Jaren geleden bestond het typische hackscenario uit een eenzame aanvaller en misschien een paar vrienden die ‘s avonds laat aan Mountain Dew werkten, op zoek naar IP-adressen die naar het publiek waren gericht. Wanneer ze er een vonden, maakten ze een lijst van de public-facing services (Web server, SQL server enzovoort), braken in met behulp van een veelheid aan kwetsbaarheden, en verkenden vervolgens het gecompromitteerde bedrijf naar hartelust. Vaak was hun bedoeling verkennend. Als ze iets illegaals deden, was dat meestal een spontane misdaad uit opportunisme.

Mijn, wat zijn de tijden veranderd.

Wanneer je een typisch hackscenario beschrijft, moet je tegenwoordig ruim voor de hack of zelfs de hacker beginnen, met de organisatie achter de aanval. Vandaag de dag is hacken allemaal misdaad, de hele tijd, compleet met biedmarkten voor malware, misdaadsyndicaten, botnets te huur, staatsactoren, en cyberoorlog die op hol slaat.

Hier zijn de negen grootste bedreigingen waarmee de IT-beveiligingsprofessionals van vandaag worden geconfronteerd.

Dreiging nr. 1: Cybercriminaliteitssyndicaten

Hoewel het eenzame criminele meesterbrein nog steeds bestaat, zijn de meeste kwaadaardige hackingaanvallen tegenwoordig het resultaat van georganiseerde groepen, waarvan vele professioneel zijn. Traditionele georganiseerde misdaadgroepen die zich bezighielden met drugs, gokken, vervolging en afpersing hebben hun hoed in de online geldgrijp ring gegooid, maar de concurrentie is hevig, niet geleid door maffioso, maar door een aantal zeer grote groepen professionele criminelen die zich specifiek richten op cybercriminaliteit.

Veel van de meest succesvolle georganiseerde cybercriminaliteitssyndicaten zijn bedrijven die leiding geven aan grote gelieerde conglomeraatgroepen, veel in de trant van legale gedistribueerde marketinghiërarchieën. In feite heeft de cybercrimineel van vandaag waarschijnlijk meer gemeen met een Avon- of Mary Kay-vertegenwoordiger dan een van beiden wil toegeven.

Kleine groepen, met een paar leden, hacken nog steeds, maar meer en meer moeten IT-beveiligingsprofessionals het opnemen tegen grote bedrijven die zich toeleggen op schurkengedrag. Denk aan fulltime werknemers, HR-afdelingen, projectmanagementteams en teamleiders. En het is allemaal crimineel, geen grappige berichten meer die op het scherm worden gedrukt of andere tiener capriolen. De meeste opereren in het openbaar, en sommige – zoals het Russian Business Network – hebben zelfs hun eigen Wikipedia vermeldingen. Dat doet je toch terugverlangen naar vroeger, niet? Specialisatie en werkverdeling vormen de kern van deze organisaties. Een enkel meesterbrein, of een binnenste cirkel, zal het collectief leiden. Sergeanten en subdivisies zullen zich specialiseren in verschillende gebieden, met een arm gewijd aan het creëren van malware, een ander gewijd aan marketing, een ander die het opzetten en onderhouden van het distributiekanaal, en weer een ander belast met het creëren van botnets en het verhuren ervan aan andere boosdoeners (zie hieronder).

Het is geen wonder waarom populaire IT-beveiligingspraktijken gewoon niet werken tegen de malware van vandaag, gezien het feit dat cybercriminaliteit zich heeft ontwikkeld tot een multilevel, service-georiënteerde industrie met het schaamteloze doel om bedrijven en mensen te beroven van hun geld en intellectuele eigendom.

Dreiging nr. 2: Kleine oplichters – en de geldezels en witwassers die hen ondersteunen

Niet alle cybercriminele organisaties zijn syndicaten of corporaties. Sommige zijn gewoon ondernemend van aard, kleine bedrijfjes die maar op één ding uit zijn: geld.

Deze kwaadwillende mam-and-pop operaties kunnen identiteiten en wachtwoorden stelen, of ze kunnen een snode omleiding veroorzaken om het te krijgen. Op het einde, ze willen geld. Ze starten frauduleuze creditcard- of banktransacties en zetten hun gestolen winsten om in lokale valuta met behulp van geldezels, elektronische gelddistributie, e-bankieren, of een andere vorm van witwassen.

