Wat is een APT-aanval?

In 2014 werd Belgacom het slachtoffer van een Advanced Persistent Threat, waarbij de Britse inlichtingendienst een hele tijd ongestoord informatie kon afstappen. Beveiligingsexpert Jarno Niemelä van F-Secure legt uit hoe zo’n cyberspion ineensteekt.

Spionage speelt zich al lang niet meer voor zoals in de James Bond-films. Tegenwoordig zijn de deftig geklede gentlemen vervangen door nerdy cybercriminelen en zijn afluisterpraktijken verplaatst naar het elektronische toneel. Niet meer de Beretta .25, maar APT’s zijn de wapens bij uitstek van de moderne spion. We kwamen meer te weten op de Cyber Security Conference van Heliview: dé jaarlijkse hoogmis voor cyberbeveiliging in België waar enkele vooraanstaande sprekers inzicht bieden in de wondere wereld der virtuele bodyguards. Zo ook Jarno Niemelä, beveiligingsexpert van het Finse F-Secure. Hij kwam er een live demonstratie geven van een APT-hack. Nadien spraken we hem nog even bij een kop koffie, waar hij ons in mensentaal uitlegde hoe zo’n spionagemalware juist ineensteekt.

AP-wattes?

Een APT is een doelgerichte cyberaanval waarbij de agressor zich voor een lange tijd onopgemerkt in een netwerk nestelt en informatie steelt. “Meestal gaat het om landen die elders in een federale instelling willen gegevens kapen”, aldus Niemelä. “Zo’n doelbewust spionagepakketje zit dus een heleboel complexer ineen dan een klassiek virus. Een zondagse cybercrimineel wil zoveel mogelijk verschillende slachtoffers raken, terwijl een APT zich specifiek richt op landen door bijvoorbeeld federale instellingen of politieke organisaties te besmetten. De zender van het malafide pakketje moet veel meer geduld uitoefenen en zal alle mogelijke middelen uitvoeren om niet gedetecteerd te worden.” Het vergt dus een ontzettend sterke cyberbeveiliging om de APT-aanval te traceren en alle sporen nadien uit te wissen.

Een zondagse cybercrimineel wil zoveel mogelijk verschillende slachtoffers raken, terwijl een APT zich specifiek richt op een federale instelling.

De naam ‘Advanced Persistent Threat’ duidt op de drie belangrijkste kenmerken van zo’n spionagevirus. Ten eerste zijn dergelijke aanvallen erg geavanceerd en moet de agressor dus over de middelen beschikken om zo’n grootschalig offensief uit te voeren. Het tweede lid ‘persistent’ duidt op het volhardende karakter van de cybercriminelen: ze richten zich specifiek tot één doelwit en gebruiken alle mogelijke methodes om ongemerkt in hun systeem in te breken. Ten slotte gaat het om een ‘threat’: de aanvallers kunnen belangrijke gegevens kapen of in extremis zelfs sabotage uitvoeren of het slachtoffer chanteren.

Nieuw kanaal, zelfde principe

De term werd voor het eerst geïntroduceerd door de Amerikaanse luchtmacht in 2006. De eerste grootschalige bekende APT-aanval werd gedoopt als GhostNet en werd uitgevoerd door de Chinese inlichtingendienst in 103 verschillende landen. “Maar feitelijk is spionage een fenomeen van alle tijden waarbij de essentie al meer dan duizend jaar dezelfde is: ze willen informatie stelen of een organisatie saboteren”, verduidelijkt Niemelä. “Naarmate de technologie evolueert, kunnen spionnen hun methodes aanscherpen. Zo zijn de James Bonds stilaan een reliek uit vervlogen tijden en verplaatsen geheime inlichtingendiensten hun aftapmachines steeds meer naar elektronische kanalen. Zo nemen landen vaak cybercriminelen in dienst die ze opvisten uit malafide kanalen en schakelen ze in voor de spionage-operaties.”

