Fortinet voorspelt in 2012 toename 'hacktivisten'

Leverancier van netwerkbeveiliging Fortinet voorspelt een 'verontrustend' 2012. Een achttal serieuze dreigingen komen op ons af, zoals een toename van mobiele malware. Maar ook een stijging van het aantal aanvallen in opdracht van hacktivisten.

Jaarlijks maakt Fortinet de verwachtingen op het gebied van security trends een volgend jaar bekend. Nu is dus het rapport voor 2012 gepubliceerd. En dat belooft een moeilijk jaar te worden. Darabij zijn er een achttal dreigingen gedefinieerd (zie hieronder).

'Hacktivist'

Opmerkelijk is de stijging van aanvallen van hackactivisten. Zo is er de groep Anonymous, volgens Fortinet een groep van 'losjes georganiseerde anarchisten'. Die hebben onlangs gedreigd leden van Mexicaanse drugskartels te ontmaskeren. Maar ook hebben ze de overheid geholpen om een kinderpornonet op te rollen. FortiGuard verwacht in 2012 meer voorbeelden van deze ‘hacktivist' voor gerechtigheid die samen met een reeks van aanvallen op de rand van de wettelijkheid balanceren of er gewoon over gaan.

Hieronder puntsgewijs de samenvatting van het volledige rapport.

1. Ransomware (programma's die losgeld eisen) zal meer mobiele toestellen gijzelen
De voorbije jaren heeft FortiGuard Labs de evolutie en het succes van ‘ransomware' op de pc opgevolgd (‘ransomware is een infectie die een toestel ‘gegijzeld' houdt tot er ‘losgeld' betaald is). Mobiele malware die gebruik maakt van zogenaamde 'exploits' werd ook opgemerkt, samen met allerlei kneepjes die toegang verlenen tot de brongegevens op het geïnfecteerde toestel. Toegang tot brongegevens houdt grotere stuurmogelijkheden en voorrechten in, waar ransomware en vergelijkbare programma's hun voordeel mee kunnen doen. Het team van FortiGuard Labs verwacht dat de eerste besmettingen van mobiele toestellen door ransomware volgend jaar gesignaleerd worden.

2. Android binnendringen
Wormen (malware die in staat is om zich snel van het ene toestel naar het andere te verspreiden) waren tot nu toe nauwelijks te vinden in het besturingssysteem Android. FortiGuard Labs is echter van mening dat dit in 2012 zal veranderen. In tegenstelling tot Cabir, de eerste Symbian-worm die in 2004 ontdekt werd, zal Android-malware wellicht niet van Bluetooth of computersynchronisatie gebruik maken om zich te verspreiden, wegens het beperkte bereik daarvan. Het team is van mening dat de bedreiging wellicht van geïnfecteerde SMS-berichten (met een link) of via besmette links op sociale netwerken, zoals Facebook en Twitter, zal komen.

3. Polymorfisme
Niemand kan ontkennen dat malware voor het Android-systeem een grotere verscheidenheid en complexiteit vertoont. Het voorbije jaar heeft FortiGuard Labs vastgesteld dat Android-malware gebruik maakt van encryptietechnieken, ‘exploits' bevat, emulatoren detecteert en botnets creëert. Wat het team echter nog niet vastgesteld heeft, is een voorbeeld van polymorfisme in actie. Polymorfisme is malware die zich automatisch kan muteren zodat het bijzonder moeilijk is om haar te identificeren en te vernietigen. Het team heeft echter al wel polymorfisme gevonden op GSM-toestellen met het Windows besturingssysteem en is van mening dat het maar een kwestie van tijd is voor de malware op Android-toestellen verschijnt.

4. Een halt aan witwaspraktijken op het net
Geldezels of ‘money mules' (meestal individuen die elektronisch geld overmaken van de ene persoon of dienst naar de andere) en illegale betaaldiensten zijn belangrijke onderdelen van elke geslaagde witwas- en fraudeoperatie. Door anonieme diensten voor geldoverdracht, menselijke netwerken en betaaldiensten te gebruiken hebben cyberbendes gedurende jaren zo goed als ongestraft kunnen werken. Hoe pak je iemand op als je zelfs niet weet waar hij zich bevindt? FortiGuard denkt dat daar in 2012 verandering in komt. De recente arrestatie van Pavel Vrublevsky, CEO van ChronoPay, omdat hij de website van Aeroflot gehackt zou hebben en bezoekers verhinderd zou hebben om tickets te kopen, is een mooi voorbeeld van het soort van ontmaskeringen dat het team gedurende het volgende jaar verwacht.

5. Publiek-private samenwerking in beveiliging
Vorig jaar voorspelde FortiGuard Labs dat meer botnets door internationale samenwerking ontmanteld zouden worden. Het team had gelijk, niet alleen over de botnets, maar ook over de internationale samenwerking. Bij de botnets die door internationale inspanningen ontmanteld werden, waren Rustock en DNS Changer. Andere internationale initiatieven droegen bij om een massieve scareware-operatie van het net te halen dat 72 miljoen USD in bankfondsen had doen verdwijnen. Ondertussen werden er leden van de internationale hacktivistengroepen Anonymous en LulzSec gearresteerd.

