De ICT-industrie staat bol van de afkortingen, hypes en buzzwords. APT’s lijken de culminatie daarvan, maar de realiteit van advanced persistent threats wordt helaas keer op keer bewezen. Dit securityfenomeen is an sich niet nieuw, maar verdient naar mijn mening een nadere verklaring.
De eerste vermelding van de afkorting APT ligt alweer meerdere jaren in het verleden. De allereerste keer zou in 2006 zijn geweest. Het heeft echter lange tijd geduurd voordat het bestaan van een APT serieus werd genomen. Meerdere incidenten met een lange voorbereidingstijd en een hoge graad van complexiteit hebben bij velen de ogen geopend. Toch is de definitie nog altijd niet zo klaar als een klontje.
Georganiseerd handelen
Anno nu kun je als securityprofessional op verjaardagen – met collega IT’ers – nog een stammenstrijd zien als het over APT’s gaat. De ene groep stelt dat hét kenmerk van een APT is dat er een goed georganiseerde groep, zoals een overheid, achter zit. De andere groep stelt dat hét kenmerk juist de uitgevoerde acties zijn; hoe geavanceerd en hardnekkig handelen de daders achter zo’n aanval? Laten we het fenomeen eens duiden, gestoeld op onze ervaring met APT’s.
Onze collega’s van Mandiant spreken van een APT-levenscyclus, die wij kunnen beamen. Als eerste stap is er de initiële compromitering, wat vaak gebeurt door succesvolle spearphishing. Een slachtoffer binnen een organisatie krijgt dan bijvoorbeeld een gerichte boodschap met een aanlokkelijk attachment. Overigens hoeft die organisatie niet eens het uiteindelijke doelwit te zijn.
Springplank en complexiteit
In het geval van de beruchte Stuxnet-worm is de initiële infectie veel eerder en elders gebeurd. Deze geavanceerde aanval op de Iraanse uraniumverrijkingscentrale in Natanz is indirect, via een vijftal andere bedrijven, gepleegd. Daarbij is de latere verspreiding van de worm gebeurd via USB-sticks. We hebben de eerste besmetting getraceerd naar een klein industrieel bedrijf in Iran met zestig tot tachtig werknemers. Een APT is dus niet alleen iets voor grote organisaties en een slachtoffer kan dus ook slechts als springplank dienen!
Als tweede stap in een APT-aanval volgt de initiële binnendringing, wat gebeurt door download en activering van kwaadaardige software. Deze wordt binnengehaald nadat een bug succesvol is misbruikt door het afgeleverde attachment. Denk aan een Word-document, een PDF-bestand of een namaak Flash-update, waarin software schuilt die dan de eigenlijk malware downloadt en installeert.
Een namaak Flash-update is voor de initiële binnendringing ingezet in de door ons ontdekte Dark Hotel-campagne. Daarbij hebben aanvallers zich eerst toegang verschaft tot de computersystemen van luxe hotels om daar vervolgens geduldig te wachten. Waarop? Het wachten was op het inchecken van een chief executive, het eigenlijke doelwit, om vervolgens zijn of haar laptop te hacken. Dit werd gedaan door de eerder genoemde namaak Flash-update aan te bieden zodra het slachtoffer met het WiFi-netwerk van het hotel verbond. De Dark Hotel-campagne is wederom een voorbeeld van een in eerste instantie niet direct betrokken organisatie die besmet kan worden om als aanvalskanaal te dienen.
Binnensluipen en stilletjes stelen
Als derde stap in de APT-levenscyclus is er de privilege escalation: de malware probeert zichzelf hogere rechten binnen de gecompromitteerde omgeving toe te kennen. De hogere rechten worden vaak gebruikt voor de zogeheten laterale beweging, waarbij de malware zich elders in het netwerk begeeft om daar meer macht te verkrijgen. Zo kan malware bijvoorbeeld op zoek gaan naar de domaincontroller waar de accounts van alle gebruikers staan. Dáár binnendringen geeft de aanvallers de sleutels van de hele IT-omgeving.
Tegenwoordig op een steeds geavanceerdere manier. Zo hebben we bij de APT Regin gezien dat voor het uploaden van de data een apart peer-to-peer netwerk was opgezet. Een netwerk bestaande uit gecompromitteerde systemen bij organisaties waar het eigenlijke slachtoffer normaal al dataverkeer mee uitwisselde. De datadiefstal bleef zo onder de radar.
De laatste stap is het afronden van de missie, waarbij het netwerk wordt verlaten en de APT-sporen zoveel mogelijk worden gewist. Ongeacht wie er achter zo’n aanval zit, de handelingen zijn complex en de middelen zijn vaak geavanceerd. Het detecteren van een APT is dan ook als het vinden van een speld in een hooiberg.
Drie detectiemanieren
Kaspersky Lab verricht dit zoekwerk op drie manieren. Ten eerste het doorspitten van de data in de KSN-cloud. Daarin zitten verdachte bestanden die zijn aangetroffen bij onze klanten. Vanzelfsprekend gaat het hier om geanonimiseerde data, waardoor klanten niet identificeerbaar zijn. Vorig jaar detecteerden we dankzij de KSN maar liefst 325.000 nieuwe malware-samples per dag, in 2013 waren dat er nog 315.000 en in 2012 ‘slechts’ 200.000. Enerzijds hebben we slimme bots die deze enorme datahoeveelheid analyseren. Anderzijds hebben we onze experts, dataminers die in deze grote hoeveelheden data de APT’s opsporen.
De tweede manier waarop we APT’s opsporen is als er een incident bij een klant is geweest. Ook dan is het opsporen niet eenvoudig, want de daders zijn zeer bekwaam in het wissen van hun sporen. Zo hebben we in het geval van Duqu 2.0 ontdekt dat die puur en alleen in het computergeheugen leefde. Zodra een besmette computer uit werd geschakeld, was de malware dus verdwenen. APT-aanvallers hebben sluwe manieren ontwikkeld om vervolgens opnieuw binnen te dringen en van voren af aan te beginnen. Bijvoorbeeld door zich schuil te houden in verborgen partities op pc’s of in de firmware van harde schijven.
Leren en openbaren
Tenslotte hebben we sinds kort een gloednieuwe derde manier om APT’s te vinden. Namelijk toen we zelf doelwit bleken te zijn, van Duqu 2.0. Het voordeel aan dit incident is dat we heel ver konden gaan in onze analyse. Het was immers onze eigen omgeving dus we konden de onderste steen bovenhalen. Daar hebben we heel veel van geleerd. En die kennis hebben we openbaar gemaakt, om niet alleen onszelf maar juist ook anderen te beschermen tegen de steeds geavanceerdere, hardnekkige dreiging van APT’s in onze wereld.
Jornt van der Wiel, Security Researcher bij het Global Research and Analysis Team (GReAT) van Kaspersky Lab.