Het is niet moeilijk om witwassers te vinden. Er zijn tientallen tot honderden entiteiten die met elkaar concurreren om een groot percentage van de illegaal verkregen buit te pakken te krijgen. In feite zou je verbaasd zijn over de concurrentie en de openbaarheid van alle andere mensen die smeken om zaken te doen met internetcriminelen. Ze adverteren met “geen vragen,” “kogelvrije” hosting in landen ver van het bereik van wettelijke dagvaardingen, en ze bieden openbare prikborden, softwarespecials, 24/7 telefonische ondersteuning, biedforums, tevreden klantreferenties, anti-malware vermijdingsvaardigheden, en al het onderhoud dat anderen helpt om betere online criminelen te zijn. Een flink aantal van deze groepen verdient tientallen miljoenen dollars per jaar.

Veel van deze groepen en de personen erachter zijn de afgelopen paar jaar geïdentificeerd (en gearresteerd). Hun sociale media-profielen tonen gelukkige mensen met grote huizen, dure auto’s, en tevreden gezinnen die buitenlandse vakanties nemen. Als ze ook maar een klein beetje schuldig zijn aan het stelen van geld van anderen, is dat niet te zien.

Stel je de buurtbarbecues voor waar ze buren en vrienden vertellen dat ze een “internetmarketingbedrijf” runnen — al die tijd social engineering hun weg naar miljoenen tot ontsteltenis van IT-beveiligingsprofessionals die zo ongeveer alles hebben gedaan wat je kunt om gebruikers tegen zichzelf te beschermen.

Dreiging nr. 3: Hacktivisten

Waar het opscheppen over exploit vroeger niet ongewoon was, probeert de hedendaagse cybercrimineel onder de radar te blijven – met uitzondering van de groeiende legioenen hacktivisten.

IT-beveiligingsprofessionals hebben te maken met een toenemend aantal losse confederaties van individuen die zich wijden aan politiek activisme, zoals de beruchte Anonymous-groep. Politiek gemotiveerde hackers bestaan al sinds hacken is ontstaan. De grote verandering is dat het steeds meer in de openbaarheid gebeurt, en dat de samenleving het erkent als een geaccepteerde vorm van politiek activisme.

Politieke hackinggroepen communiceren vaak, al dan niet anoniem, in open fora waarin ze hun doelwitten en hackingtools van tevoren aankondigen. Ze verzamelen meer leden, brengen hun grieven over aan de media om publieke steun te verwerven, en doen verbaasd als ze worden gearresteerd voor hun illegale daden. Hun doel is om het slachtoffer zo veel mogelijk in verlegenheid te brengen en negatieve media-aandacht te geven, of dat nu het hacken van klantgegevens, het plegen van DDoS-aanvallen (Distributed Denial of Service) of het simpelweg veroorzaken van extra problemen voor het slachtofferbedrijf inhoudt.

Politiek hacktivisme is meestal bedoeld om het slachtoffer geldelijk leed toe te brengen in een poging het gedrag van het slachtoffer te veranderen. Individuen kunnen nevenschade zijn in deze strijd, en ongeacht of men gelooft in de politieke zaak van de hacktivist, de intentie en methodologie blijven crimineel.

Dreiging nr. 4: diefstal van intellectueel eigendom en bedrijfsspionage

De meeste IT-beveiligingsprofessionals hebben te maken met de grote groep kwaadwillende hackers die intellectueel eigendom van bedrijven stelen of regelrechte bedrijfsspionage plegen. Hun methode is in te breken in de IT-middelen van een bedrijf, alle wachtwoorden te dumpen en na verloop van tijd gigabytes aan vertrouwelijke informatie te stelen: octrooien, nieuwe productideeën, militaire geheimen, financiële informatie, bedrijfsplannen enzovoort. Ze geven waardevolle informatie door aan hun klanten voor financieel gewin, en ze blijven zo lang mogelijk verborgen in het netwerk van het gecompromitteerde bedrijf.

Om hun beloningen te oogsten, luisteren ze belangrijke e-mails af, plunderen ze databases en krijgen ze toegang tot zoveel informatie dat velen zijn begonnen hun eigen kwaadaardige zoekmachines en query-tools te ontwikkelen om het voer van het interessantere intellectuele eigendom te scheiden.

Dit soort aanvallers staat bekend als een advanced persistent threat (APT) of een vastberaden menselijke tegenstander (DHA). Er zijn maar weinig grote bedrijven die niet met succes door deze campagnes zijn gecompromitteerd.

