calendar tag arrow download print
Image
Spionage
case
30 april 2019

Cyberaanvallen: dit gebeurt er bij spionage

Cyberspionage
In drie cases laten we zien wat er bij cyberaanvallen gebeurt. We vergelijken ze met conventionele militaire middelen en bekijken de manieren waarop de samenleving zich ertegen kan weren. In deze case: cyberspionage.
Deze case komt uit Cyberspace zonder conflict

We definiëren cyberspionage als het verwerven van inlichtingen door gebruik te maken van digitale technologie. Deze inlichtingenverzameling richt zich grofweg op twee doelen: staatsgeheimen en economische geheimen. Beide vormen van spionage komen in het digitale domein op grote schaal voor.

Het kan voor een staat, en voor de bedrijven verbonden met die staat, interessant zijn om intellectueel eigendom te stelen, zoals een nieuw ontwerp voor een elektrische auto. Net zo goed kan het defensieapparaat van een staat beslag willen leggen op staatsgeheime plannen voor een nieuwe straaljager. Zie het kader hieronder voor een aantal voorbeelden van cyberspionage.

Drie voorbeelden van cyberspionage

Rond 2003 constateerde het Amerikaanse ministerie van Defensie dat er steeds meer aanvallen werden gepleegd op hun netwerken. Deze aanvallen gingen jarenlang door, en werden gezamenlijk ‘Titan Rain’ genoemd. Sommige aanvallen zouden de netwerken hebben gepenetreerd, maar het is onduidelijk wat voor spionage-  en sabotageactiviteiten hebben plaatsgevonden. De Verenigde Staten en het Verenigd Koninkrijk beschuldigden Chinese hackersgroepen.

In 2013 onthulde Edward Snowden de uitvoerige spionageoperaties van het Amerikaanse veiligheidsagentschap NSA. Dat zou in samenwerking met de Britse GCHQ beveiligd verkeer op onder andere Facebook en Gmail inzien, de communicatie van Europese bondgenoten afluisteren en samenwerken met IT-producenten om kwetsbaarheden aan hun producten toe te voegen.

In april 2016 werd het netwerk van het Democratische Nationale Comité gehackt. Dit comité bestuurt de Amerikaanse Democratische Partij. Chatgesprekken werden in de gaten gehouden en e-mails werden gemonitord en gehackt. Later wijzen onder meer de NSA, en de overheidsdiensten FBI en CIA de Russische overheid aan als schuldige. Speciaal aanklager Mueller klaagt op 13 juli 2018 twaalf Russische inlichtingenofficieren aan voor, onder andere, deze hack.

De meeste cyberaanvallen bestaan grofweg uit twee fasen: binnendringen en een actie ondernemen. Eenmaal binnengedrongen zijn er twee acties mogelijk: het uitvoeren van cyberspionage of het uitvoeren van cybersabotage. Cyberspionage lijkt op een verkenningsvliegtuig: het vliegtuig moet eerst het vijandelijk territorium binnendringen, en vervolgens wordt informatie ingewonnen. Cybersabotage is te vergelijken met een bommenwerper: het vliegtuig moet wederom eerst het vijandelijk territorium binnendringen, en levert vervolgens een schadelijke lading af. Cybersabotage en cyberspionage vereisen dus voor een deel dezelfde handelingen, maar hebben een ander doel.

Lees verder in de case: Cyberaanvallen: dit gebeurt er bij sabotage

Cyberspionage wordt ingezet bij het binnendringen van informatiesystemen waartoe een actor geen reguliere toegang heeft. Hierbij kunnen we onderscheid maken tussen het wel en niet inzetten van software. Organisaties kunnen namelijk ook door oplichterij ofwel social engineering geïnfiltreerd worden: een persoon kan zich bijvoorbeeld voordoen als klant en op een onbewaakt moment achter de computer van een verkoper kruipen, of in een telefoongesprek de inloggegevens van een goedgelovig persoon aftroggelen.

Om deze reden hoort bij cyberveiligheid ook fysieke veiligheid, en is het van groot belang te controleren wie toegang heeft tot computers en welke informatie gedeeld mag worden buiten de organisatie. 

