DevOps verandert de manier waarop zaken worden gedaan en criminele organisaties vormen daarop geen uitzondering. Net als legitieme softwareleveranciers maken aanvallers gebruik van DevOps elementen. Dank daarbij aan CI/CD-pijplijnen, cloudinfrastructuur en andere digitale technologieën om nieuwe malware as a service (MaaS)-aanbiedingen te ontwikkelen en te verkopen. De noodzaak om nieuwe functies snel op de markt te brengen, wordt ingegeven door de groeiende (ondergrondse) vraag naar populaire tools. Denk daarbij aan malware voor het stelen van gebruikersgegevens en andere geprivilegieerde informatie. Dergelijke malware is niet alleen krachtig, maar ook eenvoudig direct te gebruiken. Dit moedigt zowel beginnende aanvallers als geraffineerde staat-hackers worden aan.
Inzet van experts
Aanvallersgroepen maken gebruik van de krachten van verschillende experts. Dit, om deze diensten te gelde te maken en hun activiteiten uit te breiden. Dit gaat van ontwikkelaars die de exploitcode schrijven, tot technici die de aanvalsinfrastructuur ontwerpen. En tot aanvallers die deze nieuwe exploits gebruiken om netwerken aan te vallen.
Risico’s voor criminelen
Naarmate deze criminele groepen echter meer en meer op “echte” ondernemingen gaan lijken, stellen ze zich ook bloot aan nieuwe risico’s. Net als elke andere onderneming krijgen ze te maken met nieuwe beveiligingsuitdagingen. Zoals het beheer van multi-tenant SaaS-applicaties. En de beveiliging van externe toegang tot gevoelige systemen en gegevens. Terwijl ze gedwongen worden hun eigen beveiligingsmaatregelen op te voeren, zullen tegenstanders steeds vaker betrapt worden door verdedigers. Die gebruiken daarin hun eigen offensieve tactieken.
anvallen met open source
Open source software stimuleert innovatie. Het betekent echter ook een vergroting van het aantal aanvalsmogelijkheden. En een manier voor aanvallers om hun inspanningen te automatiseren, detectie te omzeilen en meer schade aan te richten. De inbraak bij Codecov in april 2021 heeft laten zien hoe één subtiele aanpassing in één regel code een volledig onschuldige softwarebibliotheek kan veranderen in een kwaadaardige bibliotheek. Hierdoor komt elke organisatie die de software gebruik in gevaar. Met behulp van deze zeer effectieve infiltratiemethode kunnen aanvallers zich richten op duizenden organisaties in een toeleveringsketen. En vervolgens hun inloggegevens stelen.
Typosquatting-achtige aanvallen
In de komende 12 maanden zullen aanvallers blijven zoeken naar nieuwe manieren om open source bibliotheken te compromitteren. CyberArk Lab heeft gezien hoe aanvallers typosquatting-achtige aanvallen uitvoerden door codepakketten te maken met subtiele veranderingen in de namen van de pakketten (bijv. atlas-client vs. atlas_client). Dit waren in feite ‘getrojaniseerde’ versies van de originele pakketten, die een achterdeur of functionaliteit voor het stelen van referenties implementeren of downloaden. In een ander geval werd een NPM-pakket getrojaniseerd om een cryptomining script en malware voor het stelen van referenties uit te voeren nadat de referenties van een ontwikkelaar waren achterhaald.
Waakzaam blijven
Organisaties moeten waakzaam blijven, omdat deze subtiele aanvallen zelden signalen afgeven en ze uiterst moeilijk te detecteren zijn. Dergelijke softwarebibliotheken worden in de pijplijn geïmplementeerd als onderdeel van legitieme dagelijkse activiteiten, en zien er in veel gevallen goedaardig uit omdat de kwaadaardige code als een dependency wordt gedownload. Aangezien deze geautomatiseerde aanvallen gemakkelijk en snel kunnen worden uitgevoerd met een zeer beperkte handtekening, zullen ze nog vaker voorkomen, plotseling plaatsvinden en nog meer schade aanrichten.
Verstoppen in het volle zicht
Beveiliging wordt nog ingewikkelder dankzij nieuwe schuilplaatsen. Die worden geïntroduceerd door cloud-, virtualisatie- en containertechnologieën. Nu microvirtualisering steeds populairder wordt, kunnen aanvallers malware bijvoorbeeld isoleren in deze virtuele systemen. En ze zo verborgen houden voor hostgebaseerde beveiligingscontroles. Deze nieuwe aanvalstechnieken worden nog niet veel waargenomen. Maar er zijn al voorbeelden gezien bij met name financieel gemotiveerde aanvallers die systemen zoals Windows Subsystem for Linux (WSL) testen. Dit is een subsysteem dat credential- en verificatieprocessen beveiligt. De aanvallers zijn dan op zoek naar nieuwe manieren om endpoints in gevaar te brengen. Door bijvoorbeeld ransomware binnen een Linux-infrastructuur uit te voeren, kunnen Endpoint Detection and Response (EDR) en andere hostgebaseerde endpointbeveiliging de kwaadaardige activiteit meestal niet identificeren, waardoor aanvallers gemakkelijk gegevens kunnen versleutelen of stelen. Dit gebeurt allemaal, verborgen, in het volle zicht.
