Zeg nooit ‘virus’ tegen een Advanced Persistent Attack
Foto: rr

Belgacom werd waarschijnlijk slachtoffer van een bijzonder gesofisticeerde aanval die op maat is ontwikkeld. Verdedi-ging tegen zo’n Advanced Persistent Attack is erg lastig.

Een ‘virus’, zo heeft Belgacom de besmetting op zijn pc’s en servers beschreven. Maar in feite kunnen we beter spreken over een Advanced Persistent Attack (APA), zegt Karel Dekyvere, service delivery manager bij Microsoft. Zo’n APA verandert voortdurend van vorm en is daarom zeer moeilijk te detecteren. Ook de term crafted attack, op maat gemaakte aanval, wordt hiervoor wel eens gebruikt. Microsoft is betrokken bij de netwerkbeveiliging van Belgacom, maar Dekyvere mag naar eigen zeggen alleen algemene uitspraken doen over dergelijke APA-aanvallen.

Terwijl een virus zich doorgaans zo snel mogelijk probeert te verspreiden, is dat niet noodzakelijk het opzet van een op maat gemaakte aanval. En terwijl een virus kan worden opgespoord door te zoeken naar stukjes van zijn programmacode (de ‘handtekening’ van het virus), lukt dat niet als die code voortdurend wisselt. Zodra de malware vaste voet heeft op het netwerk van een bedrijf, kan bijvoorbeeld de programmacode waarmee de malware zich verspreidt, worden gewist. Die kan worden vervangen door nieuwe code die is aangepast aan de omgeving waarin de malware is terechtgekomen. ‘Het opzetten van zo’n aanval is zeer arbeidsintensief’, zegt Dekyvere nog. Je hebt er een team voor nodig van specialisten op verschillende domeinen. Het is dan ook een dure aanvalsmethode, die je alleen toepast als het doelwit die inspanning echt waard is.

Eerst probeert de aanvaller vaste voet aan de grond te krijgen in een bedrijf. Hij kan daarvoor gebruik maken van zwakheden in de beveiliging van de computersystemen, maar veel vaker wordt gebruik gemaakt van onvoorzichtigheden van het personeel. Menselijke fouten dus.

Dat zo’n malware twee jaar lang of langer onontdekt blijft, is op zich niet ongewoon, zegt Dekyvere. ‘Uit een studie van Verizon blijkt dat bedrijven gemiddeld pas na 411 dagen ontdekken dat ze zijn gehackt.’ Aanvallen waarbij informatie wordt gestolen, zijn extra moeilijk op te sporen.

Wie zit er achter de aanval? Volgens Dekyvere kan dat in de meeste gevallen niet worden achterhaald, omdat gestolen informatie pas na veel tussenstappen bij de dief terechtkomt. ‘Het verbaast mij dat iemand al na zo weinig tijd stellig beweert dat de NSA hierachter zit’, zegt Dekyvere. ‘Een organisatie als de NSA zou echt niet over één nacht ijs zijn gegaan. Ik kan mij niet indenken dat het spoor zomaar naar hen terugloopt, meestal blijkt dat het spoor ergens verdwijnt.’ Met andere woorden: zekerheid over de oorsprong van de aanval, krijgen we waarschijnlijk nooit. Politici kunnen dus rustig boude uitspraken doen over welke stappen zij zullen ondernemen zodra de daders bekend zijn.