Achtergrond

Zo ziet een cyberaanval er uit

Aan de hand van een gedetailleerd rapport kunnen we stap voor stap een grote cyberaanval reconstrueren, van de phishingmail waarmee alles begint tot de kapotte computer waarmee het eindigt.

Deze week lees je op TechPulse een vijfdelig dossier over cyberdefensie. We hadden het  in deel 1 over de bescherming van kritieke infrastructuur van bedrijven en de overheid. In deel 2 bekeken we hoe die overheid censuur gebruikt om websites ontoegankelijk te maken. In hoofdstuk 3 analyseerden we de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen. Als voorlaatste item onderzochten we hoe oorlogsvoering in cyberspace er uit ziet. In dit laatste deel bekijken we een echte cyberaanval in detail.

In de tweede helft van 2016 werden verschillende financiële instellingen in Oekraïne het slachtoffer van een uitgebreide en geavanceerde cyberaanval. De gebruikte aanval bestaat uit verschillende stappen en illustreert goed hoe een slimme phishingmail een ketting in gang kan zetten die criminelen uiteindelijk toelaat om met administratorprivileges een heel systeem onherroepelijk te wissen.

De aanval werd ontdekt en grondig geanalyseerd door onderzoekers van ESET, een beveiligingsfirma die zelf ook een antivirusprogramma op de markt heeft. In ons dossier bespraken we de voorbije dagen al de belangrijkste facetten van computerbeveiliging, van privacy en censuur over cyber-oorlogsvoering tot de beveiliging van kritieke infrastructuur. Met de hulp van de analyse van ESET kunnen we stap voor stap overlopen hoe een grote cyber-aanval er concreet uit ziet, en waar een goede beveiliging de schade misschien kon beperken.

Fase 1: De infectie

Alles begint met de initiële infectie. De cyberaanval die we hier beschrijven is gecompliceerd en werd in elkaar gestoken door professionals maar de gebruikte vector is zoals meestal bijzonder low-tech. De grootste achterpoort waarlangs je software op een systeem kan binnensluizen blijft menselijke naïviteit. De hackersgroep, die door ESET het label TeleBots kreeg opgeplakt, richt zich op financiële bedrijven en probeert daar binnen te raken door phishingmails naar werknemers te sturen. De mails bevatten een Excel-document als bijlage. In dat document schuilt een schadelijke macro.

Microsoft Office laadt bestanden die je van het internet haalde per definitie in een beschermende modus in. Eventuele schadelijke code wordt daarin geblokkeerd. De macro kan alleen maar zijn werk doen als het slachtoffer in kwestie op ‘Enable Content’ klikt wanneer Excel dat vraagt. Om onvoorzichtige werknemers te overtuigen om op de knop te klikken, is het document gevuld met nonssens. Zo kan een nietsvermoedende lezer denken dat ‘Enable Content’ nodig is om de inhoud van het document correct weer te geven. Met het indrukken van de knop start de cyberaanval pas echt.

Fase 2: Versterking binnenhalen

De macro in het Excelbestand heeft maar één doel: een malwarebestandje op het systeem droppen en uitvoeren. Dat bestandje heeft de naam explorer.exe, en zal dus niet meteen voor argwaan zorgen wanneer iemand de actieve processen in het taakbeheer inspecteert. Explorer.exe is in dit geval een trojan met als missie andere specifieke malware binnen te halen.

Een trojaans paard met de naam Telebot geeft de hackers voet aan wal in het slachtoffersysteem.

Om niet door de mand te vallen, gaat het Trojaanse paard op zoek naar een bestandje op putdrive.com. Dat is een perfect legitieme website waarop je bestanden kan delen. Het bestand dat de binnendringer zoekt is vermomd als een stukje tekst. In werkelijkheid gaat het om een versleutelde backdoor trojan die schuilgaat onder de label Python/Telebot.AA trojan. Van dat stuk malware krijgen de aanvallers hun naam.

