Spionnen zijn dol op de supply chain
Het niveau van digitale spionage is griezelig geavanceerd en het is overal aanwezig. Aanvallers bewijzen dat ze kosten nog moeite sparen. Onbedoelde slachtoffers hebben pech. We moeten anders gaan denken als we nog een beetje weerbaar willen zijn.
In een zaal in Singapore is het pijnlijk stil als Kaspersky Lab hun onderzoek ‘Operation Shadow Hammer’ presenteert. Hoe geavanceerd spionage kan zijn begint tot de aanwezigen door te dringen als het bedrijf erkent dat zij maandenlang twee parallelle onderzoeken hadden lopen die beide op dezelfde aanvaller bleken te jagen. Dat was nog niet eerder voorgekomen. Nieuw zijn de distributeurs van de malware: twee zeer gerenommeerde marktpartijen.
Klanten bespioneren?
In het eerste geval was Kaspersky Lab gevraagd een Aziatische bank te helpen met een onderzoek naar ‘verdachte activiteiten op het netwerk’. Uiteindelijk bleek er in de Zuid-Koreaanse beheersoftware ‘NetSarang’ kwaadaardige software te zitten. Vreemd genoeg leek het er sterk op dat de leverancier van de software zelf de verspreider van de malware of de achterdeur was.
In de tweede zaak bleek updatesoftware van het Taiwanese Asus een achterdeur te hebben. Omdat het verhaal te onwaarschijnlijk is, denken de onderzoekers met een ‘false positive’ te maken te hebben. Maar het blijkt wel degelijk foute boel. Wat is hier aan de hand? Bespioneren opeens twee bedrijven hun klanten? In beide gevallen heeft de fabrikant de software met een digitale handtekening ondertekend.
Doelgericht en selectief
De malware is bijzonder geavanceerd en verschilt per geval. Daarom zien de onderzoekers initieel geen link tussen beide zaken. Dat komt pas wanneer Asus informatie aanlevert. De conclusie is dat de kwaadaardige programmatuur na een inbraak is afgeleverd bij de ontwikkelaar van de software. Die injecteert zonder het te weten de malware in een legitiem product. Er is doelgericht gehackt. Bij het verspreiden van reguliere updates komt de malware automatisch mee. Bij NetSerang is het verhaal vergelijkbaar.
De updates van Asus zijn meer dan een miljoen keer geïnstalleerd. Toch blijken de makers heel selectief te spioneren. In de malware is een lijst van 600 hardware-adressen opgenomen. Alleen bij die adressen komt de malware in actie. Het proces bij NetSarang werkt iets anders. De geïnstalleerde malware meldt zich eerst aan waarna bij een selecte groep gerichte spionage plaatsvindt.
Het gaat om een bijzondere zaak. Niet elke dag hoor je dat aanvallers met succes meer dan een miljoen computers besmetten, bedrijven besmetten om heel doelgericht te spioneren bij een paar personen of organisaties. Tijdens de presentatie worden nu geloofwaardige indicatoren opgesomd, die wijzen op een staatsoperatie vanuit Guangzu, China. Kaspersky Lab kan zelfs de personeelsadvertentie of oproep laten zien die op een Chinees platform heeft gestaan. De sollicitant krijgt vooraf de geruststelling dat de werkgever ‘een stevige achtergrond biedt’.
Supply chain inzetten
Het misbruiken van de leverancier voor spionage is logisch. Bij een succesvolle aanval wordt de malware via de ontwikkelaar van de software geïntroduceerd in programmatuur of in hardware. Leveranciers genieten het vertrouwen van de klanten en zijn (nog) een onverdachte bron. Operation Shadow Hammer toont aan dat een hoogtechnologische, zeer gerichte aanval ervoor zorgt dat de software van de digitale handtekening van een betrouwbare leverancier is voorzien. De logica dicteert de gebruikers dat alles in orde is. Het tegendeel is waar. Mocht het misgaan dan is er voor de hackers een prettige bijkomstigheid: digitaal wijst alles naar Taiwan en Zuid Korea.
Wie even doordenkt beseft dat aanvallen op hardware ons nog veel kwetsbaarder maken. In de supply chain zijn veel momenten om iets kwaadaardigs te doen: het ontwerpen van printplaten, het maken van de firmware, het daadwerkelijke fabricageproces, de opslag, het transport enzovoort. Allemaal momenten om nare achterdeurtjes te plaatsen. Het ontdekken is buitengewoon lastig zo niet onmogelijk. Firmware kun je niet altijd uitlezen en zelfs aanvullende chips zijn nagenoeg onzichtbaar weg te werken in piepkleine hardware.
Next level
Juist de fabricage van zowel hard- als software is een proces waar op veel punten een aanval mogelijk is. In iedere prijsklasse is wel iets te regelen. Neem het volgende voorbeeld eens als aanvalsscenario. Distributeurs van hardware verdienen 3 tot 5 procent op componenten. Een kwaadwillende partij die licht gemodificeerde chips levert met extra hard- of software kan deze iets goedkoper aanbieden. Een kleine daling van 5 procent in de prijs zal voor de inkopende partij de winst al verdubbelen, zonder dat ze doorhebben aan spionage mee te werken.
De Chinese investeringen om zeer gericht een doel te bespioneren bewijzen dat kosten noch moeite worden gespaard. Als distributeur neem je gewoon bedrijven uit Taiwan en Zuid-Korea, want zolang je niet herleidbaar bent is dat geopolitiek best handig. De Amerikaanse methode om computers van malware te voorzien voor het verlaten van internationale verzendcentra is een next level aanval op de supply chain.
Ondergeschoven kindje
Het toenemend aantal voorbeelden maakt duidelijk dat staatsactoren, maar ook private actoren de weg naar de supply chain goed weten te vinden. Daarmee ontkomen we er niet aan na te denken waar welke informatie blijft, wat potentieel gevoelig is en hoe deze aan te vallen is. Dat betekent dat we nadrukkelijker over inkoop moeten nadenken. Beveiligingsrisico’s moeten een integraal onderdeel van het proces zijn. We gaan het niet redden met een obligate paragraaf over het uitvoeren van acceptatie of penetratietesten, maar we zullen dieper moeten kijken. Bij het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) zijn al documenten beschikbaar rond inkoop en wordt gewerkt om tot standaarden te komen.
We zullen ons moeten realiseren dat we te maken hebben met schadelijke actoren met schier onuitputtelijke budgetten. Deze deinzen er niet voor terug om miljoenen gebruikers in gevaar te brengen om een paar doelen te raken. Dat vraagt om een nieuw bewustzijn. We zullen met awareness weer helemaal van voor af aan moeten beginnen.
