Recent ontdekten de mensen bij Symantec een gevaarlijk beestje: W32.Flamer. Eén van de meest agressieve wormen die zijn weg kan vinden naar je device. Tim van Honsté legt uit wat er aan de hand was, hoe ze het aangepakt hebben en hoe het "security-landschap" anno 2012 eruit ziet.
Kan je kort toelichten wat W32.Flamer precies doet?
W32.Flamer is een worm die zichzelf ook nog gaat proberen te vermenigvuldigen van het moment dat die in een netwerk terecht komt. In dit geval zorgde de worm voor een achterdeur in een systeem. Via deze achterdeur konden de aanvallers dan vanuit een soort controlecentrum aangeven wat ze wilden doen. Dit ging van het doorsturen van slechte code, het stelen van data tot zelfs printscreens trekken van gevoelige informatie.
We praten hier dus over een heel agressief beestje dat een heel grote impact kan hebben. Het is één ding om een infectie te krijgen die je PC gaat vertragen, maar hier ging het echt over één infectie die de deur openzet voor heel wat mogelijke aanvallen.
Ik hoor je zeggen: "het ging over een infectie", mag ik daaruit afleiden dat het gevaar geweken is of nog niet?
Tot hier toe wel. Voor zover wij kunnen zien is er inderdaad geen activiteit meer. We hebben zelfs ontdekt in de code dat er een self-destruct mechanisme was ingebouwd om zichzelf ergens in mei te vernietigen. Natuurlijk in de hoop dat niemand het tegen dan gedetecteerd had.
Voor hetzelfde geld kan de worm morgen echter terug actief worden. Is het niet onder de huidige naam in de huidige versie, dan onder een nieuwe naam en in een nieuwere versie.
Kunnen we stellen dat dit de gevaarlijkste infectie is die de ronde deed of blijkbaar nog kan doen?
Dat klopt, het is wel één van de toppers. Dit omdat het zodanig ver gaat en heel intensief is. Gegevens zijn tegenwoordig voor elk bedrijf van onschatbare waarde. Het zijn de kroonjuwelen. Die gegevens komen door zo'n aanvallen in gevaar en dat is sinds jaar en dag de bestaansreden van Symantec: ervoor zorgen dat bedrijven en instellingen op tijd beschermd worden.
W32.Flamer opent een deur zodat attackers vanop afstand code kunnen installeren of gegevens kunnen stelen. Hoe wordt dit door die mensen beheerd?
Simpelweg via een webapplicatie. Er is dus een platform ontwikkeld, waar die aanvallers kunnen inloggen en via een interface bepaalde acties kunnen gaan doorvoeren. We hebben bij verdere analyse zelfs ontdekt dat er met verschillende profielen gewerkt wordt. Mensen dus die aan die console konden, maar met verschillende rechten (machtigingen). Zo waren er accounts enkel voor het schrijven van code, andere enkel voor het overnemen van data, … Dit geeft aan dat we hier met een hiërarchische structuur te maken hadden met elk zijn eigen taak en functie binnen de organisatie. En dit is nieuw en vrij beangstigend. De complexiteit van het geheel bewijst ook hoeveel tijd en kapitaal in de ontwikkeling hiervan gekropen is.
Hoe hebben jullie W32.Flamer ontdekt?
Aangezien we, Symantec dus, wereldwijd één van de grootste bedrijven zijn die zich hiermee bezighouden, hebben we een gigantisch zicht op wat er aan de hand is in de wereld. Dit door de tienduizenden systemen die we overal monitoren en door miljarden e-mails die we dagelijks zien passeren. Dit noemen we ons "Intelligence Network".
Heel het Flamer-gebeuren hebben we kunnen onderscheppen doordat de geïnfecteerde systemen vreemde pakketten aan het doorsturen waren. We zagen naar welke servers deze pakketten gingen en dan is al snel duidelijk dat het niet om reguliere servers gaat.
Je hebt al een paar keer de term "forensisch onderzoek" gebruikt. Waaruit bestaat zo'n onderzoek?
Door de pakketten van de geïnfecteerde systemen te volgen, zijn we op de servers uitgekomen. Via bepaalde wegen zijn we dan aan enkele harde schijven van zo'n servers geraakt. Vervolgens gaan sterk ontwikkelde en getalenteerde analisten elk kleinste stukje code, elke bit en byte gaan ontleden. Daaruit leert men dan of we te maken hebben met bepaalde hiërarchieën, hoe de worm binnen raakt, wat ermee kan gedaan worden enzovoort.