Cyberspionage via phishing, spearphishing en spoofing

Een van de meest voorkomende manieren om digitaal en op afstand in een informatiesysteem in te breken is phishing. Hierbij stuurt men mails naar mensen die personen verleiden op een bepaalde link te drukken of om iemand op te bellen en hun inloggegevens te verstrekken. Soms wordt een bepaalde mail naar een grote hoeveelheid mailadressen gestuurd – de zogenoemde spam-mail. En soms wordt een mail of een site waarnaar wordt doorverwezen precies op maat gemaakt om een bepaalde persoon te verleiden – dit wordt spearphishing genoemd. Een verwante strategie is spoofing; daarbij lijkt het alsof een mail is verstuurd door een bekende en vertrouwde persoon of organisatie, zoals iemands baas – terwijl dat niet zo is.

Deze strategieën komen veel voor bij bankfraude. Iemand ontvangt bijvoorbeeld een nepmail van de directeur van de bank waarin staat dat er een transactiefout is gevonden en dat klanten moeten inloggen bij de bank. Wie op de link klikt, bereikt vervolgens een nepversie van de banksite, waar gegevens ingevoerd worden. Wanneer de klant dat doet, kan de crimineel vervolgens geld stelen en overmaken naar een derde rekening.

Of het nu gaat over phishing, spearphishing of spoofing, het zijn allemaal pogingen om een persoon ertoe te brengen iets te doen. Als iemand niet op bepaalde links klikt en geen gegevens invoert, komt de inbreker het informatiesysteem van de betreffende persoon niet binnen. Bovendien zijn deze strategieën duidelijk waar te nemen – met zijn mail of zijn belletje heeft de inbreker zich aan zijn slachtoffer gepresenteerd.

Cyberspionage via zero days exploits

De technologie om op de meest onopvallende manier ergens binnen te dringen, maakt gebruik van zogeheten zero days exploits. Dit zijn nog niet bekende kwetsbaarheden in de broncode van software van bijvoorbeeld Windows, Android of een wifi-installatie.

De term zero day slaat op het feit dat de softwarefabrikant niet weet van de kwetsbaarheid en nog geen enkele dag (nul dagen) de gelegenheid heeft gehad om de kwetsbaarheid in zijn programmacode te repareren. Vanaf het ontdekken van de fout geldt de kwetsbaarheid dus technisch gezien niet langer als een zero day.

Toch blijven bekende kwetsbaarheden veel langer bruikbaar, omdat het even kan duren voordat een producent door middel van een stukje software (patch) een kwetsbaarheid heeft verholpen, en ook omdat oudere systemen soms slecht of zelfs niet actueel worden gehouden. Bovendien krijgen bij bekendmaking ook andere kwaadwillende partijen kennis van een kwetsbaarheid. Sommige auteurs beweren daarom dat na bekendmaking het misbruik van zero days toeneemt, omdat meer actoren aanvallen kunnen plegen op systemen die niet voldoende geactualiseerd zijn.

Zero days zijn uitermate geschikt voor spionagedoeleinden: als het slachtoffer niet weet van de zero day, dan glipt de spion ongezien een systeem binnen, en kan hij misschien wel maandenlang – of jarenlang – relevante activiteiten in de gaten houden.

Cyberspionage via hardware

Ten slotte kan iemand ook via hardware een systeem binnendringen: bijvoorbeeld door een geïnfecteerde usb-stick in een apparaat te steken, of door al bij het produceren van een computer of een router een spionageonderdeel in te bouwen.

Vaak gaat het om een combinatie van verschillende technologieën

Samengevat zijn er dus vele manieren om een systeem binnen te dringen, die in combinatie kunnen worden ingezet. Bij de infiltratie van de uraniumverrijkingsinstallatie in de Iraanse plaats Natanz werd bijvoorbeeld een virus een afgesloten netwerk binnengesmokkeld door een persoon met een geïnfecteerde usb-stick met daarop enkele zero days. Ook kan eerst een relatief goedkope phishing-aanval uitgeprobeerd worden, voordat duurdere zero days worden overwogen.

