Wie heeft de hack gepleegd? Was het de professor vanuit de VS, of was het de kolonel vanuit China? We weten het, na gedegen analyse. En we weten het niet, na gedegen analyse. Want malware vermomt zich meesterlijker.
De professor gebruikt een bepaalde toolkit waarmee hij zijn snode daden pleegt. Zijn werkwijze en de digitale sporen van zijn tools vormen vingerafdrukken waarmee hacks naar hem terug te leiden zijn. De kolonel heeft een eigen legereenheid van hackende soldaten die ook zo hun eigen middelen en methodes hebben. En dan zijn er nog andere verdachten. Na diepgaand onderzoek van hackincidenten en geavanceerde aanvallen valt er dankzij deze indicatoren te herleiden wie er achter zit. Tenminste, tot op heden.
Binnenkort kijken we met weemoed terug naar deze relatief eenvoudige tijden. Ondanks de inzet van complexe cyberkits, geavanceerde 0-days en ander technisch vernuft, waren digitale misdaden redelijk op te lossen. Dit wil niet zeggen dat digitale misdadigers en cyberspionnen opgespoord, opgepakt en veroordeeld werden. Maar wel was er met een behoorlijke mate van zekerheid te bepalen wie de dader was.
Dit helpt niet alleen identificatie van daders, wat vooral een zaak is voor wetshandhavers, overheden en diplomaten, het identificeren en herleiden van cyberaanvallen helpt ook bedrijven en organisaties met hun actieve ict-verdediging. Zelfs als de dader niet definitief is te identificeren, helpt het al als zijn middelen en methodes worden herkend. Dankzij zogeheten inbreukindicatoren (ioc’s, indicators of compromise) zijn lopende aanvallen eerder te detecteren en kunnen er gerichte tegenmaatregelen worden genomen.
Daar komt nu echt een einde aan. 2017 brengt namelijk verdere verhulling van aanvallen, betere vermomming van malware en daarmee meer misleiding van digitale detectives. Het begin van deze trend op cybersecuritygebied is begin dit jaar al gelegd. Toen hebben onze security-onderzoekers een geavanceerde en volhardende hackaanval (APT) ontdekt waarbij er voor elk doelwit een geheel nieuwe set tools is aan te maken. Hergebruik is hierbij niet aan de orde en elk cybersecuritygeval wordt dus uniek.
De identificatie van digitale vingerafdrukken bij individuele aanvallen valt daardoor veel minder goed te benutten om links te leggen met andere aanvallen. Het herleiden van daders op basis van ioc’s wordt dus een minder betrouwbaar middel om cyber-Cluedo te ‘spelen’. Terwijl het natuurlijk geen spel is, maar een serieuze zaak. Het zijn serieuze zaken voor cyberspionnen en overheden, maar uiteindelijk ook voor cybercriminelen en reguliere bedrijven.
We hebben immers al vele malen eerder de evolutie van complexe aanvalsmiddelen gezien. Iets wat eerst een geavanceerde aanval is en voorbehouden is aan schimmige partijen met zwarte budgetten, komt vroeg of laat naar de bredere markt. Gewone digitale fraude, gewone datadiefstal en andere ‘normale’ vormen van cybercrime zullen moeilijker herleidbaar zijn. Analyse van ioc’s moet dus gecombineerd worden met andere, geavanceerde detectiemiddelen.
De digitale wereld volgt hiermee een analoog voorbeeld. Traditionele misdadigers hebben in bepaalde gevallen al sluw plastic handschoenen gebruikt en dan vingerafdrukken of dna-sporen van hun concurrenten. Ze verhullen met deze sturing van een plaats delict niet de misdrijven zelf, maar verdoezelen hun rol en zetten detectives op een dwaalspoor.
Overigens is het planten van zogenaamde ‘false flags’ niet alleen nuttig als afleidingsmanoeuvre. Het op deze manier zwart maken van anderen is op zichzelf ook nuttig. Hetzelfde geldt voor sluwe vermomming van cybercrime. Naast gedegen technische analyse die dus steeds complexer en veelomvattender moet zijn, speelt er dus ook aloude detectivewijsheid mee. Waar is de hack gepleegd, met welke middelen, en wie heeft er het beste motief?