Dreiging nr. 5: Malware-huurlingen

Hoe de intentie of de groep achter de cybermisdaad ook is, iemand moet de malware maken. In het verleden maakte een enkele programmeur malware voor eigen gebruik, of misschien om te verkopen. Tegenwoordig zijn er teams en bedrijven die zich uitsluitend bezighouden met het schrijven van malware om specifieke beveiligingsmaatregelen te omzeilen, specifieke klanten aan te vallen en specifieke doelstellingen te verwezenlijken. Ze worden op de open markt verkocht op biedforums.

Vaak is de malware in meerdere fasen gemaakt en gecomponeerd. Een kleiner stub-programma wordt belast met de initiële exploitatie van de computer van het slachtoffer, en zodra het veilig is geplaatst om ervoor te zorgen dat het blijft leven na een reboot, neemt het contact op met een “moederschip” webserver voor verdere instructies. Vaak stuurt het initiële stubprogramma DNS-query’s uit op zoek naar het moederschip, zelf vaak een gecompromitteerde computer die tijdelijk als moederschip fungeert. Deze DNS-query’s worden verstuurd naar DNS-servers die net zo goed onschuldig geïnfecteerde slachtoffercomputers kunnen zijn. De DNS-servers verplaatsen zich van computer naar computer, net zoals de webservers van het moederschip dat doen.

Eenmaal benaderd, verwijzen de DNS- en moederschipserver de initiërende stub-client vaak door naar andere DNS- en moederschipservers. Op deze manier wordt de stub-client keer op keer (vaak meer dan een dozijn keer) naar nieuw geëxploiteerde computers geleid, totdat uiteindelijk het stub-programma zijn definitieve instructies ontvangt en het meer permanente kwaadaardige programma wordt geïnstalleerd. Deze opzet maakt het voor IT-beveiligingsprofessionals erg moeilijk om zich tegen hun waar te verdedigen.

Dreiging nr. 6: Botnets als een service

Botnets zijn niet alleen meer voor hun makers. Na hoogstwaarschijnlijk het malwareprogramma te hebben gekocht dat de bot creëert, zullen de eigenaars van vandaag het botnet voor zichzelf gebruiken of het aan anderen verhuren per uur of per andere maatstaf.

De methodologie is bekend. Elke versie van het malwareprogramma probeert tot tienduizenden computers te exploiteren in een poging om een enkel botnet te creëren dat zal werken op het bod van de maker. Elke bot in het botnet maakt uiteindelijk verbinding met zijn command-and-control (C&C)-server(s) om de laatste instructies te krijgen. Die instructies omvatten vaak het droppen van een ransomware-programma. Er zijn botnets gevonden met honderdduizenden geïnfecteerde computers.

Nu er zoveel actieve botnets zijn (tientallen miljoenen geïnfecteerde computers per dag), is het huren van botnets vrij goedkoop, wat des te meer problemen betekent voor IT-beveiligingsprofessionals.

Malwarebestrijders zullen vaak proberen de C&C-servers uit te schakelen of over te nemen, zodat ze de verbindende bots kunnen instrueren hun hostcomputers te desinfecteren en te sterven.

bedreiging nr. 7: alles-in-een-malware

Geavanceerde malwareprogramma’s bieden vaak alles-in-een, soep-tot-nuts-functionaliteit. Ze infecteren niet alleen de eindgebruiker, maar breken ook in op websites en passen deze aan om meer slachtoffers te infecteren. Deze alles-in-een malwareprogramma’s worden vaak geleverd met beheerconsoles, zodat hun eigenaars en makers kunnen bijhouden wat het botnet doet, wie ze infecteren, en welke het meest succesvol zijn.

De meeste kwaadaardige programma’s zijn Trojaanse paarden. Computervirussen en wormen zijn al lang niet meer de meest populaire vormen van malware. In de meeste gevallen wordt de eindgebruiker misleid tot het uitvoeren van een Trojaans paard dat wordt aangeprezen als een noodzakelijke antivirusscan, een programma voor schijfdefragmentatie of een ander schijnbaar essentieel of onschuldig hulpprogramma. Het normale afweersysteem van de gebruiker wordt om de tuin geleid omdat de webpagina die het schadelijke uitvoerbare programma aanbiedt, meestal een vertrouwde site is die de gebruiker al vele malen heeft bezocht. De slechteriken hebben gewoon de site gecompromitteerd, met behulp van een groot aantal trucs, en een paar regels JavaScript ingevoegd die de browsers van de gebruiker omleiden naar het Trojaanse paard.