De James Bonds zijn stilaan een reliek uit vervlogen tijden en geheime inlichtingendiensten verplaatsen hun aftapmachines steeds meer naar elektronische kanalen.

Hoe moeilijk het is om een geïnfecteerd pakketje te droppen in een organisatie, hangt af van het doelwit. Tijdens de live hack slaagde de Finse beveiligingsexpert er in enkele minuutjes tijd in om een demo-systeem te kraken, maar sterk beveiligde systemen zijn veel moeilijker te doorboren. “Als de desbetreffende organisatie niet beschikt over een goede netwerkbeveiliging, dan is het relatief eenvoudig om in te breken. De aanvaller stuurt meestal een document of ander bestand via e-mail. Vanaf er ook maar één werknemer valt voor de list, is de organisatie een vogel voor de kat. De agressor bemachtigt de administratorrechten en verspreidt nadien zijn tentakels uit naar de bestandenserver. Van daaruit kan de cyberdelinquent andere computers infecteren. Gelukkig kan je wel actie ondernemen om het klusje voor een aanvaller een pak lastiger te maken.”

Belgacom-virus

In 2014 werd Belgacom het slachtoffer van zo’n doelgerichte aanval. De beruchte inbraak bij telecomoperator Belgacom is uitgevoerd met het Regin-trojan door de Amerikaanse NSA en zijn Britse evenknie GCHQ. De hack bij Belgacom kwam aan het licht door de lekken van Edward Snowden, en volgens Niemelä is de kans niet onbestaand dat er nog steeds wortels van het virus bij de federale instelling achtergebleven zijn. “Gemiddeld duurt het ongeveer 180 dagen vooraleer een APT-virus opgemerkt wordt. Bovendien heeft zo’n virus enorm veel diepe wortels, dus mogelijk hebben de buitenlandse inlichtingendiensten nog steeds toegang tot Belgacom.”

Gemiddeld duurt het ongeveer 180 dagen vooraleer een APT-virus opgemerkt wordt.

Zal een antiviruspakket de redding bieden? Niemelä: “Het is bijzonder moeilijk om je te wapenen tegen zo’n aanvallen, en een anti-virussuite zal je in zo’n geval niet helpen. Die is immers ontworpen om infecties te vermijden van virussen die zich niet specifiek op één slachtoffer werpen. Bovendien houdt de software enkel de oorspronkelijke injectie tegen, maar eens een virus administratorrechten verkrijgt is zo’n suite machteloos. Dan is de virtuele bodyguard niet meer in staat om aanvaller en slachtoffer van elkaar te onderscheiden. Als een ontwikkelaar van antivirussoftware daar rekening mee zou houden, dan werd hij dagelijks overspoeld door een tsunami van valse alarmen. Daarmee zeg ik niet dat een antivirusprogramma onbelangrijk is, wel integendeel. In plaats van vele aanvallen per dag verkrijgen organisaties zo maximaal één tot twee malware-griepjes per jaar. Die goedkope consumentenprogramma’s hebben voornamelijk het doel om kosten te besparen, niet om je te wapenen tegen het grove geschut van overheden.

Hoe bescherm je je ertegen?

De Finse beveiligingsexpert vermeldt dat een APT-aanval nooit uitgesloten is, maar dat je wel enkele stappen kan ondernemen om het voor een cyberboefje moeilijker te maken. Een antivirusprogramma houdt al 99,99% van de aanvallen tegen, zodat je de overige middelen kan inschakelen om een inbraak van de grotere spelers te vermijden. Daarnaast is een goede firewall in je netwerk van goudwaarde. Met een dergelijke vuurmuur kan het WannaCry-ransomware bijvoorbeeld nooit ontkiemen in je systeem. Ten slotte kunnen grotere organisaties de hulp inschakelen van een beveiligingsspecialist, die ongewoon gedrag kunnen monitoren.

APT-aanvalbeveiligingcyber security conferencef-secureheliview

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600