Evolueren we naar een tijd waar we ons beter of net minder goed kunnen beveiligen?
De vraag is eerder hoe ver men wil gaan bij het beveiligen. Als je weet dat het bij veel bedrijven soms 3, 4 jaar of langer duurt eer ze hun beveiliging updaten, dan kan je zeggen dat het mogelijk is om je goed te beschermen, maar er misschien te weinig aandacht aan gegeven wordt. Het blijft echter wel een soort "rat-race" tussen de beveiligingssector en de malafide mensen. Tot nu toe slagen we er goed in om deze mensen voor te blijven, maar opnieuw: het is aan de bedrijven en particulieren om de stap te zetten zichzelf te beschermen.
Kan de overheid een grotere rol spelen in het beveiligen van netwerken of op zijn minst bij het sensibiliseren van de mensen?
Uiteraard kan het altijd meer. De overheid doet echter al veel inspanningen om te sensibiliseren. Denk aan de waarschuwingen rond phishing*. Misschien is er wel plaats voor een actievere rol, waar ze bijvoorbeeld een basis aan verplichtingen opleggen bij bedrijven. Maar het blijven de mensen die de stap moeten zetten. Men denkt nog te veel: "Mij overkomt dat niet".
*Phishing: Aanvallen zoals de vele mails van banken om je account te updaten of "beter te beveiligen". Gerichte aanvallen, vaak per mail, om gegevens te bekomen, waar men later mee in je bankaccounts kan.
Die "malafide mensen", wat kunnen we daaronder verstaan? Hoe zien de profielen van zo'n criminelen eruit?
We delen ze onder in 3 categorieën.
1 - We delen ze onder in 3 categorieën
Het gekendste voorbeeld hierbij is Anonymous. Het gaat hier dus om mensen die niet per se de man op de straat willen raken, maar om politieke of humanitaire redenen een bepaalde boodschap willen duidelijk maken. Zo gaan zij netwerken van multinationals platleggen, of zelfs van overheden.
2 - Georganiseerde misdaad
Zij zijn puur uit op winst. Ze voeren aanvallen uit met de bedoeling om geld te stelen. Een tactiek die hier vaak wordt ingezet, is het gijzelen van bepaalde systemen of data om er dan losgeld voor te vragen, een digitale gijzeling dus.
3 - Cyber-war en spionage
Spionage komt hier dan niet enkel op landelijk niveau voor. Maar ook tussen twee concurrerende bedrijven of zelfs volledige sectoren.
Het zit zo dat er veel minder kans is om gepakt te worden wanneer je een misdaad online pleegt dan wanneer je dit fysiek doet. Een bankovervaller heeft tegenwoordig weinig kans om weg te komen met de buit, maar een hacker kan gerust veel geld laten wegsijpelen, zelfs zonder dat de bank het door heeft.
En als hackers al gepakt worden, zijn ze meestal zo slim om via landen te werken van waaruit niet uitgeleverd wordt, dus lopen ze weinig risico.
Voeg je zelf graag nog iets toe?
Wel, het gevaar is dus voorlopig geweken wat de W32.Flamer betreft. Sowieso werd België met deze aanval niet getarget, ze was duidelijk geschreven voor het Midden-Oosten. Men moet er echter mee rekening houden dat zo'n groeperingen vaak hun methodieken en zelfs codes met elkaar delen of aan elkaar doorverkopen. Voor hetzelfde geld is er morgen een nieuwe versie ‘op de markt' die wel naar ons gericht is, naar onze bedrijven of particulieren.
Mijn belangrijkste boodschap: neem de tijd om je beveiliging te bekijken en bij te sturen. Liever té goed beschermd. Vooral bedrijven mogen niet bang zijn om hierin te investeren en moeten ook voldoende aandacht besteden aan mobile. Via alle mobile devices die aan een bedrijf verbonden zijn, zoals smartphones en tablets, is het vaak veel gemakkelijker voor attackers om het netwerk binnen te raken. Opletten dus!
Bedankt voor je tijd en voor de interessante informatie, Tim! Wij gaan hier zelf zeker nog eens de beveiliging onder de loep nemen…
Vond je dit artikel waardevol? Deel het dan hieronder via Twitter, Facebook of Linkedin.
Volg je @bloovi al op Twitter? #bloovi