De ontdekking van een nieuwe hackaanval die veel wegheeft van een hinderlaag bij de waterput, leidt niet alleen terug naar de befaamde cyberinbraak bij Google maar levert ook een industrieruzie op. Symantec doet de zaak uit de doeken, maar krijgt kritiek van RSA over krediet claimen voor andermans vondst. RSA zelf is overigens begin 2011 diepgaand gehackt en heeft daar harde lessen uit getrokken.

0-day arsenaal

De cyberinbraak bij RSA is voorafgegaan door de geruchtmakende kraak bij Google. De cybercriminelen die daar eind 2009 hebben ingebroken, en bij vele andere bedrijven, zijn nog altijd actief. Ze hebben een voorraad aan 0-day gaten, plus een nieuwe aanvalsmethode. Dit stelt securityleverancier Symantec in een recent onderzoeksrapport.

Het bedrijf zegt de afgelopen drie jaar de activiteiten van een bende te hebben gemonitord die in 2009 de Aurora-Trojan heeft gebruikt tegen grote, bekende bedrijven. Die malware, ook wel Hydraq geheten, dient voor gerichte aanvallen en is eind 2009 - met enig succes - ingezet om in te breken bij Google.

De aanvallers sloegen ook toe bij vele andere, grote bedrijven, waaronder Amerikaanse toeleveranciers voor Defensie. Eerst leek een dertigal bedrijven geraakt, maar vervolgens bleek het om ruim honderd slachtoffers te gaan. De daders van deze aanvalsgolf zijn getraceerd tot in China, waarbij de Chinese overheid als schuldige - of aanstichter - werd gezien. Dit heeft nog tot harde diplomatieke woorden geleid van de Amerikaanse minister van Buitenlandse Zaken, Hillary Clinton. China heeft betrokkenheid altijd fel ontkend.

Prooi besluipen

Sinds die grote slag zijn de verantwoordelijke hackers gewoon doorgegaan met hun werk, stelt Symantec nu in zijn rapport The Elderwood Project (PDF). “Interessante hoogtepunten in hun aanpak omvatten: het gebruik van een schijnbaar onbeperkt aantal zero-day exploits, aanvallen op toeleveranciers die producten of diensten leveren aan het eigenlijke doelwit, en een overgang naar 'drinkplaats'-aanvallen", schrijft de securityleverancier.

Zogeheten 0-day beveiligingsgaten zijn zwakke plekken in software waar al wel misbruik van gemaakt kan worden, maar waarvoor de producent nog geen patch uit heeft gebracht. De nul slaat op het aantal dagen tussen openbaarmaking (en eventueel misbruik) van een gat en het uitbrengen van een patch om het te dichten. De 'drinkplaats'-aanvalsmethode komt neer op het inbreken bij bepaalde websites waar werknemers van het doelwit geregeld komen. Net zoals leeuwen vaak op de loer liggen bij een drinkplaats voor dieren.

Systematische aanpak

De door Symantec gemonitorde 'Google-inbrekers' nemen diverse industriesectoren op de korrel. Daaronder in ieder geval defensie, defensietoeleveranciers, mensenrechtenorganisaties, niet-gouvernementele organisaties (NGO's), en it-dienstverleners. De aanvallers werken systematisch, merkt de securityleverancier op, en hebben een eigen softwareplatform waarmee ze diverse malwaremodules kunnen inzetten.

Dit platform, door Symantec Elderwood gedoopt, is ingericht op hergebruik van componenten. Dit vergemakkelijkt en versnelt de inzet van nieuwe 0-days, oordeelt het beveilgingsbedrijf. De cyberaanvallen worden uitgevoerd met zeer gerichte phishing e-mails (spear phishing), maar in toenemende mate ook via code-injectie vanaf websites, die eerst gekraakt worden juist om het eigenlijke doelwit te kunnen pakken. Dat gebeurt dan gericht en is dus de 'drinkplaats'-aanvalsmethode.

Hoe groot het 0-day arsenaal is, en hoe serieus de verantwoordelijke cyberbende? Groter en gevaarlijker dan de Stuxnet-crew, waarschuwt Symantec.