Fase 3: Huiswaarts bellen

Zodra de Telebot-malware zich in het besmette systeem gevestigd heeft, zoekt hij contact met een zogenaamde ‘command & control’-server. Via die servers kunnen de hackers hun programma instructies geven. Communicatie met louche buitenlandse servers kan al eens een alarm doen afgaan bij de virusbeveiliging, dus moet dergelijke trafiek vermomd worden. Telebot maakt daarvoor volgens ESET heel clever gebruik van Telegram. Telegram is een populair WhatsApp-alternatief waarop je geautomatiseerde bots kan maken. De infrastructuur die gebruikers de mogelijkheid geeft chatbots te maken, wordt door de malware misbruikt als communicatietool.

Contact met de command & control-server wordt op die manier vermomd als onschuldige https-trafiek waar geen haan naar zal kraaien. ESET bracht telegram op de hoogte van het misbruik van hun dienst. Het is echter twijfelachtig dat het bedrijf snel veel kan doen om het probleem te verhelpen. Het gaat immers niet om één account: ieder individueel stuk malware heeft een unieke ID en communiceert met zijn eigen account via Telegram.

Fase 4: Het misbruik begint

De hackers kunnen hun programma via Telegram besturen aan de hand van eenvoudige commando’s. Die commando’s zijn schrikwekkend eenvoudig. Met getdoc [bestandspad] kunnen de hackers ieder willekeurig bestand vanop de geïnfecteerde computer via Telegram uploaden, zolang het minder dan 50 MB weegt. De malware zelf slaat automatisch alle bestanden op die afkomstig zijn van de command & control server. Zo kan de hacker erg eenvoudig nieuwe malware op de geïnfecteerde computer plaatsen.

Via Telegram kunnen de hackers ieder willekeurig bestand vanop de geïnfecteerde computer uploaden

De hackers hebben op dit moment nog geen administratorbevoegdheden en is dus beperkt in zijn mogelijkheden. Dat is slechts een kwestie van tijd. Door het gecamoufleerde communicatiekanaal en de geïntegreerde bestandsoverdracht in beide richtingen kunnen de aanvallers van de Oekraïense financiële bedrijven in deze fase beginnen met eventuele gevoelige documenten van de geïnfecteerde pc te plukken. Tegelijkertijd zijn ze in staat de volgende fase van hun aanval te plannen.

Fase 5: Meer bevoegdheden

De hackers laten er geen gras over groeien en gebruiken het Telegram-kanaal om gespecialiseerde malware te installeren. Die heeft in hoofdzaak als doel om gevoelige informatie te vergaren. Zo ontdekte ESET dat het TeleBots-collectief steunt op enkele gekende virussen zoals CredRaptor. Die tool is in staat de opgeslagen wachtwoorden uit Chrome, Firefox, Opera of Internet Explorer buit te maken. Met de hulp van andere tools, waaronder een stuk software dat het geheugen misbruikt om Windowswachtwoorden te ontfutselen of een keylogger, die gewoon alle ingedrukte toetsen doorspeelt aan de criminelen.

De combinatie van de verschillende tools geeft de hackers genoeg mogelijkheden om uiteindelijk administratorbevoegdheden te verkrijgen op de gehackte pc en het bijhorende netwerkdomein.

Fase 6: Plan B, C en D

[related_article id=”210407″]

De initiële achterdeur geplaatst door de Telebot-trojan volstaat om de ganse aanval uit te voeren maar de aanvallers maken van hun toegang gebruik om enkele nieuwe achterpoortjes te openen. Die nieuwe trojans voorzien de hackers van de nodige gegevens om opnieuw een verbinding tot stand te brengen moest Telebot ontdekt worden.

Die werkwijze illustreert erg goed waarom professionele beveiligingsmensen niet geneigd zijn om een hacker meteen uit het geïnfecteerde systeem van een klant te gooien. Meestal hebben cybercriminelen zich in de dagen en weken waarin ze toegang hadden tot het systeem goed ingedekt. Het is interessanter om een hack even te monitoren, zo is de kans groter dat onderzoekers de volledige schaal van de inbraak kunnen vaststellen en meteen alle geopende deuren kunnen sluiten.

Fase 7: Voortplanting

In de voorlaatste fase van de aanval graven de hackers een digitale tunnel naar de besmette computer. De tool die daarvoor gebruikt wordt heet BCS-server, aldus ESET. De criminelen kunnen de malware gebruiken om data te verzenden en te ontvangen vanop het geïnfecteerde systeem maar ze kunnen er ook mee binnendringen op andere computers binnen het domein. Zo komt het hele interne netwerk van het slachtoffer in gevaar.

