Laatste nieuws
 
 
  Achtergrondartikelen  
 

Geavanceerde groepen cyberaanvallers hacken andere groepen om data van slachtoffers te stelen, tools en technieken te ‘lenen’ en de infrastructuur van elkaar te gebruiken, wat het voor beveiligingsonderzoekers steeds moeilijker maakt om nauwkeurige inlichtingen over dreigingen in te winnen, aldus Kaspersky Lab's Global Research and Analysis Team (GReAT).

Accurate informatie over digitale dreigingen berust op het identificeren van patronen en instrumenten die een bepaalde groep cyberaanvallers kenmerken. Dergelijke kennis stelt onderzoekers in staat om beoogde doelen, doelstellingen en gedrag van verschillende aanvallers in kaart te brengen en organisaties te helpen bij het vaststellen van hun risiconiveau. Van dit systeem blijft echter niet veel over als cybergroepen elkaar beginnen te hacken en hulpmiddelen, infrastructuur en zelfs slachtoffers van elkaar overnemen.

Kaspersky Lab acht het waarschijnlijk dat dergelijke aanvallen hoofdzakelijk worden uitgevoerd door groepen die door bepaalde landen worden ondersteund en hun pijlen richten op buitenlandse of minder competente aanvallers. Het is belangrijk dat IT-beveiligingsonderzoekers leren de signalen van deze aanvallen te herkennen en interpreteren, zodat ze hun bevindingen in de juiste context kunnen presenteren.

In een gedetailleerd verslag van de kansen voor dergelijke aanvallen onderscheiden GReAT-onderzoekers twee belangrijke benaderingen: passief en actief. Bij passieve aanvallen worden de data van andere groepen onderschept terwijl ze ‘onderweg’ zijn – bijvoorbeeld van de slachtoffers naar command- en controlservers – en vrijwel niet kunnen worden gedetecteerd. De actieve aanpak houdt in dat de infrastructuur van een andere cybergroep wordt geïnfiltreerd.

De actieve aanpak geeft een grotere kans op detectie, maar biedt de aanvaller ook de kans om frequent informatie te extraheren, de andere cybergroep en zijn slachtoffers in de gaten te houden of mogelijk zelfs eigen implantaten en aanvallen aan de andere cybergroep toe te schrijven. Het succes van actieve aanvallen leunt zwaar op fouten in de operationele beveiliging van het doelwit. Gedurende het onderzoek naar specifieke cybergroepen is GReAT gestuit op enkele verrassende artefacten die de suggestie wekken dat dergelijke actieve aanvallen al ‘in het wild’ plaatsvinden.

Enkele voorbeelden:
1. Achterdeuren die in de command-and-control-infrastructuur (C&C) van een andere entiteit zijn aangebracht
Door een achterdeur in een gehackt netwerk te installeren, kunnen aanvallers zich stevig in de operaties van een andere groep nestelen. Onderzoekers van Kaspersky Lab hebben twee gevallen ontdekt waarbij sprake lijkt te zijn van zulke backdoors.

Een daarvan is ontdekt in 2013, tijdens de analyse van een server van NetTraveler, een campagne in het Chinees die was gericht op activisten en organisaties in Azië. De tweede kwam in 2014 aan het licht, gedurende het onderzoek van een website die was gehackt door Crouching Yeti (ook bekend als Energetic Bear), een dreigingsactor die gebruik maakt van de Russische taal en sinds 2010 actief is. Het viel de onderzoekers op dat het panel dat het C&C-netwerk beheerde korte tijd was voorzien van een tag die naar een externe IP in China wees (waarschijnlijk een false flag). De onderzoekers vermoeden dat dit ook een achterdeur van een andere groep betrof, hoewel er geen aanwijzingen zijn gevonden voor het identificeren van deze groep.

2. Gehackte websites delen
In 2016 ontdekten onderzoekers van Kaspersky Lab dat een door het Koreaans-talige DarkHotel besmette website ook exploit scripts bevatte van ScarCruft, een groep die het voornamelijk op Russische, Chinese en Zuid-Koreaanse organisaties heeft gemunt. De DarkHotel-operatie is begonnen in april 2016, terwijl de ScarCruft-aanvallen een maand later werden geïmplementeerd. Dit suggereert dat ScarCruft de DarkHotel-aanvallen heeft geobserveerd alvorens de eigen activiteiten aan te vangen.

3. Targeting-by-proxy
Door een groep te infiltreren die zich al in een bepaalde regio of bedrijfssector heeft gevestigd, en op die manier te profiteren van de specialistische expertise van die groep, kan een aanvaller de kosten drukken en zijn doelmatigheid vergroten.

Sommige cybergroepen geven de voorkeur aan delen boven stelen. Dit zal een riskante aanpak blijken als een van de groepen minder gevorderd is en in de kraag wordt gevat, aangezien de in dat geval onvermijdelijke forensische analyse ook de andere indringers zal onthullen. In november 2014 meldde Kaspersky Lab dat een server van een onderzoeksinstelling in het Midden-Oosten, bekend geworden als de Magnet of Threats, tegelijkertijd onderdak bood aan implantaten van de zeer geavanceerde dreigingsactoren Regin en Equation Group (Engelstalig), Turla en ItaDuke (Russisch), Animal Farm (Franstalig) en Careto (Spaans). Deze server bleek zelfs het beginpunt te zijn van de ontdekking van Equation Group.

Om gelijke tred te houden met het snel evoluerende dreigingslandschap, adviseert Kaspersky Lab de implementatie van een volledig beveiligingsplatform in combinatie met de meest recente dreigingsdata. De bedrijfsbeveiligingsportefeuille van Kaspersky Lab biedt optimale bescherming met zijn nieuwe generatie endpoint security-pakket, detectie op basis van het Kaspersky Anti Targeted Attack-platform en voorspellings- en incidentrespons via de threat intelligence-diensten.

De paper getiteld Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell bevat gedetailleerde informatie over de manieren waarop groepen cyberaanvallers elementen van andere groepen verwerven en hergebruiken – zoals hergebruik van tools en malware-clustering – en de gevolgen van deze praktijken voor dreigingsinlichtingen.

Plaats op:
Datum: 9 oktober 2017
Categorie: Markt en onderzoek
Bron: Kasperksy Lab
Gerelateerde artikelen  
15-12-2014 Nieuws Opkomende dreigingen in de APT-wereld
16-02-2017 Achtergrondartikelen Cybercriminelen doorbreken beveiliging van bedrijven
09-08-2016 Nieuws Spionageplatform van topniveau steelt versleutelde overheidscommunicatie
17-11-2016 Achtergrondartikelen Herkenbaarheid malware holt in 2017 achteruit
11-08-2017 Nieuws Van zero-day exploits tot ransomware
 
 

- partners -

 
 
 
 
 
� 2007 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,16 seconden.