digitale spionnen zijn dol op de supply chain

hacktalent

Het niveau van digitale spionage is griezelig geavanceerd en het is overal aanwezig. Aanvallers bewijzen dat deze digitale spionnen kosten nog moeite sparen. Onbedoelde slachtoffers hebben pech. We moeten anders gaan denken als we nog een beetje weerbaar willen zijn.

In een zaal in Singapore is het pijnlijk stil als Kaspersky Lab hun onderzoek ‘Operation Shadow Hammer’ presenteert. Hoe geavanceerd spionage kan zijn begint tot de aanwezigen door te dringen als het bedrijf erkent dat zij maandenlang twee parallelle onderzoeken hadden lopen die beide op dezelfde aanvaller bleken te jagen. Dat was nog niet eerder voorgekomen. Nieuw zijn de distributeurs van de malware: twee zeer gerenommeerde marktpartijen.

Klanten bespioneren?

In het eerste geval was Kaspersky Lab gevraagd een Aziatische bank te helpen met een onderzoek naar ‘verdachte activiteiten op het netwerk’. Uiteindelijk bleek er in de Zuid-Koreaanse beheersoftware ‘NetSarang’ kwaadaardige software te zitten. Vreemd genoeg leek het er sterk op dat de leverancier van de software zelf de verspreider van de malware of de achterdeur was.

In de tweede zaak bleek updatesoftware van het Taiwanese Asus een achterdeur te hebben. Omdat het verhaal te onwaarschijnlijk is, denken de onderzoekers met een ‘false positive’ te maken te hebben. Maar het blijkt wel degelijk foute boel. Wat is hier aan de hand? Bespioneren opeens twee bedrijven hun klanten? In beide gevallen heeft de fabrikant de software met een digitale handtekening ondertekend.

Doelgericht en selectief

De malware is bijzonder geavanceerd en verschilt per geval. Daarom zien de onderzoekers initieel geen link tussen beide zaken. Dat komt pas wanneer Asus informatie aanlevert. De conclusie is dat de kwaadaardige programmatuur na een inbraak is afgeleverd bij de ontwikkelaar van de software. Die injecteert zonder het te weten de malware in een legitiem product. Er is doelgericht gehackt. Bij het verspreiden van reguliere updates komt de malware automatisch mee. Bij NetSerang is het verhaal vergelijkbaar.

De updates van Asus zijn meer dan een miljoen keer geïnstalleerd. Toch blijken de makers heel selectief te spioneren. In de malware is een lijst van 600 hardware-adressen opgenomen. Alleen bij die adressen komt de malware in actie. Het proces bij NetSarang werkt iets anders. De geïnstalleerde malware meldt zich eerst aan waarna bij een selecte groep gerichte spionage plaatsvindt.

Lees het hele verhaal online of in ICT/Magazine van april.

Gerelateerde berichten...