Wereldwijde cyberspionage onthuld

De aanvallen zijn het bewijs van een groeiende politieke motivatie onder hackers. 4 augustus 2011





Details van een goed georganiseerde, aanhoudende campagne van geautomatiseerde aanvallen op bedrijven en overheden in 14 landen werden gisteren bekendgemaakt door het beveiligingsbedrijf McAfee.

De aanvallen gaan bijna vijf jaar terug en varieerden in duur van een maand tot 28 maanden. Ze hadden gevolgen voor 32 soorten organisaties, waaronder overheidsinstanties en defensie-, bouw-, informatietechnologie- en accountantskantoren.

McAfee denkt dat de aanvallen zijn georkestreerd door een natiestaat, maar heeft dat land niet genoemd. De aanvallers stalen informatie en intellectueel eigendom dat voor zowel politiek als militair gewin kon worden gebruikt. Van de meeste gegevens weten we niet helemaal waarvoor ze worden gebruikt, Dmitri Alperovitch , zei vice-president bedreigingsonderzoek voor McAfee woensdag tijdens een persconferentie.



Corporate hacking is de afgelopen maanden een prominent probleem geworden. Een golf van aanvallen is gericht op bedrijven als RSA, Lockheed Martin en Sony. Maar Alperovitch zegt dat de aanvallen die deze week zijn aangekondigd - McAfee noemt ze samen Operation Shady RAT (voor een tool voor externe toegang) - minder goed bekend zijn gemaakt, maar belangrijker zijn. In veel gevallen gebruikten aanvallers geavanceerde, zorgvuldig op maat gemaakte technieken om de verdediging van het bedrijf gedurende een bepaalde periode te verslaan - een type aanval dat bekend staat als een geavanceerde aanhoudende dreiging.

McAfee's verslag doen van zegt dat de operatie gepaard ging met uitgebreide infiltratie van 72 identificeerbare slachtoffers - en enkele anderen die het beveiligingsbedrijf niet kon identificeren. Volgens Alperovitch was een deel van de informatie die door de aanslagen werd gestolen, gevoelig genoeg om een ​​aanzienlijke impact te hebben op de hele economie van een land. Dit is echt de kritieke kwestie waar we ons zorgen over moeten maken, zei hij.

McAfee heeft de details van de operatie tot nu toe niet publiekelijk kunnen bespreken vanwege vertrouwelijkheidsovereenkomsten met zijn klanten. Dit veranderde toen het bedrijf onafhankelijk een command-and-control-server ontdekte die betrokken was bij de aanvallen. Alperovitch zei dat het bedrijf wilde laten zien hoe wijdverbreid en alomtegenwoordig geavanceerde persistente dreigingen zijn. Ook wij waren verrast door de enorme diversiteit van de slachtofferorganisaties en stonden versteld van de brutaliteit van de daders, schreef Alperovitch in een blogpost.



Deze week heeft Cisco een verslag doen van dat bevestigt McAfee's, wat suggereert dat geavanceerde aanhoudende bedreigingen wijdverbreid en ernstig zijn. Als u zich in een gevoelige sector bevindt, wordt u het slachtoffer van een geavanceerde aanhoudende dreiging, als u dat nog niet bent, zegt senior beveiligingsonderzoeker van Cisco Mary Landesman .

Landesman ziet de toename van dit soort dreiging als onderdeel van een verschuiving in de focus van aanvallers. Politieke motieven leiden in toenemende mate tot aanvallen.

Om aanvallen uit te voeren die zeer heimelijk, zeer stil en langdurig zijn, zegt Landesman, gebruiken aanvallers een combinatie van automatisering en artisticiteit. Ze beginnen meestal met het infecteren van zoveel mogelijk computers met malware. Zodra een computer is geïnfecteerd, onderzoeken de aanvallers het IP-adres en de informatie die erop is opgeslagen om te bepalen of de machine zich op een gewenste geografische locatie bevindt of toebehoort aan een belangrijk bedrijf.



Computers die als interessant worden beschouwd, worden onder het beheer geplaatst van een speciale command-and-control-server die is gericht op bijzonder belangrijke operaties. De gegevens op de computer kunnen dan in meer detail worden onderzocht, of ze kunnen worden gebruikt om een ​​bredere aanval te lanceren, bijvoorbeeld van de computer van een receptioniste naar een machine in het kantoor van de CEO.

Zowel McAfee als Cisco zijn het erover eens dat verdediging tegen geavanceerde, hardnekkige bedreigingen moeilijk is. De verdediging moet net zo gericht en gespecialiseerd zijn als de aanvallen, zegt Landesman. Het opsporen van een geavanceerde, hardnekkige dreiging kan niet worden gedaan met een passief hulpmiddel, zegt ze. Organisaties moeten normaal verkeer en gedrag binnen hun systemen in kaart brengen en doorlopend forensisch onderzoek uitvoeren om veranderingen te herkennen die waarschuwingssignalen kunnen zijn.

Alperovitch voegde eraan toe dat, hoewel veel van de bedrijven die getroffen zijn door Operatie Shady RAT de gaten hebben gedicht die informatie lekten, sommigen misschien nog steeds niet de omvang van de aangerichte schade kennen. En dat zal pas duidelijk zijn als de aanvallers de informatie die ze hebben gestolen gaan gebruiken.



zich verstoppen