Kaspersky brengt cyberspionageplatform van grote overheid aan het licht

14-03-2015 | door: Redactie

Kaspersky brengt cyberspionageplatform van grote overheid aan het licht

Door naties gesponsorde cyberspionage-aanvallen worden steeds geavanceerder. Ze richten zich met behulp van complexe, modulaire hulpmiddelen op zorgvuldig gedefinieerde gebruikers en weten daarbij prima onder de radar te blijven van steeds effectievere detectiesystemen, ontdekten deskundigen van Kaspersky Lab.

Deze nieuwe trend werd bevestigd tijdens een gedetailleerde analyse van het EquationDrug cyberspionageplatform. Specialisten van Kaspersky Lab kwamen erachter dat de meest geavanceerde dreigingsactoren zich nu richten op het vergroten van het aantal componenten in hun kwaadaardige platform. Dit komt naar aanleiding van het groeiende succes dat de industrie boekt met het blootleggen van advanced persistent threat (APT) groepen. Hiermee willen ze hun zichtbaarheid verminderen en beter onder de radar blijven.

 

De nieuwste platforms bevatten tegenwoordig veel plugin-modules die hen in staat stellen om een breed scala van verschillende functies te selecteren en uit te voeren, afhankelijk van hun beoogde slachtoffer en de informatie waarover zij beschikken.Kaspersky Lab schat dat EquationDrug 116 verschillende plugins bevat.

"Door naties gesponsorde aanvallers proberen meer stabiele, onzichtbare, betrouwbare en universele cyberspionagegereedschappen te maken. Ze richten zich op het creëren van raamwerken voor het verpakken van dergelijke code in iets dat kan worden aangepast op live systemen en die een betrouwbare manier bieden om alle componenten en data in versleutelde vorm op te slaan, ontoegankelijk voor reguliere gebruikers", legt Costin Raiu, directeur van het Global Research and Analysis Team van Kaspersky Lab uit. "Verfijning van het raamwerk maakt dit type actor anders dan traditionele cybercriminelen, die er de voorkeur aan geven om zich te concentreren op payloads en malwaremogelijkheden die zijn ontworpen voor directe financiële winst."

Andere manieren waarop door naties gesponsorde aanvallers hun tactieken differentiëren ten opzichte van traditionele cybercriminelen zijn onder andere:

Schaal: Traditionele cybercriminelen verspreiden massa-mails met kwaadaardige bijlagen of infecteren websites op grote schaal, terwijl natie-gesponsorde actoren de voorkeur geven aan zeer gerichte, chirurgische aanvallen waarbij ze slechts een handvol geselecteerde gebruikers infecteren.

Individuele benadering: Waar traditionele cybercriminelen meestal openbaar beschikbare broncode hergebruiken, zoals die van de beruchte Zeus of Carberb trojans, bouwen natie-gesponsorde actoren unieke, op maat gemaakte malware. Daarbij implementeren ze zelfs beperkingen die decryptie en uitvoering buiten de doelcomputer voorkomen.

Extraheren van waardevolle informatie: Cybercriminelen proberen over het algemeen zoveel mogelijk gebruikers te infecteren. Het ontbreekt hen echter aan de tijd en opslagruimte om handmatig alle geïnfecteerde machines te controleren en te analyseren wie de eigenaar ervan is, welke gegevens erop staan opgeslagen en welke software ze gebruiken - om vervolgens alle potentieel interessante data over te zetten en op te slaan.

Het gevolg is dat ze alles-in-één-stelende malware coderen die enkel de meest waardevolle gegevens van de computers van de slachtoffers extraheren, zoals wachtwoorden en creditcardnummers. Hierdoor kunnen ze snel gesignaleerd worden door op de computers geïnstalleerde beveiligingssoftware.

Aanvallers die gesponsord worden door naties hebben daarentegen de middelen om zoveel gegevens op te slaan als ze willen. Om geen aandacht te trekken en onzichtbaar te blijven voor beveiligingssoftware proberen ze infectie van willekeurige gebruikers te voorkomen. In plaats daarvan vertrouwen ze op een generieke systeembeheertool op afstand, waarmee ze alle informatie kunnen kopiëren die ze nodig kunnen hebben, ongeacht de hoeveelheden. Dit kan echter ook tegen hen werken, omdat het verplaatsen van een grote hoeveelheid data de netwerkverbinding kan vertragen en zo argwaan kan wekken.

"Het lijkt misschien ongebruikelijk dat een cyberspionageplatform zo krachtig als EquationDrug in zijn malware core standaard niet alle diefstalcapaciteit biedt. De reden hiervoor is dat ze liever een aanval op maat creëren voor elk van hun slachtoffers. Alleen als ze ervoor hebben gekozen om iemand actief te volgen en de beveiligingsproducten op de betreffende machines onschadelijk zijn gemaakt, ontvangt het slachtoffer een plug-in voor het live volgen van diens gesprekken of andere specifieke functies met betrekking tot zijn activiteiten. Wij geloven dat modulariteit en maatwerk in de toekomst unieke handelsmerken zullen worden van door naties gesponsorde aanvallers", concludeert Costin Raiu.

EquationDrug is het belangrijkste spionageplatform dat is ontwikkeld door de Equation Group. Het is al ruim een decennium in gebruik, hoewel het nu grotendeels vervangen is door het nog geavanceerdere GrayFish-platform. De tactische trends, zoals bevestigd tijdens de analyse van EquationDrug, werden voor het eerst waargenomen door Kaspersky Lab tijdens onderzoek naar de cyberspionagecampagnes van onder andere Careto en Regin.

Producten van Kaspersky Lab ontdekten een aantal pogingen om gebruikers aan te vallen via exploits die door de Equation Group worden gebruikt in hun malware. Veel van deze aanvallen mislukten vanwege de Automatic Exploit Prevention-technologie, die het exploiteren van onbekende kwetsbaarheden op generieke wijze detecteert en blokkeert. De vermoedelijk in juli 2008 gecompileerde Fanny-worm werd voor het eerst door de automatische systemen van Kaspersky Lab ontdekt en op de zwarte lijst gezet in december 2008.

Lees het nieuwste onderzoek naar het EquationDrug-platform op Securelist.com.

Terug naar nieuws overzicht
Security