Hoeveel schade kunnen de gelekte NSA-tools nog aanrichten?
Hackerscollectief TheShadowBrokers komt af en toe in het nieuws met zijn bizarre virusveilingen en zijn tools die het rechtstreeks bij de NSA kon stelen. Maar hoe gevaarlijk zijn die caches eigenlijk echt? Een maand na het laatste lek maken security-experts de balans op.
Zelfs in de stroom aan constante persberichten met securitylekken, nieuwe dreigingen en pas gevonden zero day exploits, was het een van de vreemdere verhalen. In augustus vorig jaar had een hackerscollectief genaamd TheShadowBrokers een reeks tools en exploits te pakken gekregen die waren ontwikkeld door de NSA, de Amerikaanse geheime dienst die zich onder meer bezighoudt met spioneren op het web. De groep probeerde die vervolgens te verkopen voor een ontiegelijk hoog bedrag in een veiling die uiteindelijk flopte. TheShadowBrokers gooiden een deel van hun NSA-ontwikkelde tools dan maar zo op het internet.
In januari en april deden ze dat nog eens, die laatste keer met een lange, vreemde post op de website Medium, waarin ze/hij/zij beweren ontgoochelde Trump-fans te zijn. De post staat vol met grammaticale fouten en extreem-rechtse wartaal, het soort artikel dat je op het internet al snel weg klikt als ‘een of andere gek die zijn ei kwijt moet’. Probleem is dat dat ei in dit geval weer een reeks gevaarlijke exploits bevat.
Moeten we bang zijn?
Door de bizarre marketing van de groep is de eigenlijke inhoud van hun caches bij momenten op de achtergrond getreden. Wat zit daar eigenlijk in? Verschillende security-experts hebben elke nieuwe reeks tools ondertussen onderzocht om te proberen uit te vissen hoe hackers hiermee om zouden kunnen gaan.
In januari dropten TheShadowBrokers bijvoorbeeld een reeks malware die onder andere tools bevatte waarmee je voorbij grote antivirusprogramma’s zoals die van Kaspersky, Symantec, McAfee en Trend Micro kon passeren. In deze cache zat ook een gesofisticeerde manier om lijnen uit ‘event logs’ te verwijderen, de logbestanden die vaak gebruikt worden om uit te vissen of een computer geïnfecteerd werd en hoe.
De cache van april bevatte enkele lekken voor Microsoft-producten. De exploits krijgen namen mee als Eternalromance, Eternalchamption, Eternalblue enzovoort, en ze buiten kwetsbaarheden uit in onder meer het Windows-besturingssysteem en in Windows Server. Die zijn ondertussen, volgens de fabrikant zelf, gepatcht. Vier ervan werden bijgewerkt in een update die Microsoft uitstuurde een maand voordat de exploit kit online kwam. Computers die hun Windows Firewall intact houden en up to date blijven, zouden dus veilig moeten zijn. Pikant detail: de tools in kwestie zouden door de NSA onder meer gebruikt zijn om toegang te krijgen tot de SWIFT-database, die geldstromen tussen banken regelt.
Over paniek en kernels
Politiek gefrons niettegenstaande, is er dus geen massale nood aan paniek, al is voorzichtigheid wel geboden. De tool DoublePulsar, bijvoorbeeld, die in april werd gelekt, draait in kernel mode, op een laag onder het besturingssysteem. Die zou hackers bijzonder veel controle over een systeem kunnen geven, vertelt Sean Dillon, senior analyst bij beveiligingsfirma RiskSense Inc. aan Bloomberg. Volgens hem zit het risico erin dat elke nieuwe malwarefamily de technieken van die DoublePulsar in zijn tools zal verwerken.
BinaryEdge, een Zwitsers securitybedrijf, meldt ondertussen dat het op zo’n maand tijd 428.827 DoublePulsar-infecties heeft gevonden door computers te scannen die verbonden zijn met het internet. Zeker voor bedrijven en gebruikers die er hun eigen update-cycli op na houden, is het dus zaak om toch maar die updates te installeren en alles nog eens netjes dicht te timmeren. Het is niet omdat exploits ogenschijnlijk door een stel gekken worden gelekt, dat ze niet gevaarlijk kunnen zijn.
Fout opgemerkt of meer nieuws? Meld het hier