6 maart 2015 08:47

Anatomie van een cybermisdaadorganisatie

Hoe organiseren cybercriminelen zich? Is dit vergelijkbaar met pakweg een maffia-organisatie uit het uiterste zuiden van Italië? Of moeten we ons een volledig gevirtualiseerd team voorstellen van criminelen die elkaar nog nooit hebben ontmoet? In grote lijnen kunnen we vier rollen onderscheiden.

Cybermisdaad gaat niet meer weg, wel integendeel. Jaar na jaar neemt het aantal cybercriminelen toe, en cybermisdaad kan steeds meer met de ‘traditionele’ misdaad vergeleken worden. Concreet betekent dit dat we nog wel afzonderlijk handelende criminelen vinden, maar dat de grote misdaden (met een grote buit) meestal het werk zijn van de georganiseerde misdaad.

Maar hoe organiseren die misdadigers zich dan? Is dit vergelijkbaar met pakweg een maffia-organisatie uit het uiterste zuiden van Italië? Of moeten we ons een volledig gevirtualiseerd team voorstellen van criminelen die elkaar nog nooit hebben ontmoet?

Als onderdeel van onze voortdurende zoektocht naar malware en diegenen die hiervoor verantwoordelijk zijn, hebben we lange tijd een Chinese bende gevolgd en hun doen en laten in kaart gebracht. Maak kennis met de Yanbian-bende.

De Yanbian-bende is genoemd naar de streek waar zich het hoofdkwartier van de bende bevindt. Yanbian is een prefectuur in China net ten noorden van Noord-Korea. Zij halen hun inkomsten vooral uit malware op mobiele toestellen van Zuid-Koreaanse slachtoffers. Naast vele andere vermommingen nam deze malware onder meer de vorm aan van een app genaamd ‘The Interview’, zoals de film over hun buur en aartsvijand Noord-Korea.

Naast bovenstaande inzichten hebben we ook geleerd hoe deze bende georganiseerd is. In grote lijnen kunnen we in deze bende vier rollen onderscheiden:

De organisator. Deze ‘stichter’ van de organisatie staat vooral in voor het speuren naar en rekruteren van nieuw ‘talent’. Alle leden staan in rechtstreeks contact met hem. Hij si als het ware de spin in het web, en een onvervangbaar element.

De vertalers. Zij moeten ervoor zorgen dat de malware vertaald wordt in de taal van het slachtoffer. In dit geval zorgden zij voor Koreaanse versies van de wervende tekst en van de user interface (UI) voor de diverse gebruikte apps.

De ‘cowboys’. Zij moeten zorgen voor de ophaling van de buit uit geslaagde aanvallen en die aan de organisator bezorgen. Meestal verblijven zij in hetzelfde land als hun slachtoffer. Voor hun banktransacties maken ze gebruik van een ‘zwarte kaart’ (in het Engels soms ‘fridge card’ genoemd) waarmee ze voor de politie ontraceerbaar zijn. Op basis van onze informatie kan je bij Chinese hackers zulke kaarten kopen voor ongeveer 725 US dollar.

De malwareschrijvers. De ontwikkelaars van de kwalijke apps zijn wellicht de belangrijkste leden van de bende. Het succes van de aanvallen hangt immers af van de doeltreffendheid van hun code. Goede malwareschrijvers zijn bijzonder populair: op elke ondergrondse bulletin board of chatruimte vind je wel organisaties op zoek naar goede malware-ontwikkelaars.

Elke organisatie zal deze rollen anders invullen en/of onderverdelen in verschillende kleinere rollen, maar in grote lijnen zal je deze rollen steeds terugvinden. En ook al was deze organisatie nog relatief klein, toch zijn ze er op nauwelijks een jaar tijd in geslaagd om vele miljoenen binnen te rijven. Het illustreert hoe professioneel de cybermisdaad tegenwoordig georganiseerd is en vooral waarom er zo velen zich toe aangetrokken voelen.

Cybermisdaad is big business. Door deze ‘sector’ grondig te bestuderen en te leren kennen, kunnen we hopelijk de groei van deze business inperken. Maar de beste verdediging tegen cybermisdaad blijft nog steeds dezelfde: het besef bij bedrijven en particulieren dat het gevaar reëel en actueel is, wat hopelijk leidt tot de nodige maatregelen om dit gevaar tot het minimum te beperken.