Hackers maken gebruik van social media om aanvallen uit te voeren

Nieuw rapport van F-Secure brengt in kaart hoe hackers online diensten van derden gebruiken om malware te verspreiden

Auteur: Sanne
Datum: 14/12/2015
Leestijd: 5 Minuten

Twitter is doelwit geweest van hackers, melden onder andere de Financial Times, Automatiseringsgids en NOS vandaag. Mogelijk zit een overheidsinstantie erachter en hadden ze het gemunt op telefoonnummers, e-mailadressen en IP-adressen van gebruikers. Op Nu.nl staat: “Vaak wordt bij hackaanvallen met overheidssteun met de beschuldigende vinger naar China of Noord-Korea gewezen. Ook de hackersgroepering Syrian Electronic Army, die de Syrische regering steunt, zou achter bepaalde aanvallen op onlinemedia zitten.”

F-Secure bracht eerder deze maand een rapport uit over hacking via Social Media

Een onderzoeker van F-Secure Labs heeft onlangs een nieuw rapport gepubliceerd waarin uiteen wordt gezet hoe hackers diensten van derden misbruiken voor het coördineren van hun malware-campagnes. Het rapport werd gepubliceerd door Virus Bulletin in het kader van zijn VB2015-beurs en geeft aan hoe de encryptie die door online diensten zoals Twitter wordt gebruikt cybercriminelen zoals de hackersgroep The Dukes in staat stelt om malware te verspreiden en gegevens te stelen.

Artturi Lehtiö, de onderzoeker van F-Secure die het rapport opstelde en zijn bevindingen presenteerde tijdens VB2015 zegt:

Kort gezegd maken aanvallers gebruik van bepaalde diensten van derden om onder de beveiligingsradar van bedrijven te opereren. Veel online diensten maken gebruik van encryptie om te voorkomen dat gegevens tijdens de overdracht worden onderschept. Het nadeel hiervan is dat beveiligingsmechanismen zoals firewalls niet in staat zijn om kwaadaardig verkeer te identificeren. Dit is een enorm probleem voor bedrijven. Mijn onderzoek laat zien hoe cybercriminelen zoals The Dukes misbruik van deze blinde vlek maken voor hun aanvallen.

The Dukes is een groep hackers die in opdracht van overheden werkt en al minimaal zeven jaar aanvallen uitvoert op overheidsinstellingen en gerelateerde organisaties. De groep vormde het onderwerp van een recente whitepaper van F-Secure Labs. De nieuwe onderzoekspublicatie van Lehtiö brengt in kaart hoe The Dukes aanvallen uitvoeren door diensten van derden in te zetten als ‘command and control’-infrastructuur, zoals beveiligingsanalisten dat noemen. Dit is een kort gezegd een platform voor het coördineren van aanvallen.

De Dukes stalen via Twitter en Microsoft OneDrive gegevens

Het rapport schetst in detail hoe The Dukes erin slaagden om Twitter te gebruiken om met geïnfecteerde machines te communiceren en deze opdracht te geven om aanvullende malware te downloaden. The Dukes waren daarnaast in staat om Microsoft OneDrive te gebruiken als hulpmiddel voor het wegsluizen van gegevens. Ze slaagden er zo in om gestolen gegevens op te halen zonder de aandacht op zich te vestigen.

Het gebruik van deze diensten als ‘command and control’-infrastructuur stelt aanvallers in staat om mee te liften op de toegang die netwerken aan betrouwbare internetplatforms verlenen, aldus Lehtiö. Aanvallers gebruiken deze verbindingen om te communiceren met apparaten die ze reeds hebben geïnfecteerd. Deze apparatuur wordt in dit geval dus niet gebruikt voor rechtstreekse aanvallen op dienstverleners of willekeurige gebruikers. Online diensten zoals social media bieden aanvallers zo een gebruiksvriendelijk en kostenefficiënt hulpmiddel om hun campagnes te coördineren en hun doelstellingen te realiseren.

Malware-campagnes die gebruikmaken van diensten van externe partijen zijn vaak moeilijk te detecteren voor bedrijven. De reden hiervoor is dat de kwaadaardige gegevens die tussen aanvallers en hun slachtoffers wordt uitgewisseld zijn versleuteld en vermengd met legitiem dataverkeer. Uit onderzoek blijkt bovendien dat veel bedrijven hun internetverkeer niet actief ontsleutelen om een onderscheid te maken tussen kwaadaardige en goedaardige gegevensstromen. Uit een ander onderzoek blijkt dat minder dan de helft van alle bedrijven met speciale veilige internetgateways hun uitgaande verkeer versleutelt, en dat minder dan 20 procent van alle organisaties met firewalls, indringerpreventiesystemen en unified threat management (UTM)-appliances hun inkomende of uitgaande SSL-verkeer ontsleutelt.*

Volgens senior researcher Jarno Niemelä van F-Secure kan het gebruik van beveiligingsoplossingen die het internetverkeer ontsleutelen echter riskant zijn. Bedrijven moeten zich bewust zijn van de potentiële problemen die deze aanpak met zich meebrengt.

Het ontsleutelen van netwerkverkeer op basis van ‘man in the middle’-technieken kan een even kostbare als complexe opgave zijn. In sommige gevallen weten aanvallers van deze aanpak te profiteren door zich toegang te verschaffen tot het versleutelde internetverkeer van hun doelwit. Zo worden de vertrouwelijke gegevens van hun slachtoffer dus blootgesteld in plaats van beschermd. Bedrijven die deze benadering hanteren, zouden een uniek beveiligingscertificaat moeten gebruiken dat alleen binnen hun organisatie mag worden verstrekt. Het gebruik van gedeelde certificaten vergroot namelijk de kans op een ‘man in the middle’-aanval aanzienlijk.

Niemelä voegt hieraan toe dat een betrouwbare oplossing voor endpoint bescherming dit soort aanvallen een halt kan toeroepen op het aanvankelijke punt van infectie. Deze oplossingen zijn niet afhankelijk van het kraken of omzeilen van de encryptie, zodat bedrijven zich op veilige en efficiënte wijze kunnen beschermen. Beide zakelijke beveiligingsoplossingen van F-Secure, Business Suite en Protection Service for Business, maken gebruik van bekroonde technologie voor endpoint bescherming voor het detecteren en voorkomen van malware-infecties.

*Bron: http://www.networkworld.com/article/3005646/network-security/how-to-deal-with-the-blind-spots-in-your-security-created-by-ssl-encrypted-traffic.html

Meer informatie:

Virus Bulletin

The Dukes

Pers en media:  Pascalle Versleeuwen, Marketing Manager, telefoonnummer 030-6020110.

F-Secure – Switch on freedom

F-Secure beschermt al meer dan 25 jaar tientallen miljoenen mensen in alle delen van de wereld tegen digitale bedreigingen. Onze bekroonde producten beschermen particulieren en bedrijven tegen alles van crimeware tot cyberaanvallen en zijn beschikbaar via meer dan 6.000 resellers en 200 providers in meer dan 40 landen. Onze missie is om mensen in staat te stellen om op veilige wijze een verbinding te maken met de wereld om hen heen. So join the movement and switch on freedom!

Het in 1988 opgerichte F-Secure is genoteerd aan de NASDAQ OMX Helsinki Ltd.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s