Hoe twintig jaar oude malware vandaag nog brokken maakt

Bijna twintig jaar geleden braken Russische hackers door middel van een krachtige exploit in op Amerikaanse militaire servers, om er defensiegeheimen te stelen. De code die werd gebruikt keerde de afgelopen jaren nog terug in talloze criminele cyberaanvallen. Het onwaarschijnlijke traject van Moonlight Maze.

Bij het Space and Naval Warfare Systems Command (Spawar), een site van de Amerikaanse marine in het Californische San Diego waar supergeheime marinecodes worden bewaard en bewaakt, vroeg ingenieur Ron Broersma zich ergens begin 1999 af waarom een eenvoudig printcommando zo lang duurde om te worden uitgevoerd. Toen hij de opdracht traceerde met monitoringsoftware, ontdekte hij dat de afgedrukte temporary file tijdelijk uit de printrij was gehaald, doorgestuurd naar een internetserver in Moskou, en vervolgens teruggestuurd naar de Spawar-server waar het vanaf was geplukt om uiteindelijk toch nog te worden afgedrukt.

Ongeveer tegelijkertijd ontdekten militaire computerwetenschappers dat een militaire computerserver in San Antonio, Texas, dagenlang werd gescreend door hackers die het systeem waren binnengedrongen via een site aan de andere kant van de wereld. Nader onderzoek wees uit dat tientallen andere militaire faciliteiten, private militaire bedrijven, energiefirma’s en zelfs het Pentagon in Washington zelf ongewenst bezoek hadden gekregen. De intelligence community sloeg rood alarm, en tijdens een geheime briefing voor een onderzoekscommissie aan het Amerikaanse congres sprak John Hamre, toenmalig adjunct van de Amerikaanse minister van defensie bij de Clintonadministratie, uit wat er aan de hand was: “We zitten midden in een cyberoorlog.”

Overheden die proberen in te breken op elkaars computersystemen horen vandaag gewoon bij het ‘spel’ van internationale spionage maar aan het einde van de jaren 90 deed zoiets nog ernstige alarmbellen afgaan. De gaten werden gedicht en beveiligingsdienst FBI beval een onderzoek om de ware schade van de aanvallen op te meten. Codenaam van die analyse: Moonlight Maze.

Gerecycleerde code

De aanvallen gingen snel tot het collectieve geheugen van de cyberbeveiliging behoren en ze werden bedolven onder nieuwe, grootscheepsere aanvallen vanuit de groeiende computercriminaliteit. Moonlight Maze werd ondergesneeuwd door de vele computermisdaadoperaties die aan een groeiend tempo het nieuws haalden, zoals het Melissa-virus (1999), de Conficker-worm (2008) en de PlayStation Network-hack (2011). Maar de computercode die in 1999 werd gebruikt in de Moonlight Maze-aanvallen ging zijn eigen leven leiden in de duistere regionen van het internet. Om tot vandaag nog een potentieel gevaar te vormen voor computersystemen die op het Linux-besturingssysteem draaien. “De code vormt geen enorm gevaar meer voor grote aantallen computersystemen, maar ze is er wel nog steeds en ze kan nog altijd schade aanrichten”, zegt Costin Raiu, directeur van het Global Research & Analysis Team bij het Russische internetbeveiligingsbedrijf Kaspersky. “Zo nu en dan verschijnt er een nieuwe vorm.”

De laatste keer dat er een cyberaanval werd gelanceerd met malware die deels gebaseerd is op de basiscode achter de Moonlight Maze-aanvallen, dateert zelfs nog maar van vorig jaar. In het Zwitserse Bern drongen hackers toen de systemen van defensiebedrijf Ruag binnen om er geheime informatie te stelen, een aanval die door de Zwitserse defensieminister Guy Parmelin “een daad van industriële spionage” werd genoemd. Onderzoek wees al snel uit dat de aanvallen het werk waren van Turla, een zogeheten Advanced Persistent Threat van Russische komaf, een pakket dat hackers sinds 2007 gebruiken om zich in computersystemen van overheidsinstanties, ambassades, militaire installaties, onderzoeksinstellingen en farmaceutische bedrijven in meer dan 45 landen binnen te wurmen. Het merendeel van die aanvallen gebeurde dankzij exploits in het Windows-besturingssysteem, dat het primaire doelwit vormt van de Turla-inbrekers. Maar voor de infiltratie van Linux-systemen, zo ontdekten Raiu en zijn collega-onderzoekers onlangs, gebruikten ze al die jaren een aparte Penquin Turla-inbraakkit, die gebaseerd was op dezelfde programmatuur als de één tot twee decennia oudere Moonlight Maze-aanvallen.

Begraven bom

Raiu en zijn Kaspersky-collega’s, nauw samenwerkend met cybersecurity-onderzoekers bij het Londense King’s College, verifieerden afgelopen maand een vermoeden dat al jarenlang heerste onder beveiligingsonderzoekers door voor het eerst een duidelijk aanwijsbaar verband aan te tonen tussen de spionage-aanvallen uit de late jaren 90, en de recentere, meer op cybercriminaliteit en bedrijfsspionage gerichte Turla-aanvallen. De gelijkenis begon bij het inzetten van Loki2, een oudere backdoor die werd gebruikt om in te breken op systemen, en waarvan een variant ook in recentere aanvallen werd ingezet. Zo ontdekten ze nog meer – kleine maar duidelijke – gelijkenissen tussen de oude en nieuwe programmatuur. “De code werd ontworpen om op oude architectuur in te breken, aanvankelijk gebaseerd op het Unix-besturingssysteem, maar werd het decennium daarna – of langer – constant gemodificeerd om Linux-systemen binnen te geraken”, zegt Raiu.

Hoe kan een twintig jaar oude hackingsoftware vandaag nog efficiënt zijn? Zie het als een WOII-bom die na een halve eeuw nog altijd ergens onder de grond zit: zolang ze niet wordt opgegraven en onschadelijk gemaakt, kan ze nog steeds schade aanrichten. “Systeemadministratoren die op Linux-systemen werken, hebben vaak geen antivirussoftware op hun systeem moeten zetten”, zegt Raiu. “Dat is de ironie van Linux-systemen: zij werden namelijk niet geplaagd door de virussen die Windows-systemen jarenlang teisterden, waardoor degenen die ze moesten beschermen dachten dat hun systemen oninneembaar zijn. Dat maakt dat geëvo-lueerde versies van Penquin Turla-aanvallen, die gebaseerd zijn op twintig jaar oude code, nog steeds brokken kunnen maken.”