Alle kwetsbaarheden die opduiken in de exploit-kit Blackhole komen niet van de malware-auteurs zelf, maar zijn verzameld door de makers. De grote meerderheid van de gaten die cybercriminelen misbruiken via de hackertool komt zelfs van white hat-hackers die code publiceren om lekken aan te tonen, meldt beveiligingsbedrijf Sophos.

Geen malwareschrijvers

Gabor Szappanos van Sophos volgt Blackhole al sinds het begin en ziet een gebrek aan originaliteit bij de makers van de exploit kit. In de Blackhole-kit zit geen enkele kwetsbaarheid die als eerste opdook in de tool. “In enkele gevallen is de exploit samengesteld van samples die bij eerdere aanvallen zijn opgedoken, maar in de meeste gevallen was de bron het resultaat van onderzoek door whitehat beveiligingsexperts", schrijft Szappanos.

De samenstellers van Blackhole zijn daarom volgens hem bepaald geen professionele malware-auteurs. “De schrijver van de exploit-kit Blackhole voelt zich blijkbaar comfortabeler als systeemintegrator of webapplicatieontwikkelaar, en is verre van een echte beveiligingsonderzoeker", stelt de Sophos-onderzoeker.

Voor disclosure, maar betaald

Hij benadrukt dat hij niet tegen disclosure is, waarbij beveiligingsonderzoekers gaten aantonen om producten juist veiliger te maken. Het nadeel van deze methode is dat gebruikers pas laat bijvoorbeeld hun browser patchen, waardoor deze gaten - ondanks dat de leverancier al lang en breed een patch beschikbaar heeft gesteld - lang gebruikt kunnen worden door cybercriminelen.

Szappanos denkt dat de oplossing ligt in het niet openbaar publiceren van de code. Als malwareschrijvers flink in de buidel moeten tasten voor exploits, worden er per kit minder ingevoerd en worden zulke hackertools duur of minder effectief. “Door lekken gratis te verstrekken in de vorm van makkelijk te implementeren proof-of-concept-code, steun je eigenlijk de schrijvers van exploit-kits."