Lees verder op pagina 2.

Meer dan Stuxnet

“Hoewel er andere aanvallers zijn die zero-day exploits gebruiken (bijvoorbeeld Sykipot, Nitro of zelfs Stuxnet) hebben we geen enkele andere groep gezien die er zoveel gebruikt." Het aantal 0-days dat de Elderwoord-cybercriminelen aanwenden, geeft volgens Symantec aan dat ze veel technische kennis en kunde in huis hebben. Dat kunnen dan eigen experts zijn of juist ingehuurde toptalenten.

Onder de ingezette 0-days zitten gaten in de Flash Player van Adobe, webbrowser Internet Explorer van Microsoft, en de Core XML Services van Microsoft. Hiermee is eerder dit jaar de website van Amnesty International Hong Kong gecompromitteerd, zodat bezoekers daarvan besmet werden met malware. Dit is toen geopenbaard door Symantec.

Enorme inspanning

Voor het ontdekken en vervolgens benutten van deze kwetsbaarheden is volgens Symantec een grote inspanning vereist. De aanvallers moeten de gecompileerde applicaties grondig uitpluizen (reverse-engineeren) om deze complexe en voorheen nooit ontdekte gaten te vinden. De benodigde inspanning kan flink worden verkleind als de hackers toegang hebben tot de broncode van die applicaties, merkt Symantec op in het Elderwood-rapport.

Het bedrijf stelt ook dat de 0-days vaak dicht op elkaar zijn ingezet wanneer publieke ontdekking van één ervan dreigde plaats te vinden. “De schaal van de aanvallen, zowel qua aantal slachtoffers als de duur van de aanvallen, zijn nog een indicatie van de middelen die de aanvallers tot hun beschikking hebben."

Grootschalige infodiefstal

De doelwitten worden niet voor kruimeldiefstallen gehackt, maar voor grootschalige vergaring van informatie en van intellectueel eigendom. De daarmee verkregen dataschat is dermate groot en complex dat ook dit weer een flinke inspanning vereist. Dat is dan voor het identificeren van de informatie, het verkrijgen daarvan én het analyseren zodra de buit binnen is. De benodigde middelen zijn volgens Symantec alleen te leveren door een grote criminele organisatie, of door aanvallers met steun van een overheid, of door een overheid zelf.

Het bedrijf waarschuwt mogelijke doelwitten, met name in de defensie-industrie, op hun hoede te zijn. Aanvallen zijn te verwachten juist vanuit dochterondernemingen, zakenpartners en andere gelieerde bedrijven. Die 'tussenstations' zijn mogelijk al eerder gecompromiteerd waarbij die toegang tot op heden nog niet is ingezet. De diepgaande hack bij security-tokenleverancier RSA is daar een concreet voorbeeld van. Enerzijds is die cyberinbraak in de loop van meerdere maanden gepleegd. Anderzijds was RSA slechts een middel en niet het eigenlijke doelwit.

RSA-Symantec fittie

Datzelfde RSA reageert fel op Symantecs uiteenzetting over zijn ontdekking. Beveiligingsleverancier RSA spreekt van 'pronken met andermans veren'. Symantec zou er vandoor gaan met de eer die eigenlijk aan RSA toekomt, stelt hoofdonderzoeker Will Gragido van RSA in een boze tweet.

“Wij hebben het gevonden, het een naam gegeven, het geanalyseerd, we waren de eerste vóór Symantec", aldus Gragido. “Onze paper zal dat bewijzen. Het ware verhaal", kondigt hij het eigen onderzoeksrapport aan naar deze nieuwe hackmethode. Dat rapport over het in hinderlaag liggen van cyberaanvallers bij 'de drinkplaats' stamt al van 20 juli dit jaar.

Niet praten, maar poetsen

Een andere security-expert reageert dat hij de term 'watering hole' voor een dergelijke aanvalsmethode al eerder heeft gehoord, vanuit de Amerikaanse geheime dienst NSA. Hij wijst erop dat het vooral belangrijk is om het probleem op te lossen, ongeacht wie de naamgever is. De vraag is of en hoe dit sluipgedrag bij de drinkplaats kan worden aangepakt.