Moeten we ons echt zorgen maken over spionagepogingen of cyberaanvallen door overheden?
Securitybedrijven zeggen het al lang: nu alles digitaal gaat, groeit ook cybercriminaliteit en ‘state sponsored hacking’, het soort gespecialiseerde spionage waarvoor u de budgetten en de training van een overheid nodig hebt. Hoeveel is daar van aan?
Eind 2018 toont de Nederlandse inlichtingendienst, de MIVD, een foto van vier blanke mannen van middelbare leeftijd die door de luchthaven van Schiphol wandelen. De heren zouden leden zijn van de beruchte GRU, de Russische inlichtingendienst, en zouden eerder al het dopingagentschap WADA in Zwitserland hebben gehackt. Ze waren, zo zegt de politie, naar Den Haag afgereisd om het OPWC te hacken, de internationale organisatie die toeziet op het gebruik van chemische wapens. De heren werden het land weer uitgezet.
Eind januari brengt Reuters dan weer het verhaal van Lori Stroud, een ex-werknemer van de NSA, de Amerikaanse geheime dienst, die jarenlang voor de Arabische Emiraten gewerkt zou hebben als cyberspionne. ‘Project Raven’, zo gaat het verhaal, bestond voor de helft uit ex-NSA-medewerkers, die onder meer IS-leden en mensenrechtenactivisten hackten. Stroud verliet het programma toen ze doorkreeg dat er ook Amerikanen bij de internationale doelwitten zaten.
Lijkt het zo, of zijn er nu echt meer cyberaanvallen en pogingen tot spionage vanuit landen? “Dat is wel iets dat opkomt”, zegt Eward Driehuis, chief research officer bij Securelink. Het securitybedrijf monitort onder meer bedrijfsnetwerken. “Voor 2018 hadden we zo 250.000 beveiligingsdatapunten, en daar vonden we 20.000 veiligheidsincidenten waarbij er iets gebeurt wat terug te leiden is tot hacken of social engineering. Je merkt dat er sowieso meer op hoger niveau gehackt wordt, maar dat ook een aantal van die hacks waren toe te wijzen aan spionage.” Driehuis merkt daarbij op dat het best lastig is uit te vissen wat er net aan de hand is. “De ervaren criminelen en spionnen gebruiken eenzelfde soort aanvalsmethodiek. Vaak weet je dus niet meteen wie er achter zit en waarom.”
De ervaren criminelen en spionnen gebruiken eenzelfde soort aanvalsmethodiek. Vaak weet je dus niet meteen wie er achter zit en waarom.
Het helpt daarbij niet dat natiestaten, en hun cyberspionagetools, ondertussen een stevige invloed hebben op misdaad in het algemeen. Mooi voorbeeld zijn hier de NSA-inbraaktools die in 2016 online werden gelekt. In dat pakketje: EternalBlue, een ‘exploit’ voor Windows die handig werd ingezet in zowel de Wannacry ransomware, als in de minstens even desastreuze NotPetya-aanvallen een jaar later (zie kader).
De Russen, de Chinezen en de Amerikanen
Ondanks het gebrek aan harde bewijzen, zijn er natuurlijk wel vermoedens. Er zijn zowaar trends. “Verschillende naties hebben meestal andere manieren van werken”, zegt Andy Patel, researcher bij securitybedrijf F-Secure. “China zoekt naar persoonlijke informatie. Die zouden bijvoorbeeld hospitalen aanvallen, omdat daar veel data te rapen valt. Noord-Korea is dan weer vooral geïnteresseerd in geld. Zij worden in verband gebracht met de hack op de bank van Bangladesh (zie kader). Veel van wat Rusland doet lijkt politiek geïnspireerd te zijn, terwijl de VS vooral dingen wil ontwrichten, zoals ISIS-operaties.”
“Er zijn verschillende motivaties voor dit soort aanvallen”, zegt Driehuis. “En spionage is daar een van. We noemen het graag ‘het Chinese model’, die zijn kampioenen van industriële spionage. Van alle geïdentificeerde staatsgesponsorde groepen is de helft Chinees, en die zijn allemaal bezig met industriële spionage. Maar het is belangrijk om weten dat iedereen dat doet. Ook bondgenoten doen dat. Denk maar aan de Belgacom hack (zie kader onderaan). Alleen wordt daar minder over gesproken.”
