans.org/security-resources/policies

Een link vanuit de zelfde bron als het redactieartikel: https://www.cert.org/historical/governance/index.cfm
"Governing for enterprise security means viewing adequate security as a non-negotiable requirement of being in business. If an organization's management does not establish and reinforce the business need for effective enterprise security, the organization's desired state of security will not be articulated, achieved, or sustained."

Los geslagen techneuten die enkel met bashing dan merk promotie zijn hiervoor niet zo'n grote zo niet grotere belemmering als managers die uit onkunde de boel maar laten voor wat is.
Waar ik nog steeds geen grip en geen antwoord op heb dat zijn die faals die je ziet aankomen omdat een manager /beslisser persé een product met merk binding moet hebben terwijl het weggegooid is en tot niets zal leiden.

Het zo voor een securityforum mooi zijn als op er echt op security ingegaan zou kunnen worden.
- geen merk promotie / bashing met technische vragen
- politieke management vragen mag, dat is het spel wat in organisaties speelt
- vebertervoorstellen onderzoeksvragen zijn interessant
- marktverhoudingen leveranciers / dienstvereleners (oppassen voor de promotie bashing)
https://resources.sei.cmu.edu/asset_files/Presentation/2007_017_001_52940.pdf pag 16 geeft de aanpak in een top down zonder technische realisatie. Die komt pas als activiteit met onderste laatste stap.

In de praktijk is die realisatie vrijwel ondoenlijk door het niet aligned zijn van de techneuten. Daarmee verklaar je de houding van het C-level om alles aan de dienstverlener over te laten, die weet alles vast beter.
22-10-2017, 12:06 door Anoniem
Beste karma4,

Maar dan moet je ook willen verklaren, waarom een dergelijke veiligheidsituatie is komen te ontstaan.

Een mooie vergelijking voor zowel hardware als software kunnen we zien bij een oerhollands soms zelfs ambachtelijk product als "echte kaas" tegenover "kees", een product, dat ontdaan is van natuurlijke bestanddelen en "verbetertd" is door toevoeging van goedkopere andere ingredienten in plaats van de natuurlijke bestanddelen.

In een land als Polen betaal je je bijkans blauw voor een stukje echte kaas en is alles o.i.v. van de buitenlandse industrie "podobno-ser" (d.w.z. nep-kaas) geworden met als laatste nieuw stukje reclame lactose vrije "kees", want echte kaas is het niet. De smaak is derhalve ook om bij te gaan zitten janken. Mensen kopen "rookkaas" om het niet te hoeven proeven.

Hier zie je dus wat er gebeurt als je de winstmakers, CEO's, managers, communicatie- en media experts de vrije teugel laat en alle controle daarop uitkleedt. Je staat letterlijk qua veiligheidsniveau in je blote gat en de grootgraaiers lachen zich een stuip.

Ergo vanmorgen thuis weer genoten van een stukje onbedorven natuurlijke komijn.

Kijk we hoeven hem niet meer elke keer te schrobben, zoals mijn tante in de winkel deed en hij zit nu in een ander korstjasje. Maar ja, hier ook wat vooruitgang. Er is ook jozo-zout en niemand van vooral de dames loopt meer omdat het moet met een struma bult zoals vroeger.

Zelfde gebeurt bij apparaten. Er zijn bevoorbeeld kunststof onderdeeltjes die op een gegeven ogenblik het het snelst begeven, de producent maakt de vervangonderdelen hiervoor juist het prijzigst.

Daarom leiden we niet goed op, daarom weet de IT-er steeds minder van de hoed en de rand, daarom werkt de developer onder grote tijddruk en volgens vast stramien en is meer een kopiist dan een creatieveling.

Een paar zaken zouden kunnen helpen. Kwaliteit onderuit halen ten allen tijde tegengaan, ook al is de druk van politiek en bedrijfsleven en bepaalde interessen nog zo groot. Niet akkoord gaan met minimalistische veiligheid oplossingen, vooral waar het voor het grote publiek niet immer direct controleerbaar is. Later zit een ieder met de gebakken peren.

Een mooi voorbeeld vind ik altijd de jQuery cultuur. Niet afgevoerd wat afgevoerd moet worden. Code gechecked op errors. Ik haal het altijd na controle via retire.insecurity etc. nog eens door een javascript unpacker en check de scripts op XSS/SQL sinks en sources en op "same origin", SRI-hashes, security headers, SSL lekken (PHP ids, 3rd party code e.d.) en lees discussies nog eens na op StackOverflow, daar waar de code net iets langer "loopt" als mogelijkerwijs verwacht. In zulke gevallen en bij bekende onveiligheid constructies is er meestal "stront aan de code-knikker".

Er komen nog een heel scala aan andere overwegingen bij, maar ik meen dat jij je die technische discussie kan voorstellen (hoster reputatie, naamserver configuratie, info proliferatie, enz. enz.).

Willen we zulk een discussie niet aan of de code-kees niet vervangen door echte goede en betrouwbare code-"boerenkaas" a.h.w., dan is ons aller lot voorspelbaar en weten we letterlijk wat we "voor de kiezen krijgen". Het zal naar niets smaken. De eindgebruiker wordt dan gelijk aan een Middeleeuwse neo-feodale onvrije en we worden geregeerd, daarbij geholpen door vriendje onbenul en maatje domgehouden. Willen we dat met zijn allen? Neen, toch?

luntrus
22-10-2017, 16:36 door karma4
Door Anoniem: Beste karma4,
..
Hier zie je dus wat er gebeurt als je de winstmakers, CEO's, managers, communicatie- en media experts de vrije teugel laat en alle controle daarop uitkleedt. Je staat letterlijk qua veiligheidsniveau in je blote gat en de grootgraaiers lachen zich een stuip.
...
Daarom leiden we niet goed op, daarom weet de IT-er steeds minder van de hoed en de rand, daarom werkt de developer onder grote tijddruk en volgens vast stramien en is meer een kopiist dan een creatieveling.

Een paar zaken zouden kunnen helpen. Kwaliteit onderuit halen ten allen tijde tegengaan, ook al is de druk van politiek en bedrijfsleven en bepaalde interessen nog zo groot. Niet akkoord gaan met minimalistische veiligheid oplossingen, vooral waar het voor het grote publiek niet immer direct controleerbaar is. Later zit een ieder met de gebakken peren.
...
Er komen nog een heel scala aan andere overwegingen bij, maar ik meen dat jij je die technische discussie kan voorstellen
...
De eindgebruiker wordt dan gelijk aan een Middeleeuwse neo-feodale onvrije en we worden geregeerd, daarbij geholpen door vriendje onbenul en maatje domgehouden. Willen we dat met zijn allen? Neen, toch?

luntrus
Dank je luntrus. Om kort te zijn eens.
Die technische discussie, tja de teleurstelling dat een ander het beter/goedkoper kan en je vooral niet moet verzetten als het duidelijk fout zit. Vaak genoeg gezien er in gezeten en nog steeds kan ik er slecht tegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.