Dreiging nr. 8: Het steeds meer gecompromitteerde web

Op het meest basale niveau is een website gewoon een computer, net als een gewoon werkstation voor eindgebruikers. Webmasters zijn op hun beurt eindgebruikers, net als ieder ander. Het is dan ook niet verwonderlijk dat het legitieme web bezaaid is met kwaadaardige JavaScript redirection links.

Het is niet helemaal een kwestie van uitbuiting van de computers van webmasters dat leidt tot de toename van het aantal web server compromises. Vaker vinden aanvallers een zwakke plek of kwetsbaarheid in een website die hen in staat stelt de authenticatie van de beheerder te omzeilen en kwaadaardige scripts te schrijven.

Gemeenschappelijke kwetsbaarheden van websites zijn slechte wachtwoorden, cross-site scripting kwetsbaarheden, SQL-injectie, kwetsbare software en onveilige machtigingen. De Open Web Application Security Project Top 10-lijst is de autoriteit op het gebied van hoe de meeste webservers worden gecompromitteerd.

Vaak is het niet de webserver of de toepassingssoftware, maar een link of advertentie die wordt gehackt. Banneradvertenties, die vaak worden geplaatst en gedraaid door algemene reclamebureaus, raken vaak geïnfecteerd. De malwarejongens kopen soms advertentieruimte op populaire webservers.

Omdat veel van de boosdoeners zich voordoen als zakenlieden van legitieme bedrijven, compleet met hoofdkantoor, visitekaartjes en onkostenrekeningen, is het niet altijd zo eenvoudig om de legitieme advertentiebronnen te scheiden van de slechteriken, die vaak beginnen met het adverteren van een legitiem product om vervolgens de link in de advertentie te verwisselen voor een malafide product nadat de advertentiecampagne is opgestart. Bij een van de interessantere gevallen hebben hackers een cartoonsyndicaat in gevaar gebracht, zodat elke krant die de aangetaste cartoons opnieuw publiceerde uiteindelijk malware plaatste. Je kunt een cartoon niet eens meer vertrouwen.

Een ander probleem met gehackte websites is dat de computers die één site hosten vaak meerdere sites hosten, soms wel honderden of duizenden. Eén gehackte website kan al snel tot duizenden andere leiden.

Hoe de site ook gehackt is, de onschuldige gebruiker, die deze specifieke website misschien al jaren zonder problemen bezoekt, wordt op een dag gevraagd een onverwacht programma te installeren. Hoewel ze verrast zijn, is het feit dat de prompt afkomstig is van een website die ze kennen en vertrouwen, genoeg om ze het programma te laten uitvoeren. Daarna is het game over. De computer (of het mobiele apparaat) van de eindgebruiker is het zoveelste radertje in iemands grote botnet.

Dreiging nr. 9: Cyberoorlogsvoering

De cyberoorlogsvoeringprogramma’s van staten vormen een klasse apart en zijn niet iets waar de meeste IT-beveiligingsprofessionals in hun dagelijkse routines mee te maken krijgen. Deze heimelijke operaties creëren complexe, professionele cyberoorlogsprogramma’s met de bedoeling tegenstanders te controleren of de functionaliteit van een tegenstander uit te schakelen, maar zoals Stuxnet en Duqu laten zien, kunnen de gevolgen van deze methoden gevolgen hebben voor meer dan alleen de beoogde doelen. Er zijn nu zelfs natiestaten, zoals Noord-Korea, die een Fortune 500-bedrijf platleggen en uitbuiten omdat een bepaalde film hun niet beviel.

Crime and no punishment

Sommige slachtoffers komen nooit meer bij van uitbuiting. Hun kredietkaart is voor altijd getekend door een frauduleuze transactie van een hacker, de malware gebruikt de adresboeklijst van het slachtoffer om zichzelf door te sturen naar vrienden en familieleden, slachtoffers van diefstal van intellectueel eigendom spenderen tientallen miljoenen dollars aan reparatie en preventie.

Het ergste is dat bijna niemand van degenen die de bovengenoemde kwaadaardige aanvallen gebruiken, met succes wordt vervolgd. De beroepsmisdadigers op het internet leven vrijuit omdat het internet niet goed is in het produceren van bewijsmateriaal dat voor de rechter kan worden gebracht. Zelfs als dat wel zou kunnen, dan nog leven de verdachten buiten de rechtspraak van het slachtoffer. De meeste hackers zijn standaard anoniem, en sporen worden in milliseconden verloren en bedekt. Op dit moment leven we in het “wilde westen” van het internet. Naarmate het volwassener wordt, zullen de criminele veilige havens opdrogen. Tot die tijd hebben IT-beveiligingsprofessionals er hun handen vol aan.