Digitale bankroof: aanvallers stelen zwaarbewaakte hacktools van securityreus FireEye

Het overkomt zelfs de besten

Beveiligingsspecialist FireEye is het slachtoffer geworden van hackers, vermoedelijk gesponsord door een natiestaat. De aanvallers gingen aan de haal met geavanceerde tools die FireEye zelf gebruikt om de beveiliging van zijn klanten te testen. Die tools kunnen nu naar de digitale onderwereld doorsijpelen.

FireEye, één van de grootste beveiligingsspecialisten in de VS met wereldwijde activiteiten, werd het doelwit van een succesvolle cyberaanval. De aanval was volgens FireEye zelf georganiseerd door een natiestaat. Dat betekent dat de hackers gesponsord worden door een regering en vermoedelijk toegang hebben tot geld en tools waar de meeste cybercriminelen maar van kunnen dromen. De Amerikaanse FBI deelt die voorlopige conclusie.

Wie niet thuis is in de beveiligingswereld, kent FireEye misschien als de organisatie die Sony heeft bijgestaan na het grote hack enkele jaren geleden waarin criminelen aan de haal gingen met onuitgegeven films. FireEye is verder een grote naam die regelmatig nieuwe aanvallen en trends in de cybersecuritywereld ontdekt en deelt.

Kluis met geavanceerde wapens

De aanvallers gingen aan de haal met tools die FireEye gebruikt om de beveiliging bij klanten te testen. Dat zijn in de praktijk geavanceerde hacktools die de beveiliger inzet om lekken te dichten. Criminelen kunnen de code offensief gebruiken. Je kan de tools daarom zien als extreem geavanceerde aanvalssoftware. FireEye gebruikt ze om de beveiliging van klanten te kraken en te gevonden lekken vervolgens te dichten, voor criminelen de kans krijgen.

lees ook

Kaspersky gaf tip over dief van NSA-data en -tools

De hacksoftware in kwestie werd bewaard in een zwaarbeveiligde digitale kluis. De New York Times vergelijkt het hack met bankrovers die de kluis in een bank kraken en vervolgens ook nog eens aan de haal gaan met de onderzoektools van de politiediensten. De hackers zouden verder interesse getoond hebben in specifieke klanten van FireEye. Het gaat daarbij voornamelijk om overheidsinstellingen van de VS en bondgenoten.

NSA en de Russen

De aanval doet denken aan de hack van de Amerikaanse inlichtingendienst NSA. In 2016 gingen criminelen aan de haal met hacktools van de inlichtingendienst, die ze later online deelde. Vooral de Eternalblue-exploit berokkende heel wat schade en lag aan de basis van malware zoals WannaCry. Bij FireEye gingen de criminelen aan de haal met cyberwapens die eveneens het potentieel hebben om wereldwijd heel wat schade te berokkenen.

De New York Times speculeert dat de Russische veiligheidsdiensten achter de aanval kunnen zitten. Terwijl de hele VS inclusief FireEye zich focuste op de digitale beveiliging van de Amerikaanse presidentsverkiezingen, zouden de Russen hun slag geslagen hebben. Verder wekte FireEye zich in de kijker door Russische overheidsinstanties publiekelijk te beschuldigen van verschillende aanvallen de afgelopen jaren. Het gaat echter om pure speculatie. Ook andere landen zoals Iran en Noord-Korea hebben geavanceerde digitale aanvalscapaciteiten.

Transparantie troef

FireEye communiceert erg transparant over het lek en geeft ook aan wat er precies gestolen is. Verder wil FireEye de beveiligingswereld helpen om zich te wapenen tegen de gestolen tools, zodat de kans op misbruik kleiner wordt. Samen met andere softwarebedrijven lanceerde FireEye al verdedigingssoftware, weet Reuters.

“De manier waarop FireEye met de aanval omgaat, is lovenswaardig”, vindt Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense. “Het is mooi van hen dat ze delen wat er is gebeurd, wat er op straat is beland en hoe criminelen het kunnen misbruiken. “Ze delen bovendien de volledige threat intelligence-informatie met de hele wereld, zodat andere organisaties zich kunnen wapenen tegen het misbruik van de geavanceerde tools.”

De manier waarop FireEye met de aanval omgaat, is lovenswaardig.

Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense

Vergeleken met het NSA-hack is de buit van de aanvallers op het eerste zicht iets minder kritiek. EternalBlue misbruikte een tot dan ongekend zeroday-lek, terwijl de tools van FireEye gebaseerd zijn op gekende lekken en bugs. Dat de tools zich richten op gekende problemen, maakt ze niet irrelevant. Heel veel organisaties lopen achter met hun patchbeleid en al te vaak staat er nog wel ergens een achterpoortje op een kier. De software kan aanvallers helpen om dergelijke lekken snel op te sporen en efficiënt uit te buiten.

Wat nu?

De hack is een illustratie van een scenario waar beveiligingsspecialisten al jaren voor waarschuwen. Natiestaten en grote organisaties ontwikkelen krachtige hacktools voor intern gebruik, maar vroeg of laat loopt er iets mis en komen die in de bredere digitale onderwereld terecht. Je kan er vanop aan dat de gestolen tools plots krachtige aanvalsmogelijkheden toevoegen aan het arsenaal van criminelen die normaliter onvoldoende kennis, tijd of geld hebben om een gelijkaardige aanval op te zetten. Daarmee maakt de hack het dreigingslandschap weer dat tikkeltje gevaarlijker.

lees ook

Zero day-lekken steeds vaker te koop

Verder geven de tools aanvallers de mogelijkheid om geavanceerde hacks uit te voeren in alle anonimiteit. Zelf ontwikkelde tools bevatten vaak sporen die wijzen op de herkomst van de code, waardoor aanvallen aan specifieke groeperingen worden gelinkt. Door de toolset van FireEye in het wild te verspreiden, wordt het moeilijker om te herleiden wie precies verantwoordelijk is voor een toekomstige aanval.

Het overkomt de besten

Tot slot toont de aanval dat iedereen kwetsbaar is. FireEye is een wereldwijd gerenommeerde beveiligingsspeler met tonnen knowhow aan boord, maar zelfs een dergelijk bedrijf is niet onkraakbaar. De aanvallers zouden erg geavanceerde technieken gebruikt hebben waarmee FireEye naar eigen zeggen nooit eerder werd geconfronteerd. Google, Microsoft en andere bedrijven actief in de beveiligingswereld bevestigen dat de aanvallers gebruik maakten van ongekende methodes.

“Zoiets had iedereen kunnen overkomen”, zegt van Der Perre. “Natiestaten zijn een gekende bedreiging en een onderdeel van het ecosysteem. Ze kunnen gekende met ongekende aanvalstechnieken combineren en daar kan een slachtoffer weinig tegen in brengen.”

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.