Dat landen elkaar digitaal bespieden of op andere manieren bestoken, is geen geheim. Maar moet je daar als doorsnee bedrijf ook van wakker liggen? We duiken in de wereld van Advanced Persistent Threats.
Advanced Persistent Threats, kortweg APT’s, zijn een verzamelterm voor geavanceerde en doelgerichte cyberaanvallen, die over een lange termijn (onopgemerkt) actief zijn. Ze worden veelal gekoppeld aan natiestaten, al hoeft dat niet noodzakelijk het geval te zijn. Steeds vaker vinden de technieken ook hun weg naar criminele milieus.
Het geeft APT-aanvallen wel het karakter ver-van-ons-bed te zijn, want wat heeft zo’n staatsgebonden hackergroep in hemelsnaam bij jouw bedrijf te zoeken? De experts waar we voor dit artikel mee spraken, zijn het over één ding unaniem eens: niemand is veilig. Van het grootste bedrijf tot het individu, iedereen kan slachtoffer worden.
“Het is belangrijk om te beseffen dat het niet om jou gaat. Dat je niet interessant bent, vrijwaart je niet van risico”, waarschuwt Eward Driehuis, Chief Research Officer bij SecureLink.
“Dat je niet interessant bent, vrijwaart je niet van risico.”
Motivatie
APT’s kunnen verschillende doelen hebben, van het onderscheppen van communicatie tot het platleggen van kritieke infrastructuur. In zijn meest zuivere gedaante sluipt een APT ergens onopgemerkt binnen om over een langere periode te spioneren. “De hackers maken geen puinzooi, maar gaan heel netjes te werk. Ze gaan rustig je netwerk in en houden zichzelf verborgen”, legt Driehuis uit. De motivatie kan politiek, economisch of industrieel van aard zijn. Het doel is om ongemerkt gevoelige informatie, intellectueel eigendom of andere geheimen uit de systemen van het doelwit te ontfutselen.
“Nu zijn alle ogen gericht op China, maar eigenlijk wordt spionage bijna door iedereen gedaan”, vertelt de security-expert. “Het wordt gevoed door geopolitieke spanningen. Naarmate de handelsoorlog (tussen de VS en China, red.) verhit, zien we dat ook de aanvallen in grote mate toenemen.”
Het huidige internationale klimaat zorgt ervoor dat iedereen zich plots erg bewust is van het handelsvoordeel en spionagegevaar vanuit China. Heel veel communicatie in het Westen verloopt over Chinese netwerkapparatuur. De spionageverdenkingen aan het adres van telecomleverancier Huawei en de arrestatie van diens CFO, evenals het controversiële Bloomberg-artikel over Chinese spionagechips in serverhardware van Supermicro, moeten binnen die realiteit worden beschouwd.
Attributie
Attributie is sowieso een heikel onderwerp in de wereld van APT’s. In uitzonderlijke gevallen worden harde bewijzen gevonden dat een land of hackergroep verantwoordelijk is, maar meestal blijft het bij speculatie. “Dat gaat vaak voort op gekende code die hergebruikt wordt, maar veel code wordt door andere partijen gestolen of opnieuw geschreven. Het verband is nooit zeker”, legt Driehuis uit. “Voor een rechter zou het nooit stand houden.”
Bovendien is attributie vaak gekleurd, omdat veel analyse uit de Verenigde Staten komt. De bedreiging lijkt zich daarom vooral in het Oosten te situeren, maar ook Westerse landen hebben offensieve cybercapaciteit en schrikken er niet voor terug die te gebruiken. Zelfs tussen bondgenoten wordt gespioneerd, zoals blijkt uit de Snowden-lekken en het Belgacom-hack door de Britse inlichtingendienst van enkele jaren geleden.
“Attributie is iets heel moeilijks”, weet ook Pedro Deryckere, Team Lead Cyber Threat Research & Information Sharing bij het Belgische Computer Emergency Response Team (CERT.be). “Je moet echt de trafiek kunnen terugleiden, maar we hebben zelfs al gezien dat satellietcommunicatie wordt gebruikt om te verbinden met een C&C-server (de computer die een aanval coördineert, red.). Dan loop je tegen een muur aan. Hetzelfde geldt als hackers via het dark web werken.”
Zelfs het best beveiligde bedrijf heeft leveranciers waar het de poort van het fort voor openzet.
Supply chain
Aanvallers worden niet alleen handiger in het verbergen van hun sporen, ze leggen ook steeds meer vernuft aan de dag om een weg naar binnen te vinden. Steeds vaker maken ze daarvoor een omweg via de supply chain van het slachtoffer.
“De afgelopen jaren zien we zeker bij grote bedrijven en in bepaalde sectoren zoals de financiële, dat ze enorm in cybersecurity investeren”, vertelt Deryckere. “Op den duur worden dat versterkte forten waar je niet zomaar binnendringt.”
Zelfs het best beveiligde bedrijf heeft leveranciers waar het de poort van het fort voor openzet. Deryckere: “Dat zijn vaak kleinere organisaties die zich minder bedreigd voelen en misschien minder mogelijkheden hebben om de beveiliging op te bouwen, maar die wel een rechtstreekse connectie hebben met het fort. Als je er in slaagt om daar binnen te raken, kan je via het reguliere dataverkeer toch binnendringen in het versterkte fort.”
