ESET dicht ISP rol bij verspreiding malware toe

Kwaadwillig opzet blijft steeds vaker onder de radar

Bad Rabbit, WannaCry, Petya, Industroyer, BlackEnergy, Havex, Stuxnet, … De ransomware- en malware-aanvallen nemen de jongste jaren hand over hand toe. Niet altijd beperken de aanvallen zich tot het stelen of versleutelen van bestanden. Steeds vaker zijn industriële controlesystemen het doelwit. Overheidsorganisaties die om veiligheidsredenen aan remote monitoring doen, zagen zichzelf gehackt waarbij, voor het eerst, de malware wellicht door de Internet service provider (ISP) werd verspreid. Intussen zorgt het Internet of Things (IoT) voor een gigantisch beveiligingsprobleem. De meeste apparaten die worden aangesloten werden vooralsnog niet vanuit die optiek ontworpen, met alle gevolgen vandien op security-vlak. Het wekt heus geen verwondering waarom het snel groeiende Slovaakse cybersecurity-bedrijf ESET (Bratislava) “unicorn”-ambities koestert.

ESET, dat dertig jaar terug werd opgericht, heeft zich als cybersecurity-vendor met een omzet van 290 miljoen USD op de vierde plaats genesteld in de marktrangschikking, vooralsnog op ruime afstand van Symantec, Intel Security (McAfee) en Trend Micro. Maar het bedrijf groeit snel. Dit jaar stonden wereldwijd 1.500 medewerkers op de loonlijst, waarvan ruim één derde in R&D. ESET heeft inmiddels dertien R&D-centra in uitbating, waarvan de belangrijkste in Bratislava en Montreal, waar het onlangs nieuwe kantoren betrok. In Bratislava verwerkt ESET dagelijks meer dan 300.000 malware-samples, zowel manueel als automatisch.

Dat toonaangevende technologiebedrijven de expertise van het cybersecurity-bedrijf naar waarde weten te schatten, blijkt uit de recente lancering van Chrome Cleanup, een nieuwe scanner  die voor Google Chrome werd ontworpen om Windows-gebruikers ononderbroken en veilig op het web te laten browsen. Chrome Cleanup waarschuwt gebruikers van Google Chrome voor mogelijke bedreigingen als het ongewenste software detecteert. Vervolgens biedt de browser de gebruiker de optie om die software te verwijderen.

Ransomware steeds agressiever

De recente massale uitbraak van Bad Rabbit, voornamelijk in Rusland, was het zoveelste incident op korte tijd op malware-vlak. Eerder dit jaar infecteerde de WannaCry-malware meer dan 230.000 computers in 150 landen. Het virus werd in eerste instantie verspreid via phishing-mails. Het maakte gebruik van de EternalBlue exploit die werd ontwikkeld door … het National Security Agency van de Verenigde Staten.

Die zelfde exploit werd vorig jaar aangetroffen in NotPetya, de aangepaste versie van cryptoware Petya die zich richtte op Microsoft Windows-gebaseerde systemen en het master boot record infecteerde om een payload uit te voeren die de NFTS-bestandstabel versleutelde, waarna betaling in bitcoins werd gevraagd om het systeem te deblokkeren.

ICS-systemen steeds vaker doelwit

Malware die industriële controlesystemen viseert wordt bovenop veel couranter. Zo legde Industroyer eind vorig jaar gedurende een uur het elektriciteitsnet van Kiev gedurende een uur plat door in te breken op het niveau van de schakelaars en relaisstations. Voor het eerst had malware een elektriciteitsnetwerk als doelwit. Eerdere aanvallen op industriële controlesystemen vonden plaats in 2015 (BlackEnergy, dat SCADA-gerelateerde plug-ins verspreidde), 2014 (Havex, dat het industrieprotocol corrumpeerde) en 2010 (Stuxnet, dat Siemens-controllers herprogrammeerde).

Schrikwekkend in het geval van Industroyer is dat de hackers onder de radar bleven. In tegenstelling tot ransomware zijn spionage-software of trojans immers niet zichtbaar.

