211service.com
Malwareverkeerspieken gingen vooraf aan Russische en Israëlische conflicten
Een onderzoek naar malware die actief is op bedrijfs- en overheidsnetwerken suggereert dat de communicatiepatronen van deze programma's kunnen waarschuwen voor grote conflicten.

Veiligheidsbriefing : Deelnemers kijken naar een presentatie op de Black Hat 2014-conferentie.
Onderzoekers bij het beveiligingsbedrijf Vuuroog volgden miljoenen malwareberichten die de afgelopen 18 maanden werden verzonden, en ze ontdekten pieken in het verkeer van en naar Rusland en Oekraïne toen de spanningen tussen de twee landen eerder dit jaar opliepen. Een soortgelijk patroon werd gezien in het malwareverkeer naar Israël toen het zijn recente vijandelijkheden met Hamas begon.
Het FireEye-onderzoek maakte gebruik van gegevens die zijn verzameld van meer dan 5.000 zakelijke en overheidsklanten over de hele wereld. De software van FireEye legt terugbelberichten vast die door malware binnen een netwerk worden verzonden, waarbij de status wordt gerapporteerd aan de operators of nieuwe opdrachten worden opgepikt. Die berichten werden gebruikt om de locatie te bepalen van de computer die de malware bestuurde.
De patronen werden hoogstwaarschijnlijk veroorzaakt door overheidsinstanties die hun inspanningen opvoerden om inlichtingen te verzamelen of hun tegenstanders aan te vallen, zegt Kenneth Geers, die aan het project werkte. In de aanloop naar de Krim-crisis zag je een toename van malware-callbacks in zowel Rusland als Oekraïne, zei hij op de Zwarte hoed computerbeveiligingsconferentie donderdag.
Het is ook mogelijk dat de activiteit afkomstig is van hackers die sympathiek staan tegenover, maar niet worden ondersteund door de betrokken landen. Maar veel landen gebruiken nu routinematig computeraanvallen voor inlichtingen- en militaire doeleinden.
Geers zei dat patronen in malware-communicatie kunnen worden gebruikt om te voorspellen wanneer landen zich voorbereiden op een conflict: als de VS, Korea of Japan op het punt stonden om oorlog te voeren, zou je een bult in callbacks zien - het is gewoon een essentieel onderdeel van de huidige nationale veiligheidsondernemingen. Geers, die onlangs FireEye verliet om te gaan werken als een onafhankelijke consultant , werkte eerder aan internationale computerbeveiliging bij de National Security Agency en de NAVO.
Malware-operators verbergen soms hun locatie door terugbelberichten tussen computers in verschillende landen te laten springen, en de FireEye-studie kon alleen de eerste hop registreren. Malware-auteurs nemen echter niet altijd de moeite om een relaissysteem te installeren, zegt Geers. En dus, zei hij, met een dataset die groot genoeg is, ontstaan nauwkeurige geografische patronen.
Een groot deel van het verkeer naar Israël toen het op weg was om Hamas in de Gazastrook aan te vallen, kwam van malware die op computers in Canada en de VS was geïnstalleerd. U hebt een indicatie dat Israëlische nationale veiligheidsorganisaties misschien gebruikmaken van infrastructuur in Canada en de VS, zei Geers.
Het matchen van malwareverkeer met echte gebeurtenissen kan ook een manier zijn om tools te ontdekken die door natiestaten worden gebruikt. Een deel van het verkeer dat bijvoorbeeld uit Canada kwam, bleek afkomstig te zijn van nog nooit eerder vertoonde malware, die FireEye nu onderzoekt.
FireEye is van plan het onderzoek voort te zetten. We kunnen het digitale equivalent van troepen aan de grens zien, vertelde Kevin Thompson, een dreigingsanalist voor het bedrijf MIT Technology Review . Maar we willen graag terugkijken op een heel jaar aan data en proberen te correleren met alle wereldgebeurtenissen in dezelfde periode.
Het gebruik van malware door de overheid komt steeds vaker voor, volgens Mikko Hyppönen, chief research officer bij F-Secure , die malware bestudeert die gemaakt en gebruikt wordt door natiestaten. Landen van elke omvang gebruiken malware omdat het relatief goedkoop is en resultaten oplevert, zei hij woensdag tijdens een gesprek op Black Hat. Er zijn hier parallellen met de nucleaire wapenwedloop, zei hij. [Maar] de kracht van kernwapens was een afschrikmiddel, en dat hebben we niet met cyberwapens.
En, zoals Geers opmerkte, is er een conflict tussen het enthousiasme van regeringen voor die nieuwe wapens en hun verplichting om internetbeveiliging te waarborgen. Het wereldwijde malwareprobleem is heel moeilijk op te lossen, maar willen overheden het oplossen? hij zei. Overheden hebben veel baat bij het beschermen van soevereiniteit en het projecteren van macht door netwerkaanvallen.