Globalisering van geavanceerde cyberaanvallen
FireEye, speler in het tegengaan van next-generation cyberaanvallen, heeft ‘The Advanced Cyber Attack Landscape’-rapport uitgebracht. Samen met de interactieve kaarten biedt het rapport een gedetailleerd inzicht in het wereldwijde karakter van malwarecommunicatieactiviteiten als gevolg van geavanceerde cyberaanvallen. Belangrijke conclusies uit het rapport zijn:
· 184 landen huisvesten communicatiehubs of Command & Control-servers (CnC), de meeste activiteit vindt plaats in Azië en Oost-Europa;
· technologiebedrijven behoren tot de organisaties die het vaakst worden aangevallen;
· de meerderheid (89 procent) van de Advanced Persistent Threat-aanvallen (APT) wordt in verband gebracht met tools die ontwikkeld en verspreid zijn door Chinese hackersgroepen.
“Het bedreigingslandschap heeft zich ontwikkeld. Cyberdreigingen zijn traditionele, signature-based beveiligingstechnologieën, zoals antivirussoftware, de baas. Deze technologieën worden inmiddels wereldwijd gebruikt, waardoor cybercriminelen detectie makkelijk weten te omzeilen en doordringen tot grote organisaties”, zegt David DeWalt, CEO van FireEye. “Dit onderzoek van FireEye toont de wereldwijde verspreiding aan van deze nieuwe-generatie geavanceerdere cyberaanvallen.”
CnC-servers worden tijdens een aanval intensief ingezet. Via callbacks onderhouden deze servers contact met een geïnfecteerde machine. Hierdoor kan de aanvaller malware downloaden en deze aanpassen, zodat hij detectie ontloopt, data kan onttrekken of een aanval binnen een organisatie kan uitbreiden.
Het rapport ‘The Advanced Cyber Attack Landscape’ put uit het blokkeren van meer dan twaalf miljoen callbacks op duizenden apparaten van eindgebruikers in 184 landen die door het FireEye-platform in 2012 zijn geregistreerd. Het FireEye-platform is geïmplementeerd achter firewalls, next-generation firewalls, Intrusion Prevention Systems (IPS), antivirus- (AV) en andere beveiligingsgateways. Het vormt de laatste verdedigingslinie tegen geavanceerde aanvallen die de traditionele signature-based beveiligingsinfrastructuur omzeilen.
Belangrijke bevindingen in het ‘The Advanced Cyber Attack Landscape’-rapport.
· Cyberaanvallen zijn een wereldwijde activiteit geworden – de afgelopen jaren werden callbacks naar 184 landen gestuurd. FireEye ontdekte dat CnC-servers gehost worden in 184 landen, een toename van 41 procent vergeleken met de bevindingen van FireEye in 2010, waarin sprake was van 130 landen.
· Azië en Oost-Europa zijn het epicentrum voor aanvallen – kijkend naar het gemiddelde aantal callbacks per land, nemen de Aziatische landen China, Zuid-Korea, India en Japan, en Hongkong 24 procent van de wereldwijde callbacks voor hun rekening. Niet ver daarachter, met 22 procent, zitten de Oost-Europese landen Rusland, Polen, Roemenië, Oekraïne, Kazachstan en Letland.
· Technologiebedrijven zijn vaak doelwit – technologiebedrijven hebben te maken met het hoogste percentage callback-activiteit die in verband wordt gebracht met de next-generation cyberaanvallen. Technologiebedrijven zijn het doelwit van diefstal van intellectueel eigendom, sabotage of aanpassingen in de broncode als basis voor andere criminele activiteiten.
· Het grootste deel van de APT callback-activiteiten wordt in verband gebracht met APT-tools uit China of van Chinese hackersgroepen – tijdens het in kaart brengen van het DNA van bekende APT-malwarefamilies ter bestrijding van callbacks, ontdekte FireEye dat het grootste deel van de APT callback-activiteiten – 89 procent – in verband staat met APT-tools die gemaakt zijn in China of die afkomstig zijn van Chinese hackersgroepen. Hun belangrijkste tool is Gh0st RAT.
Klik hier om de interactieve CnC callback-kaarten te bekijken. Klik hier om het volledige ‘The Advanced Cyber Attack Landscape’-rapport te lezen.
