De man liep uiteindelijk wel tegen de lamp, meldt telecombedrijf en dienstverlener Verizon. Het bedrijf in kwestie, wat niet bij name wordt genoemd, vroeg het securityteam van Verizon om een audit naar aanleiding van verdacht VPN-verkeer: logins vanuit China. Het bedrijf vreesde dat het was gehackt. Dat bleek echter niet het geval.

Voor een schijntje

Een van de eigen softwaredevelopers had zijn eigen ontwikkelwerk uitbesteed aan een Chinese firma, gevestigd in Shenyang. Daar werkten één of meerdere developers aan de klussen die de Amerikaan van zijn werkgever kreeg toebedeeld. De man ving daarvoor een 'six figure' salaris, waarvan hij naar verluidt ongeveer eenvijfde betaalde aan de daadwerkelijke developers.

De op deze manier bedrogen firma was geleidelijk aan overgegaan naar een meer telewerkend personeelsbestand. Het had daarvoor twee jaar terug een standaard VPN-opstelling opgezet, schrijft senior onderzoeker Andrew Valentine van Verizons RISK-team (Research, Investigations, Solutions, Knowledge). Hij zet dit fraudegeval uiteen in een blogpost, die hij begint met de stelling dat pro-actieve monitoring van logs best een goed idee kan zijn.

Verraden door VPN-logs

Begin mei vorig jaar ging het Amerikaanse bedrijf over tot het actief monitoren van de logs aangemaakt door de gebruikte VPN-concentrator (waar VPN-verbindingen binnenkomen op het bedrijfsnetwerk). De it-securityafdeling van de firma besloot daartoe naar aanleiding van Verizons jaarrapport (PDF) over data-inbraken (2012 Data Breach Investigations Report).

Uit metingen van het telecombedrijf blijkt dat continu en pro-actief doornemen van logs in wezen nooit gebeurt. Slechts 8 procent van de inbraken in 2011 zijn ontdekt dankzij interne log-review, meldt Valentine. In dit geval leek dat ook te gebeuren: de eigen it-securitymensen ontdekten tot hun schrik een open en actieve VPN-verbinding vanuit China. “Deze connectie was LIVE toen ze het ontdekten", blogt Verizons securityonderzoeker.

Kritieke infrastructuur

Die ontdekking zorgde voor flinke interne ophef. En wel om drie redenen. Ten eerst verzorgt het bedrijf kritieke Amerikaanse infrastructuur en kwam de ongeautoriseerde VPN-verbinding vanuit 'vijand China'. Ten tweede leek het erop dat er sprake was van een omzeiling of kraak van de gebruikte twee-factor authenticatie, compleet met wisselende encryptiesleutel via een RSA-token. Ten derde zat de developer wiens VPN-inlog werd misbruikt gewoon aan zijn bureau in het bedrijfspand.

Help, China! De angst voor 0-days en de Aziatische boeman sloeg hard in. Lees verder op pagina 2.

Volgens de VPN-logs was hij ingelogd vanuit China. Volgens de fysieke check was hij gewoon in de Verenigde Staten, op kantoor. De opgeschrokken it-afdeling nam contact op met Verizons securityteam voor een uitgebreide audit. Aanvankelijk dacht het bedrijf zelf aan een type onbekende malware dat het netwerkverkeer wist om te leiden van een vertrouwde interne verbinding naar China, en weer terug.

Al maanden, dagelijks

Terwijl Verizon het hele netwerk en de securityinfrastructuur van het bedrijf ging doornemen, bleek dat de verdachte VPN-verbinding niet nieuw was. “Helaas gingen de beschikbare VPN-logs maar zes maanden terug, maar ze toonden haast dagelijkse verbindingen vanuit Shenyang", onthult Valentine. In enkele gevallen waren deze verbindingen een hele werkdag actief.

De topdeveloper wiens VPN-inlog hiervoor werd gebruikt, was niet gelijk verdacht. De werknemer van ongeveer 45 jaar oud was al jaren in dienst bij het bedrijf. De man is goed thuis in diverse programmeertalen, waaronder C, C++, Perl, Java, Ruby, PHP en Python. Zijn profiel omvat termen als 'familieman', 'onschuldig' (inoffensive) en 'stil'. Verizon geeft hem de gefingeerde naam 'Bob' voor de nu geopenbaarde case study.

Vrees voor een 0-day

Ondertussen was het it-personeel van de 'gehackte' firma ervan overtuigd dat er een 0-day malware-aanval plaats had gevonden. Daarlangs was Bobs werkstation gepakt om VPN-verbindingen op te zetten die via een externe proxy omgeleid werden van en naar China. “Ja, een nogal gecompliceerde theorie, en zoals de meeste gecompliceerde theorieën een incorrecte", aldus Valentine.

Voor de zekerheid werd wel de computer van Bob forensisch ontleed, inclusief het recoveren van gewiste bestanden om sporen van de vermoede malware op te rakelen. Daarlangs zouden ook de werkgewoontes van de topdeveloper aan het licht komen, om uit te wijzen of en wat hij wellicht als malware heeft gedownload.

RSA-token in de post

“Wat we vonden, verrastte ons: honderden PDF-facturen van een derde partij, een onderaannemer/developer in (je raadt het al) Shenyang, China." Toen kwam de aap uit de mouw. Bob had simpelweg zijn eigen baan uitbesteed aan een Chinees consultingbedrijf, voor nog geen éénvijfde van zijn topsalaris. Daarbij werd niet alleen het daadwerkelijke ontwikkelwerk gedaan, maar ook direct ingevoerd in de systemen van de eigenlijke werkgever.

Lummelen voor een topsalaris. Lees verder op pagina 3.

Om die 'compleetheid' te bereiken, had Bob zijn RSA-token opgestuurd via FedEx naar China. De onderaannemer kon zo tijdens Bobs werkdag inloggen als zijnde hem, om zijn werk te doen. Wat Bob dan voor werk deed? Niet veel, of zelfs niets. Uit Verizons doorlichten van zijn browsegeschiedenis blijkt dat hij er een wel heel relaxt werkschema op nahield.

Reddit, kattenvideo's, lunch, Facebook

“Het leek erop dat hij een gemiddelde 9-tot-5 werkdag had", maar niets was minder waar. Om 9:00 uur 's ochtends begon Bob door enkele uren op forumsite Reddit rond te hangen. Daarbij bekeek hij ook online video's over en met katten. Om 11:30 uur ging hij lunchen, en rond 13:00 uur werd hij actief op veilingsite eBay.

Tegen 14:00 was Bob druk bezig met Facebook-updates en met LinkedIn. Om 16:30 stuurde Bob een update-mail over zijn verrichte werk aan het management. En om 17:00 ging Bob naar huis. De klus was weer geklaard. Dit was een typische werkdag voor Bob, blogt Verizons Valentine.

'Topwerknemer'

Dit fraudegeval eindigt nog met twee uitsmijters. Ten eerste zijn er aanwijzingen dat de firma waar Bobs zelf-outsourcing is ontdekt niet het enige slachtoffer was. Bob werkte voor meerdere bedrijven in de omgeving van die firma. Ten tweede, volgens Valentine “the best part", dat Bob een hele goede werknemer was.

De onderzoekers van Verizon hebben in het kader van hun audit ook de functioneringsverslagen over Bob doorgenomen. Hij kreeg al jaren op rij uitstekende beoordelingen: zijn code was schoon, goed geschreven en op tijd ingediend. Elk kwartaal weer was Bob beoordeeld als de beste developer in het pand.