“Via de installatie van een gemaskeerde achterdeur hadden ze de intentie zich blijvend in de bedrijfssystemen te verankeren,” beklemtoont Robert Lipovský, malware researcher bij ESET.

In industriële controlesystemen gaat malware vooral voor payloads, denial of service en het verwijderen van data (op de werkstations die de schakelaars aansturen).

“Industriële netwerken zijn complexer dan normale netwerken. Dat maakt er hun bescherming niet eenvoudiger op”, besluit Lipovský.

Big Brother zelf niet veilig

Technologiebedrijf Gamma Group verkoopt zijn bewakings-software FinFisher aan overheden en politiediensten wereldwijd. De Gamma Group werd in 2014 evenwel zelf gehackt, waarbij technische details van de FinFisher-malware werden gestolen en gelekt.

ESET-reseacher Filip Kafka: “Maar liefst 12 trojans werden binnen FinFisher aangetroffen die door herroutering via een man-in-the-middle aanval de software infecteerden. Uit ons onderzoek blijkt dat de man-in-the-middle naar alle waarschijnlijkheid een Internet service provider (ISP) is. Nooit eerder werd malware verspreid door toedoen van een ISP. In tegenstelling tot spearphising e-mails wekt een dergelijke aanpak bij het doelwit geen achterdocht. Die aanpak is bovendien efficiënter, sluikser en goedkoper dan zero-day exploits op lange termijn”.

Nieuw doelwit: IoT

Het Internet of Things (IoT) is het nieuwe doelwit van malware binnen een wereld waar het industrieel IoT en het consumenten-IoT één worden.

“Industriële automatisering, smart health, smart homes en smart cities zullen ongetwijfeld de aandacht van hackers trekken”, aldus Righard Zwienenberg, ESET senior research fellow, die zich vragen stelt bij de beveiliging van de routers en de digitale video recorders, nog steeds een belangrijk IoT-malware platform.

Recente IoT-hacks viseerden met succes iKettles, intelligente deurbellen, auto’s, e-skateboards of een Boeing. Of Zwienenberg’s hoop om van het volgend tijdperk het Internet of Trust (IoT) te maken ooit bewaarheid wordt, valt sterk te betwijfelen. Collega Pëter Košinár laat er weinig twijfel over bestaan:

“Het IoT is niet veilig. Routers, computers (denk aan de toegang vanop afstand voor onderhoud of andere ingrepen, nvdr.), mobiele apparaten en aanvallen via de ISP’s, routers, apps en de supply chain, MFP’s, smart TV’s, zelfrijdende auto’s, … zullen voor security issues blijven zorgen. Bovendien valt niet uit te sluiten dat de aanvallen hun grote doelwitten in de toekomst inruilen voor kleinere, meer verspreide”.

Vorig jaar al richtte de malware Flocker zijn pijlen op smart TV’s. Voorts valt ook een stijging te verwachten van nieuwe varianten van Android-malware.

Plannen voor nieuw hoofdkantoor ESET

Het snel groeiende ESET verzorgt zijn bedrijvigheden in Bratislava op twee verschillende locaties. Het cybersecurity-bedrijf kocht eerder dit jaar een gigantisch terrein aan in de Slovaakse hoofdstad waar het zijn bedrijvigheden zal centraliseren.

Veeleer dan te opteren voor een torengebouw, opteert ESET voor een constellatie van aaneensluitende gebouwen in ringvormen, die binnen een voor het publiek toegankelijke groenzone zullen worden ingebed.

“Het nieuwe hoofdkantoor van ESET dat een investering van 150 miljoen euro zal vergen, zal een bredere roeping opnemen. Zo denken we aan de integratie van filantropische initiatieven, een incubator en andere maatschappelijke initiatieven die de bevolking van Bratislava meerwaarde zullen bieden”, vertrouwt co-founder Miroslav Trnka “I-Tel” toe.

Meer sectornieuws

Agenda