Zoals Patel eerder aangaf, worden hacks daarnaast ook gemotiveerd door ‘ontwrichting’ of chaos. “Wannacry en NotPetya werden ook door overheden gesponsord, maar zij willen vooral een zo groot mogelijke puinzooi maken. We noemen dat voor de grap het Russische model, maar ze zijn niet de enigen die dat doen. Ook Noord-Korea probeert naar verluidt vaak schade te berokkenen. Voor die landen is het een manier om met de spierballen te rollen. Rusland is een arm land en het militair budget is veel kleiner dan dat van de VS. Als zij serieus willen genomen worden, dan moeten ze een maximaal effect verkrijgen met minimale investeringen. Het is bijna een soort terrorisme, typisch voor vijanden met heel verschillende budgetten.”
Noord-Korea wil herrie maken en een beetje geld verdienen
En dan is er nog geld. “Noord-Korea wil herrie maken en een beetje geld verdienen. Zij zijn zowat de enigen die dat doen. Ze stelen voornamelijk bitcoins, want dat is het makkelijkst. En dat hebben ze gemeen met de cybercrime-industrie. Die willen gewoon geld verdienen met hun aanvallen. Die wegen risico en winst af”, aldus Driehuis.
U, ik en de spion om de hoek
Een team gespecialiseerde en ervaren hackers, met een stevig budget en bij momenten op maat gemaakte software, dat klinkt inderdaad als een probleem, maar is dat iets waar een modaal bedrijf zich zorgen om moet maken? “Gaan gewone, kleinere bedrijven een doelwit vormen voor natiestaten? Waarschijnlijk niet”, zegt Andy Patel van F-Secure. “De doelwitten hier zijn energiemaatschappijen, misschien organisaties in de zorg, de overheid of het leger, dat soort dingen. Voor gewone bedrijven zal het minder voorkomen. Maar er zijn wel voorbeelden van supply chain aanvallen. Bij NotPetya was het bijvoorbeeld een maker van boekhoudsoftware (zie kader). Dat bedrijf is op zich niet interessant, maar het had wel een mechanisme aan boord dat het interessant maakte.” Het idee achter zo’n supply chain aanval, is dat de hacker een leverancier gebruikt om binnen te geraken in een goed beveiligd bedrijf: als de NAVO te sterk beveiligd is, probeer het dan via de cateraar, dat idee.
“State sponsored attacks komen niet altijd direct,” zegt Maxime Rapaille, cybersecurity expert en adviseur bij beveiligingsbedrijf Cyber Security Management. “Als je de Kanselarij van de Eerste Minister wil aanvallen, dan ga je misschien via een leverancier proberen binnen te geraken. Zo’n organisatie heeft een sterke security, dus gebruik je een opstapje, een kleiner bedrijf met minder beveiliging.”
Hij geeft het voorbeeld van Amerikaanse supermarktketen Target, die werd aangevallen via zijn airconditioning-leverancier. “Zo’n bedrijf denkt vaak niet dat het een doelwit kan zijn, maar dat is het soms wel”, aldus Rapaille. “Zo’n supply chain aanval is overigens niet de enige reden om een kleiner bedrijf te infiltreren. Vaak is dat ook gewoon om te zien wat ze kunnen vinden. Misschien kunnen ze wat blackmail over het grote bedrijf verzamelen voor later. Of als het een kmo is die een event regelt voor een groot bedrijf dan is er misschien een gastenlijst, en kunnen ze info krijgen over de medewerkers.”
Via-via
Zo’n gastenlijst kan dan weer worden ingezet voor ‘social engineering’. Het is een aspect dat steeds vaker voorkomt in deze aanvallen. Het idee erachter is dat u, met genoeg informatie, medewerkers kan overtuigen dat u deel bent van de organisatie, of hen kan overhalen om iets voor u te doen. ‘Rita van de receptie is blijkbaar ziek vandaag, kan je even de code doorgeven?’ En dat werkt verbazingwekkend vaak.
“Social engineering is een heel vervelend trucje, want als je een beetje je best doet, met een half uur op Google of LinkedIn, kan je al een geloofwaardig verhaal afsteken”, zegt Eward Driehuis van Securelink. “Bovendien wordt het vaak niet gezien door de technologie. Je kijkt naar gedrag, maar links zijn er net om op te klikken. Daarom is het belangrijk om meerdere lagen aan beveiliging te hebben. Als je die hebt maak je een kans. Het is geen garantie, maar je maakt je kansen wel beter.”
Hoeveel ‘state sponsored’ aanvallen zijn er nu echt?
“Uit onze getallen blijkt dat het percentage van ‘state sponsored’ aanvallen vrij klein is. Als je gerichte cybercrime, zoals ransomware en cryptojacking, afzet tegenover aanvallen vanuit natiestaten, dan heb je iets van twee handjesvol op de 20.000. Ik sluit niet uit dat er data is die we gemist hebben, maar het is een heel klein percentage”, zegt Eward Driehuis, chief research officer bij Securelink.
