Moet uw bedrijf bang zijn voor Fancy Bear?
Gesofisticeerde cyberaanvallen spreken tot de verbeelding, komen groot in het nieuws en lijken vaak geopolitieke doelwitten te viseren. Maar kan u er ook als consument of bedrijf slachtoffer van worden?
In oktober kwam aan het licht dat Nederland een operatie van Russische spionnen verijdeld heeft tegen de Organisatie voor het Verbod op Chemische Wapens. Daarbij kwamen vier leden van de hackersgroep Fancy Bear in het vizier. De vier waren van plan het wifi-netwerk van de OPCW te hacken en infecteren, zei generaal-majoor Onno Echelsheim, baas van de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Echelsheim had het over Unit 26165: een van de namen voor de Fancy Bear groep, die ook gekend is onder de namen APT28, Pawn Storm, Sofacy Group, Sednit en STRONTIUM. Het is de groep die achter de inbraak zou zitten in de mailservers van de Democratische Partij in de Verenigde Staten in 2016. De groep wordt ondertussen door zowat elk Westers land beschuldigd van inmenging en cyberaanvallen. Ook door België: het federaal parket onderzoekt bijvoorbeeld een incident uit 2014, toen hackers inbraken bij de FOD Buitenlandse Zaken. Het is zeer uitzonderlijk dat een staat zoals Nederland uitdrukkelijk beschuldigingen uit. Bestaat Fancy Bear uitsluitend uit Russische leden en is het effectief het Kremlin dat de touwtjes in handen heeft van de hackersgroep? “Wij doen nooit uitspraken over de identiteit van de hackers of de oorsprong van een aanval”, zegt Alexis Dorais-Joncas, de man die bij ESET onder meer hackersgroep Fancy Bear volgt. Data News sprak hem op een securityconferentie van ESET in Bratislava. ESET slaagde er de afgelopen jaren regelmatig in om aanvallen op te sporen die afkomstig zijn van hackersgroepen als Fancy Bear. “Het is niet onze taak om met een beschuldigende vinger in de richting van een land te wijzen. Wij leggen hun werkwijze bloot, en het is aan de inlichtingendiensten en autoriteiten om verdere stappen te ondernemen. Met volledige zekerheid zouden we trouwens nooit de daders kunnen aanduiden omdat dat technisch écht niet kan. Hackers weten hoe ze bewust misleidende sporen kunnen achterlaten die in de richting van een ander land wijzen”, zegt Dorais-Joncas. “Wat voor ons wél zeker is, is dat de groep duidelijk geopolitieke doelwitten viseert. Dat betekent ook dat de groep waarschijnlijk door een staat gefinancierd wordt.”
Het incident in Nederland kwam amateuristisch over: de daders werden gefilmd bij aankomst in de luchthaven, ze gebruikten hun echte paspoorten en de kofferbak vol wifi-detectieapparatuur oogde niet bepaald hightech. Dat past toch niet bij een groep als Fancy Bear?
DORAIS-JONCAS (lacht): Daar hebben we intern al heel wat informele discussies over gehad, maar uitsluitsel kunnen wij ook niet brengen. Is het misleiding? Is het een poging om met een groep gelijkgezinden naar Rusland te kunnen wijzen? Wij kunnen die vraag niet beantwoorden zonder extra informatie en die hebben we niet in dit geval.
Fancy Bear komt behoorlijk vaak in het nieuws. Opmerkelijk toch voor een groep die geopolitieke doelwitten viseert?
DORAIS-JONCAS: Net door hun high-profile slachtoffers staat de groep volop in de aandacht. We volgen de groep ook al heel erg lang. We weten dat ze al sinds 2004 actief zijn, en ze zijn verantwoordelijk voor de ontwikkeling van tientallen hacking tools die ondertussen door anderen worden gebruikt. Ze zijn ook snel bij de pinken: we zien regelmatig misbruik door hen van 0-day exploits (software bugs die meteen na het bekend raken uitgebuit worden, nvdr.). Hun talrijke aanvallen in voornamelijk Oost-Europa vallen ook op.
Sommige groepen verstoppen zich beter omdat ze gewoon ook bewust meer moeite doen om onder de radar te blijven
Is de groep dan effectief de grootste in omvang of zijn er andere groepen die zich misschien beter verstoppen?
DORAIS-JONCAS: Fancy Bear is bijzonder actief, maar er zijn ook andere grote groepen die soortgelijke doelwitten viseren zoals Turla, die de NAVO en de Europese instellingen aanvalt. Of andere groepen in Azië die in aantal meer aanvallen lanceren dan Fancy Bear. Maar Fancy Bear wordt nu eenmaal meer besproken omwille van de Amerikaanse doelwitten: de hack van de Democratische Partij of de poging tot beïnvloeding van de Amerikaanse stemresultaten. Maar je hebt gelijk, sommige groepen verstoppen zich beter omdat ze gewoon ook bewust meer moeite doen om onder de radar te blijven. De Equation Group bijvoorbeeld (volgens de geruchtenmolen mogelijk een eenheid van de Amerikaanse inlichtingendienst NSA, nvdr.) kwamen we pas voor de eerste keer op het spoor nadat ze al vier jaar onder de radar gewerkt hadden. Dat zijn groepen die duidelijk niét willen dat hun aanvallen en hackpogingen aan elkaar gelinkt worden. Ze veranderen voortdurend van gedaante door compleet andere tools uit te brengen, hun modus operandi te veranderen en telkens op een andere manier hun malware te schrijven. Een groep als Fancy Bear is in dat opzicht makkelijker te volgen omdat ze meer met incrementele updates van hun malware en hacktools werken en meer voorspelbare werkpatronen hebben.
