Zijn uw klanten beducht op staatshackers?
Statelijke actoren vormen een steeds grotere cyberdreiging, ook voor uw klanten. Maar hebben uw klanten deze dreiging wel op het netvlies staan? En hoe houden zij staatshackers buiten de deur?
De Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt er in zijn Cybersecuritybeeld Nederland al enkele jaren op rij voor: de grootste cyberdreiging gaat uit van statelijke actoren, en die dreiging blijft groeien. “Een toenemend aantal statelijke actoren is actief op het gebied van politieke, economische en militaire spionage”, zo staat in de jongste editie van het CSBN.
Dit beeld komt ook naar voren in Microsoft’s Digital Defense Report uit 2020. “De afgelopen twee jaar hebben we bij onze klanten 13.000 keer melding gedaan van een aanval door een natiestaat.” De dreiging kwam volgens Microsoft van groeperingen uit met name China, Rusland, Noord-Korea en Iran. Kenmerkend voor deze statelijke actoren is dat ze goed opgeleid zijn, beschikken over ruime financiële middelen en heel veel geduld hebben. Ze nemen de tijd om zo onopgemerkt mogelijk te werk te gaan. “Dat maakt het lastig om afwijkende activiteiten te identificeren.”
Ver-van-mijn-bedshow?
Voor veel bedrijven is de dreiging van statelijke actoren een ver-van-mijn-bedshow. Want daar hebben toch alleen overheden en vitale aanbieders mee te maken? Dat is helaas een onterechte aanname, zo blijkt ook uit het Digital Defense Report. 90 procent van de 13.000 meldingen van aanvallen door statelijke actoren was gericht aan organisaties die niet zijn betrokken bij de vitale infrastructuur van een land.
Volgens Microsoft zijn bijvoorbeeld ook ngo’s, IT-bedrijven en onderwijsinstellingen het slachtoffer van statelijke actoren. Zo zouden Chinese hackers in maart 2020 de aanval hebben geopend op een Amerikaanse universiteit die betrokken was bij onderzoek naar een coronavaccin. Ook de recente hack op FireEye was volgens de CEO van het getroffen securitybedrijf het werk van ‘een land met eersteklas aanvalsmogelijkheden’.
Schadelijk voor alle organisaties
Microsoft waarschuwt bovendien dat ‘gewone cybercriminelen’ uiteindelijk de tactieken, technieken en procedures van statelijke actoren ‘kopiëren’. Dit wordt ook wel het ‘meltwater-effect’ genoemd. Ook kan er sprake zijn van ‘collateral damage’. Zo maakte de NotPetya-aanval die enkele jaren geleden was gericht op de Oekraïne wereldwijd slachtoffers.
De activiteiten van statelijke actoren zijn daardoor mogelijk schadelijk voor alle organisaties, ongeacht de omvang of de branche waarin ze actief zijn. In een recente blog roept Microsoft de gehele securitygemeenschap dan ook op om de methodes van statelijke actoren goed in de gaten te houden.
Geavanceerde werkwijzen
Om meer inzicht te geven in de geavanceerde werkwijzen van statelijke actoren, zet Microsoft in de blog uiteen hoe hackers het voor elkaar kregen om via kwetsbare versies van de Orion-software van SolarWinds duizenden overheidsorganisaties en grote bedrijven te bespioneren. Onder andere FireEye was slachtoffer van deze praktijken, maar ook verschillende Amerikaanse ministeries.
De hackers slaagden er na een inbraak bij SolarWinds in om malware te verstoppen in een software-update voor SolarWinds Orion. Deze monitoring- en beheersoftware is met name in gebruik bij grote organisaties. Ongeveer 18.000 klanten zouden de malware via de update hebben binnengehaald. Via deze malware kregen de aanvallers toegang tot het netwerk van de getroffen organisaties. Ze deden er daarbij alles aan om onopgemerkt te blijven. Zo bleef de malware de eerste twee weken inactief, en opende pas daarna de verbinding met de command-and-control-server. Zonder dat de aanvallers daarbij sporen achterlieten.
Eenmaal binnen maakten de indringers gebruik van lokale beheerdersrechten om vervolgens toegang te krijgen tot het wereldwijde beheerdersaccount van de organisatie, of tot het vertrouwde SAML-certificaat. Hiermee konden de aanvallers SAML-tokens namaken en zich voordoen als vertrouwde gebruikers, ook als gebruikers met uitgebreide rechten. Omdat de tokens worden vertrouwd door de systemen en de cloudomgevingen waar de getroffen organisatie gebruik van maakt, hadden de aanvallers ook toegang tot deze systemen en omgevingen zonder dat dit werd opgemerkt. En konden ze bijvoorbeeld documenten stelen. Of ervoor zorgen dat ze via een API een service konden aanroepen.
Nieuwe verkeersregels
Gezien de verfijndheid van de aanvallen is het volgens Microsoft belangrijk dat we nieuwe verkeersregels voor cyberspace met elkaar afspreken. Alle organisaties, of het nu gaat om overheidsinstellingen of bedrijven, moeten investeren in mensen en technologie om aanvallen te helpen stoppen.
De focus moet daarbij in eerste instantie liggen op de basis. Denk dan aan het regelmatig uitrollen van beveiligingsupdates en het goed doordacht back-uppen van gegevens. En aan multifactorauthenticatie (MFA) waarmee de kans op een succesvolle aanval aanzienlijk is te verkleinen. Hebben uw klanten deze basis al op orde?