Een van de bekendste gevallen van een sociale hack draait rond John Podesta, politiek consultant voor de Amerikaanse Democratische partij. “Hij kreeg een e-mail waarin stond dat ie zijn Gmail moest openen, en de server was geen Gmail, maar het leek er wel op”, legt Andy Patel uit. “Zo vonden ze zijn gebruikersnaam en wachtwoord.” En zo lagen de interne mails van de partij, enkele maanden voor de presidentsverkiezingen in 2016, op straat. Ook hier zou een extra laag security handig zijn geweest, zegt Patel: “Dat zijn natuurlijk dingen waar een multifactor authentication kan helpen. Het is best nuttig om dat soort dingen aan te zetten voor interne bedrijfsdiensten, dat maakt het een pak moeilijker om binnen te breken.”
Daarnaast is een mogelijk antwoord ook: mensen trainen. “De bewustwording van de mensen moet nog groter worden”, zegt Filip Savat, country manager Belux van securitybedrijf Fortinet. “De vraag is hoe ver gaat de boerenlogica van de mens om te zien of het echt is. We leven in een tijd waarin je videobeelden kunt ‘faken’.”
“Mijn houding is dat je altijd wel een truc kan vinden”, zucht Eward Driehuis. “Ik kan er zelf in trappen en ik ben een professional. Als je je verdediging baseert op het gedrag van je mensen, dan ben je niet goed bezig. Je wil phishing automatisch blokkeren. Als er toch iemand klikt, dan moet je antivirus hebben. Gebeurt dat niet, dan moet je het netwerk in de gaten houden voor lateral movement. Want die criminelen kunnen maar wat als ze op het centrale punt geraken. Je moet meerdere vangnetten onder je gebruikers spannen. Aan awareness kan je later nog werken, maar je hebt eerst je technische basis nodig.”
Lagen, procedures en back-ups
Maar geef nu toe, als de GRU uw tuincentrum wil hacken, dan doen ze dat toch? “Om helemaal eerlijk te zijn, als je het doelwit bent van een georganiseerde groep, zoals een criminele groep, dan is de kans groot dat ze binnen geraken”, zegt Andy Patel van F-Secure. “Zelfs grote doelwitten weten dat ze kunnen en zullen gehackt worden. Daarom wordt er daar zoveel geïnvesteerd in managed detection en response. Zij hebben mensen bij cybersecuritybedrijven zoals het onze, die meteen kunnen komen als zo’n situatie zich voordoet. Voor hen is het kwestie van meteen op de hoogte te zijn, als het gebeurt.” Als kmo hebt u dan maar pech? “Kleinere bedrijven hebben waarschijnlijk niet het geld om dat soort oplossingen te kopen”, geeft Patel toe. “Maar het feit is wel dat ze een doelwit van minder waarde zijn. Dat betekent ook dat ze niet de hoogst aangeschreven hackers gaan tegenkomen. Een goede manier om je tegen criminelen en zo te verdedigen, is te zorgen dat je geen makkelijk doelwit bent. Ze gaan altijd voor het laaghangende fruit, zoals ongepatchte servers die online staan. Het beste dat je dus kunt doen is zorgen dat je geen overduidelijke gaten in je beveiliging hebt.”
Het idee hier, zo lijkt het, is dat u de beste security koopt die u zich kunt veroorloven, ook als dat de standaard firewall en antivirus is. “Anderzijds is de IT van zo’n klein bedrijf ook niet groot, en kost de beveiliging ervan dus ook minder”, merkt Maxime Rapaille van Cyber Security Management nog op. “Er zijn ook opties zoals Protection-as-a-Service, die handig is voor kleinere bedrijven. Feit is dat je niet specifiek kan voorkomen dat je gehackt wordt, maar als je niets doet, vraag je erom.”
“Je kan je er wel tegen wapenen”, zegt Filip Savat van Fortinet. “Kmo’s komen minder in het vizier, tenzij ze een specifieke technologie in handen hebben. De grote bedrijven, zoals nutsbedrijven, overheden met smart cities, die moeten daar extra securitylagen gaan toevoegen.” Hij geeft het voorbeeld van segmentatie, het creëren van lagen binnen het netwerk. “Zo kan je zien hoe ver ze al in je netwerk zitten”, zegt hij, “Hoe ver mag een bepaalde persoon gaan binnen segmenten? Welke bestanden mag ie aanspreken? En als hij te ver gaat, dan zal hij worden tegengehouden.”