Fase 8: De genadeslag

De laatste fase van de aanval heet KillDisk en helaas voor het slachtoffer dekt de vlag de lading. Op dit moment in de aanval hebben de criminelen administratortoegang tot de getroffen pc en het domein, hebben ze toegang gekregen tot andere toestellen in het netwerken konden ze niet alleen wachtwoorden ontfrutselen maar ook naar believen bestanden vanop de besmette computer stelen.

De besmette computer staat nu op het punt de ultieme prijs te betalen.

Op dit moment heeft het geïnfecteerde systeem het TeleBots-collectief niets meer te bieden. De besmette computer staat nu op het punt de ultieme prijs te betalen. KillDisk is ontworpen om op Windows te draaien met alle mogelijke rechten. Aangezien de hackers in deze laatste fase alle nodige wachtwoorden bezitten, is dat geen probleem. De tool meldt zich aan ophet systeem als Plug-And-Play Support, wat opnieuw een slimme naam is waarmee de hackers hopen argwaan te vermijden.

Als laatste wapenfeit geven de criminelen KillDisk via de command & control-server een activatie-order, eventueel voorzien van een specifieke datum en tijdstip. Op dat moment schiet KillDisk in actie. De applicatie verwijdert essentiële bestanden van de pc zodat hij niet meer opgestart kan worden. Vervolgens worden bestanden met vooraf bepaalde extensies overschreven. In de praktijk zullen zowat alle gegevens op de computer overschreven worden door bestandjes met dezelfde naam. In die kleine bestandjes zit in het geval van de TeleBot-aanval een lijntje tekst. Ofwel staat er mrR0b07, ofwel FS0cie7y. Beiden zijn niets meer dan een verwijzing naar de populaire serie Mr. Robot.

De hackers lijken buitenproportioneel veel werk te hebben gestoken in hun visitekaartje.

Tot slot krijg je bovenstaand beeld te zien. ESET merkt op dat het niet om een foto gaat die bij de malware zit, maar om code waarmee het beeld in realtime gemaakt wordt. De beveiligingsfirma merkt op dat de aanvallers bijzonder veel moeite hebben gestoken in dat visitekaartje. Of dat een troost is wanneer je ganse systeem gewist wordt, is twijfelachtig.

Eventuele lessen

De TeleBots-aanval is bijzonder geavanceerd. Achter de cyberaanval zitten professionele hackers met toegang tot hele slimme tools. De aanval die we hier beschrijven is bovendien gericht op specifieke bedrijven met als doel sabotage. ESET merkt op dat de gebruikte technieken, zoals de communicatie via het Telegram-kanaal, splinternieuw zijn.

Ondanks alle knowhow van de aanvallers begint de aanval door een menselijke fout. De ontvanger van de mail had de macro in het Excelbestand nooit mogen openen. Als bedrijf kan preventie hier helpen. Duidelijke richtlijnen over wat mag en niet mag helpen. Het kan ook interessant zijn om werknemers duidelijk te maken hoe groot de gevolgen van het openen van een besmet Office-bestand kunnen zijn.

Ondanks alle knowhow van de aanvallers begint de aanval door een menselijke fout.

Tot slot illustreert de hack hoe preventie door dure firewalls en antivirusprogramma’s haar beperkingen heeft. Zeker bij gerichte aanvallen zoals deze ontwikkelen hackers hun tools op het scherp van de snee. Zo zijn ze bestaande beveiligingssoftware soms te slim af. Enkel een menselijk component kan hier soelaas bieden: door het bedrijfsnetwerk nauwlettend in de gaten te houden, en te beseffen dat hackers aanwezig kunnen zijn, kan een aanval vaak ontdekt worden voor het te laat is.

Dit was het vijfde en laatste deel in onze reeks over cybersecurity. Lees ook deel 1 over de beveiliging van kritieke infrastructuur, deel 2, waarin we dieper ingaan op censuur op het internet, deel 3 over privacy op het net en deel 4, waarin we kijken naar digitale oorlogsvoering.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business