Malware steelt 12 jaar ongestoord bedrijfsgeheimen PDF Afdrukken E-mailadres

 

Malware steelt 12 jaar ongestoord bedrijfsgeheimen

Samenvatting:Een grootschalige malwarecampagne kon twaalf jaar lang bedrijfsgeheimen stelen, en is nu pas ontmaskerd.

Door Michaël Aussems | 16 september 2014 Bron

Al sinds 2002 liep er ongezien een online malware-campagne die banken, ondernemingen en regeringen in Duitsland, Zwitserland en Australië als doelwit had.

De campagne, die intussen bekend staat als de Harkonnen Operatie, werkte met een legitiem front dat de hackers in staat stelde authentieke SSL-beveiligingscertificaten te bemachtigen. Ze deden dat door de eerder lakse wetgeving voor het bekomen van certificaten in het Verenigd Koninkrijk uit te buiten. Daar riepen de criminelen zo’n 800 valse frontbedrijven in het leven.

Legitiem
Omdat de hackers dankzij de valse bedrijven legitieme certificaten hanteerden, bleven ze twaalf jaar lang onder de radar. Op het eerste gezicht leken er immers geen illegale activiteiten plaats te vinden. Dat het zo lang duurde alvorens iemand Harkonnen ontdekte kwam tevens doordat de cyberdieven er niet zomaar in het wilde weg op rond hackten.

De groep achter de malwarecampagne was telkens op zoek naar erg specifieke informatie. Wanneer ze een server aanvielen bleven ze daar niet langer dan nodig aanwezig, zodat IT-personeel niet de kans had verdacht verkeer te ontdekken, laat staan traceren.

De malware die de hackers zelf gebruikten was niet uitzonderlijk gesofisticeerd, maar de dieven zorgden ervoor dat de kwalijke code telkens in andere software zat verwerkt, zodat er geen patroon de kop opstak. Operatie Harkonnen was bijgevolg vrijwel perfect, en zou naar alle waarschijnlijkheid nog steeds niet ontdekt zijn vandaag, ware het niet dat de hackers hun eigen regels hebben overtreden.

Hebzucht
Op één server bleven ze wel langer dan nodig aanwezig. Daardoor werd het verdachte internetverkeer wel opgemerkt, waarna  de IT-dienst het Israëlische beveiligingsbedrijf Cybertinel contacteerde. Die beveiligingsfirma kon de trafiek onderzoeken en traceren naar een centrale commandoserver voor de malware. Door die server in het oog te houden ontdekte men waar hij stond, en van wie hij was. Zo ontdekten ze dat het IP-adres gelinkt was aan de 800 valse frontbedrijven.

Nucleaire fysica
In totaal werden er honderden bedrijven het slachtoffer van de Harkonnen-campagne. Naast klassieke betaalgegevens werd er ook andere vertrouwelijke informatie gestolen, zoals beveilingsplannen voor infrastructuur, studies over biologische oorlogvoering en informatie aangaande nucleaire fysica.

Cyberintel denkt dat de hackers achter Harkonnen deel uitmaken van een georganiseerde misdaadbeweging. Het profiel van de aanval komt volgens het bedrijf niet meteen overeen met iets wat een regering zou doen, en het budget dat nodig was voor de campagne ligt te hoog voor de gemiddelde hacker.

Cyberintel weet intussen wie het slachtoffer werd van Harkonnen, en de operatie is stilgelegd. Het beveiligingsbedrijf legt een deel van de schuld bij het Verenigd Koninkrijk. Daar is de regulatie voor het verkrijgen van SSL-certificaten immers te laks, en zonder de certificaten had Operatie Harkonnen niet bestaan.