“Het gaat hier ook niet alleen om het product”, gaat Maxime Rapaille door, “Maar ook om een plan van actie dat je geregeld bijstelt. Het is als een brandoefening, je moet het een keer per jaar doen en bijstellen waar nodig. Je hebt bijvoorbeeld een back-up nodig die getest is, want als die niet getest is, dan is ie er niet wanneer je hem nodig hebt. Denk ook aan procedures voor incident response: wie te contacteren, wat te doen. Ook als je geen specialist in dienst hebt, voorzie dan een contact met iemand die je meteen kan helpen. Je zal waarschijnlijk ook iemand van de FCCU moeten bellen, en een expert moeten vinden om je back-ups uit de cloud te herstellen. Dat soort dingen moet voorzien zijn.”
“Kan je alles tegenhouden? Neen. Maar je moet de kans zo klein mogelijk maken”, besluit Savat. “Het verschil tussen kmo en enterprise is de complexiteit, want een groot bedrijf gaat meer lagen hebben, maar in sé is de oplossing hetzelfde, of je thuis zit, in een kmo, een enterprise of een telco. Het securityniveau moet hetzelfde zijn, alleen de complexiteit en de prijs zijn anders.”
De zwaarste hacks
(waarvan we weten of vermoeden dat ze door nationale agenten zijn uitgevoerd)
Stuxnet: De worm die in 2010 een Iraanse nucleaire reactor platlegde. Experten vermoeden dat de worm het werk is van de VS, eventueel met assistentie van Israël.
De Belgacom hack: Britse spionnen keken tussen 2011 en 2013 mee op de servers van het toenmalige Belgacom (ondertussen Proximus). Mogelijk was het de bedoeling om communicatie in het Midden-Oosten te onderscheppen. De hack werd in 2013 gelekt door klokkenluider Edward Snowden, en in 2018 bevestigd door Belgische speurders.
De Bangladesh Bank roof: Hackers gebruikten begin 2016 het SWIFT-bankensysteem om een reeks frauduleuze aanvragen te sturen naar de nationale bank van Bangladesh. Een honderd miljoen dollar werd buitgemaakt, voor de aanval werd gestopt. Vermoedelijk een aanval van Noord-Koreaanse oorsprong.
Het maillek van de Amerikaanse Democratische Partij: E-mails van leden van de Democratische partij worden op Wikileaks gelekt, enkele maanden voor de presidentsverkiezingen in 2016. Via spearphishing konden de hackers de account en het wachtwoord van consultant John Podesta veroveren. De hack zou het werk zijn van Russische spionnen.
Industroyer: Malware die in 2016 het elektriciteitsnetwerk van Oekraïne wist neer te halen. Uit onderzoek achteraf bleek het om extreem gespecialiseerde software te gaan. Vermoedelijk van Russische oorsprong.
Wannacry: De destructieve malware die de wereld in 2017 de betekenis van het woord ‘ransomware’ leerde kennen. Vermoedelijk Noord-Koreaans van oorsprong. Het was een van de eersten om de EternalBlue exploit van de NSA te gebruiken, maar het werd gelukkig snel weer stilgelegd.
NotPetya: Officieel ransomware, maar dan wel van het soort waar een computer niet meer overheen komt. Werd, ook al in 2017, verspreid via de updateserver van Medoc, een Oekraïens boekhoudsoftwarebedrijf. Het maakte dus vooral slachtoffers in dat land en bij bedrijven die er handel deden. Vermoedelijk van Russische oorsprong.
Ondertussen in Europa
Opvallende vaststelling bij het optekenen van die aanvallen: de doelwitten liggen meestal in verre landen, zoals Oekraïne, de VS of Bangladesh. Hoe zit dat met Europa en België? Blijft het, op die ene Belgacom-hack na, een ver-van-mijn-bed show?
“Als je dat gelooft, steek je je hoofd in het zand”, zegt Filip Savat. “Dat het niet zou gebeuren, is onwaarschijnlijk. Wel is er een verschil tussen de stille aanvallen, en die waar ruchtbaarheid aan gegeven wordt.”
Het is een mening die we wel vaker horen. “Het is voor bedrijven makkelijker om te zeggen dat ze stomtoevallig geraakt zijn door een destructieve aanval. Maar als een bedrijf door spionage geraakt wordt, dan huren ze in het geheim een bedrijf in om het op te lossen. Dus die gerichte aanvallen worden minder openbaar”, vermoedt Eward Driehuis.
Fout opgemerkt of meer nieuws? Meld het hier