Die inspanningen zullen in 2012 voortgezet worden en het team is ervan overtuigd dat DARPA (Defense Advanced Research Projects Agency - een openbaar initiatief) daar een belangrijke rol bij zal spelen. DARPA kreeg onlangs een budget van 188 miljoen USD toegewezen en is van plan om een deel daarvan te gebruiken om een team voor de cyberverdediging in de privésector samen te stellen. Nu de zaken in beweging zijn gekomen, lijkt het waarschijnlijk dat we in 2012 elders in de wereld zulke samenwerkingsvormen zullen zien ontstaan.

6. SCADA in het vizier
Gedurende meer dan een decennium al vormen eventuele bedreigingen bij SCADA (Supervisory Control and Data Acquisition) een grote zorg wegens de veelvuldige voorkomende banden ervan met belangrijke infrastructuurvoorzieningen, zoals het elektriciteits- en waternetwerk. Als de beveiliging daarvan ooit doorbroken zou worden, zou dat ernstige gevolgen hebben.

Het voorbije jaar zag FortiGuard daar twee voorbeelden van: Stuxnet waarmee een aanval op het Iraanse nucleaire programma uitgevoerd werd, en Duqu, een met Stuxnet vergelijkbaar virus dat van dezelfde aanvalsmethoden en van gestolen certificaten gebruik maakt. Hoewel Iraanse overheidsvertegenwoordigers bevestigden dat Duqu de systemen in de regio besmet had, is er tot op vandaag geen vijandige industriële code gevonden. Het is echter duidelijk dat de bouwblokken daarvan nu klaar liggen.

De realiteit vandaag is dat essentiële infrastructuursystemen niet altijd met een gesloten circuit werken. Verschillende hard- en softwareleveranciers ontwikkelen nieuwe HMI-toestellen (HMI - human machine interface) die met die infrastructuursystemen een interactie mogelijk maken. Vaak met webinterfaces waarop ingelogd kan worden. En in het verleden heeft het team van FortiGuard gemerkt dat webinterfaces langs waar interactie met back-end-systemen mogelijk is, omzeild kunnen worden.

Nog zorgwekkender is de verschuiving van SCADA-diensten naar de cloud. Gegevens van belangrijke systemen kunnen op een openbare cloud-server opgeslagen worden en van daaruit gestuurd. Wat meteen de bekommernis om de veiligheid ervan verklaart. Groepen zoals Anonymous hebben al een reeks van zwakheden op het web gevonden, gewoon door doelwitten uit te kiezen en codes te doorlopen. FortiGuard voorspelt dat er in 2012 een aantal zwakke plekken in SCADA ontdekt zullen worden en ook gebruikt zullen worden - eventueel met ernstige gevolgen.

7. Aanvallen in opdracht
Het team van FortiGuard heeft het vaak over CaaS (Crime as a Service). Dat is te vergelijken met SaaS (Software as a Service). In plaats van legale en nuttige diensten, bieden misdaadgroeperingen echter illegale en schadelijke diensten via het internet aan - in opdracht besmetten ze bijv. grote aantallen computers, versturen ze spam en zetten ze zelfs DDoS-aanvallen op (DDoS - Direct Denial of Service). Als je het geld hebt, is er een goede kans dat je een CaaS-provider vindt om je te helpen.

Wat FortiGuard in 2012 verwacht, is dat men niet zo maar meer CaaS zal inhuren voor aanvallen in het wilde weg, maar dat er meer strategische en gerichte aanvallen op bedrijven en individuen gevoerd zullen worden. En dat houdt ook in dat bedrijven of staten als opdrachtgever fungeren. Toegegeven, dit is een voorspelling die we moeilijk zullen kunnen opvolgen omdat - zolang er geen wet op ‘vrijheid van informatie' is - heel wat van de gevallen die ontdekt zullen worden, buiten de rechtbank geregeld zullen worden zonder dat de besluiten publiek gemaakt worden. De Russische betaaldienst ChronoPay bijvoorbeeld zou in 2011 een hacker ingehuurd hebben om een directe concurrent (Assist) aan te vallen.

8. Hacken voor een goed doel
Sinds Anonymous in 2003 op 4Chan.org opgericht werd, is de groep altijd wel in de een of andere vorm actief geweest. Pas het laatste jaar is die groep van losjes georganiseerde anarchisten haar macht beginnen gebruiken om grote en zichtbare doelen, zoals Sony, aan te vallen. In 2011 werden er meer groepen van hacktivisten opgericht (LulzSec is een van de bekendste) en hun aantal zal in 2012 wellicht nog toenemen.