Kleinere bedrijven lopen echter niet alleen gevaar als Trojaans paard te worden misbruikt, ze kunnen ook zelf het doelwit zijn. “Een klein bedrijf met enorm veel kennis, dat bijvoorbeeld een uniek product aan het ontwikkelen is, daar kan ook wel eens iemand anders in geïnteresseerd zijn”, illustreert Deryckere. Of het zou kunnen dat ze waardevolle informatie bewaren over een grotere klant. Geen enkel bedrijf mag volgens Deryckere denken dat het niet interessant is voor een cyberaanval. “Zelfs een individueel persoon kan een doelwit zijn.”
Belgisch risico
België heeft met Brussel de hoofdstad van Europa en is gastland voor verschillende internationale instellingen, zoals de NAVO. Daarmee kan je ervan uitgaan dat ons land een interessant doelwit is voor APT-aanvallen. Deryckere nuanceert dat enigszins. “De risico’s in België zijn volgens mij vergelijkbaar met andere Europese landen. We hebben natuurlijk bepaalde internationale instellingen die andere landen niet hebben en die al dan niet een verhoogd risico met zich mee kunnen brengen”
“Een probleem van Rusland, Amerika of het Midden-Oosten kan morgen jouw probleem zijn.”
Deryckere is in zijn functie dag in dag uit bezig met cyber threat intelligence (CTI), ofwel het verzamelen en analyseren van informatie over potentiële dreigingen. “We focussen voornamelijk op dreigingen voor België, maar in de APT-wereld mag je geen oogkleppen opzetten”, legt hij uit. “Een probleem van Rusland, Amerika of het Midden-Oosten kan morgen jouw probleem zijn. Een APT-campagne kan zich naar aanleiding van een gebeurtenis – dat kan politiek, economisch of nationaal zijn – plots in jouw land of organisatie interesseren.”
CERT.be werkt in dit kader nauw samen met verschillende partners, waaronder de de veiligheidsdiensten. Een diplomatieke beslissing van de Belgische overheid om een bepaald land te veroordelen voor gestelde daden, kan leiden tot een verhoogd risico op een APT-aanval als dat land offensieve cybercapaciteit heeft. Hetzelfde geldt wanneer een individu of organisatie die in een ander land wordt vervolgd of in de gaten gehouden, plots op ons grondgebied vertoeft. “Bepaalde gebeurtenissen kunnen in een uur tijd de situatie veranderen”, weet Deryckere.
Threat hunting
Een verhoogde waakzaamheid lijkt dan aanbevolen, maar is erg moeilijk online. Het potentiële aanvalsoppervlak is simpelweg te groot, tenzij je op concrete informatie zit. “Wanneer je plots intelligence binnenkrijgt van tien Europese landen dat een specifiek ministerie bij hen onder aanval is, breng je best dat ministerie in je eigen land ook op de hoogte of kan je gaan threat hunten”, vertelt Deryckere. Bij threat hunting maak je gebruik van concrete CTI over een aanval om op zoek te gaan naar digitale sporen van een intrusie.
Het Belgische Centrum voor Cybersecurity, waar CERT.be het operationele luik van is, werkt momenteel aan een nationaal Early Warning System voor inlichtingen- en veiligheidsdiensten, federale overheidsdiensten en een lijst met organisaties van vitaal belang, zoals energieleveranciers. “Die mensen gaan op verschillende manieren CTI aangeleverd krijgen van ons, wat de cyberveiligheid in België enorm moet verhogen”, vertelt Deryckere. Op basis van de intelligence kunnen ze hun systemen op specifieke bedreigingen controleren. “We zetten daar zwaar op in. De CTI die wij aanbieden, moet aanvallen helpen voorkomen of op z’n minst detecteren.”
“Security is een verzekering. Zorg dat die de kosten dekt van de schade die je kan leiden.”
Impact
Of je nu zelf het doelwit bent of slechts een schakel in een grotere aanval, de impact kan in beide gevallen gigantisch zijn. “Om te beginnen is er incidentrespons, dat kost geld, zeker als je externe bedrijven moet inhuren”, vertelt Deryckere. “Je mag van geluk spreken als klanten geen vergoedingen vragen en met de GDPR is het ook de vraag in hoeverre je aansprakelijk wordt gesteld. Daar kunnen boetes aan hangen.” Nog nefaster is het mogelijk verlies van intellectueel eigendom of andere data, weet de cybersecurityspecialist. “Daardoor kan je contracten kwijtspelen.”
Volgens Deryckere is het daarom voor elk bedrijf van belang om jaarlijks opnieuw in cybersecurity te investeren. “Aanvallers gebruiken steeds nieuwere technieken en er komen ook steeds nieuwe technologieën uit om je te verdedigen.”
“Als ze via jou als IT-dienstenleverancier bij een bedrijf zijn binnengekomen, is dat voor jou niet al te best”, zegt ook Driehuis. Het risico is volgens hem heel anders dan bij reguliere aanvallen. “Ik denk dat de kans vandaag nog steeds groter is dat je tegen CEO-fraude aanloopt, maar de impact is anders.”
“Security is een verzekering”, zegt Yves Lemage, Manager Systems Engineering bij Fortinet BeLux. “Zorg dat die verzekering de kosten dekt van de schade die je kan leiden.” Hij benadrukt dat voor elke stap van een aanval in principe een oplossing bestaat, maar die zijn niet altijd afdoende. Aanvallers zijn ook op de hoogte van die oplossingen en zoeken voortdurend een weg eromheen. “Waterdichte security bestaat spijtig genoeg niet. Het is een kat-en-muisspel.”
In een volgend artikel gaan we samen met Lemage en de andere experts dieper in op de structuur van een APT-aanval en wat bedrijven kunnen doen om zich te beschermen.