Soms horen we echo’s dat die staatsgesteunde aanvallen eigenlijk geen bedreiging vormen voor bedrijven. Of moeten bedrijven, en bij uitbreiding consumenten, daar wel wakker van liggen?
DORAIS-JONCAS: Sommige tools uit geavanceerde hackpogingen worden na verloop van tijd mainstream en worden in aangepaste vormen ook ingezet door andere malwarebouwers die wel de consument of de bedrijfswereld viseren. Maar heel wat andere tools zijn zodanig gesofisticeerd en op maat van één aanval gemaakt dat ze geen rechtstreeks gevaar vormen voor consumenten. Neem nu de LoJax-aanval (zie kader, nvdr.): die is extreem gevaarlijk maar hebben we tot nog toe maar één keer kunnen vinden en hij werkt uitsluitend op één type laptop. Dat is duidelijk een op maat gemaakte tool door de Fancy Bear groep, waar consumenten niet direct voor hoeven te vrezen.
De doorsnee hacker gaat echter altijd voor aanvallen die hem het snelst resultaat opleveren
LoJax demonstreert anders wel hoe hackers nu ook via firmware van een laptop kunnen inbreken en remediëring zelfs compleet onmogelijk maken. Is dat een trend voor de komende jaren?
DORAIS-JONCAS: We wisten al jaren dat malware als LoJax in theorie mogelijk was, maar het heeft dan toch lang geduurd vooraleer we er een aantroffen. En is het ook alleen maar die ene, die dan ook nog eens bijzonder complex is. We spreken over het ontleden en misbruiken van UEFI (Unified Extensible Firmware Interface, de opvolger van het oudere BIOS, nvdr.): dat doe je niet zonder er veel tijd én dus middelen in te stoppen. Dat maakt de kans kleiner dat deze tool hergebruikt zal worden op grote schaal. Op langere termijn zit de kans er wel in dat de aanvalstechniek breder verspreid raakt en minder complex wordt. Als dat zou gebeuren, kunnen we ons verwachten aan downloadbare kits op basis van stukken LoJax-code die dan op het dark web verhandeld worden. Maar op korte termijn vrees ik niet voor een trend.
Heeft de industrie uit LoJax geleerd en werkt ze aan veiligere UEFI-standaarden?
DORAIS-JONCAS: Absoluut, daar wordt massaal werk van gemaakt. Iedereen beseft het belang om te vermijden dat firmware geïnfiltreerd en overschreven wordt door geïnfecteerde firmware. In principe zou het nu al technisch niet mogelijk mogen zijn, maar we ontbreken daar nog een stuk kennis over hoe de hackers dat precies voor elkaar gekregen hebben.
Mogelijk via een geïnfecteerde, legitieme update van een firmware?
DORAIS-JONCAS: Dat zou bijzonder erg zijn, en ik ga er van uit dat zoiets niet snel gaat gebeuren want het zou hun reputatie verwoesten. De impact is dan vergelijkbaar met die van een groot softwarebedrijf dat geïnfecteerde software verkoopt. Laat ons maar vertrouwen in de beveiligingsteams.
Dus we hoeven voorlopig niet meteen wakker te liggen van meer aanvallen op firmware in plaats van softwareapplicaties of besturingssystemen?
DORAIS-JONCAS: Besturingssystemen worden inderdaad alsmaar veiliger en dat is goed nieuws. Of aanvallers dan meer voor firmware kiezen? Zoals gezegd: het gaat daar om een uiterst complexe aanval. De doorsnee hacker gaat echter altijd voor aanvallen die hem het snelst resultaat opleveren, en daar heeft hij nog altijd een heel arsenaal aan relatief goedkope wapens die hij kan kiezen. De meeste malware of ransomware wordt nog altijd via e-mail verspreid en misbruikt het menselijk vertrouwen. Zolang die goedkope manier resultaat blijft opleveren, is er geen nood aan massale, complexe firmware-aanvallen.
Wat is LoJax?
· LoJax is genoemd naar de 100 % legitieme software LoJack van Absolute Software. De aanval misbruikt een bug in de originele software die het mogelijk maakt om een gestolen laptop op te sporen of te recoveren.
· LoJack kan dat omdat de fabrikant van de laptop een commerciële overeenkomst heeft met Absolute Software om de software ook in te bakken in de firmware (UEFI) van het toestel.
· Deze opmerkelijke architectuur trok al snel de aandacht van hackers. In 2009 vonden die een belangrijke kwetsbaarheid in een configuratiebestand, waarbij het netwerkverkeer omgeleid kon worden naar een andere server dan die van Absolute Software. De bug werd nog in 2009 weggewerkt, maar ligt toch aan de basis van hoe de LoJax-malware werkt.
· Wat ESET ontdekte is één systeem waar een gemanipuleerde versie van LoJack op stond, die prompt LoJax genoemd werd.
· Telkens die pc opstart, wordt de gemanipuleerde UEFI-rootkit aangesproken voordat de pc het eigenlijke besturingssysteem opstart.
· Nog voor de pc tot aan het Windows-opstartscherm geraakt is het systeem dus al gecompromitteerd. Windows opnieuw installeren of zelfs de harde schijf vervangen is daarom géén oplossing. Enkel nieuwe, propere firmware van de fabrikant zelf kan de malware definitief verwijderen.
Fout opgemerkt of meer nieuws? Meld het hier