Bovendien zijn spionageoperaties vaak getrapt. Eerst dringt iemand bijvoorbeeld een zwak beveiligde gebruikersaccount binnen, van een persoon die binnen het informatiesysteem weinig bevoegdheden en rechten heeft – en voor wie dus lang niet alle informatie en functies toegankelijk zijn. Vervolgens probeert de inbreker via deze eerste account meer rechten te verkrijgen, bijvoorbeeld door in te breken op de account van een systeembeheerder of administrator. Zo probeert de inbreker stap voor stap het informatiesysteem bloot te leggen, en gebruikt hij verschillende strategieën om zijn einddoel te bereiken.

Vergelijking met conventionele spionage

Digitale spionage is ten opzichte van conventionele spionage om allerlei redenen aantrekkelijk. Met een klik op de knop kunnen enorme bestanden ineens van de ene naar de andere kant van de wereld verplaatst worden, in plaats van dat heimelijk met allerlei dossiers gesjouwd moet worden. Bovendien kan een cyberspion vanachter zijn computer in korte tijd in verschillende landen proberen in te breken.

Digitale spionage is dus veel efficiënter. Als de digitale spion zijn werk goed doet, kan het jaren duren voordat een bepaalde overheidsdienst doorheeft dat het in de gaten is gehouden, of dat er documenten zijn ingezien. Dit is ook wat inlichtingendiensten nastreven: een structurele en verborgen toegang tot de geheimen van de tegenstander. Om die toegang te vergemakkelijken kunnen cyberspionnen, eenmaal in het systeem, ook achterdeurtjes in de beveiligingsmuur inbouwen. Op dit punt wordt cyberspionage duidelijk schadelijk, aangezien de veiligheid van het gehele systeem door middel van achterdeurtjes wordt verzwakt.

Maar het grootste verschil tussen digitale en conventionele spionage ligt in de relatieve veiligheid van cyberspionage voor spionnen. We kennen allemaal de spannende verhalen over spionnen die altijd bang zijn ontdekt te worden en enorme risico’s lopen. Zo bang hoeven cyberspionnen niet te zijn. Hoewel voor sommige vormen van cyberspionage een organisatie ook fysiek geïnfiltreerd moet worden, kan elke met het internet verbonden computer op grote afstand gehackt worden. Dit maakt rondneuzen een heel stuk minder riskant voor de cyberspion – de kans op vervolging is klein als de spionage plaatsvindt onder de bescherming en vanuit het territorium van een andere staat. Daarbij is het soms moeilijk aan te wijzen wie een cyberaanval heeft gepleegd. Dit wordt het attributieprobleem genoemd. Aanvallers kunnen bijvoorbeeld een andere computer, of zelfs een serie van computers hacken, en hun aanvallen vanuit die computers lanceren. Zo kan een spoor ontstaan dat door verschillende staten loopt, en dat soms alleen met medewerking van al die staten gevolgd kan worden.

Dit gebrek aan risico’s heeft ongetwijfeld te maken met de schaal van cyberspionage. In veel staten wordt met regelmaat geprobeerd belangrijke overheidssystemen binnen te dringen. Het karakter van cyberspionage kan daarom tegelijkertijd heimelijk en brutaal zijn: bedrijven en overheden weten niet precies wie ze aanvalt, maar kunnen, zeker bij minder verfijnde aanvallen, wel doorhebben dat er vele spionagepogingen worden ondernomen. Cyberspionage is daarom veelal zichtbaarder dan het traditionele schaduwspel tussen geheime diensten en spionnen.

Weerbaarheid

Overheden, bedrijven, maatschappelijke organisaties en burgers proberen spionagepogingen natuurlijk te stoppen. Maar dat is moeilijk. Een infiltrant heeft meestal slechts een enkele fout of zwakke plek nodig om te infiltreren, terwijl een aangevallen organisatie tegelijkertijd heel veel goed moet doen.

Als bijvoorbeeld een gebruiker in een organisatie van honderden medewerkers in een onbezonnen moment op een link in een phishing-mail klikt, sluipt de malware het netwerk al binnen. Bovendien kan de aanvaller met behulp van een zero day allerlei beveiligingen, zoals firewall-software, omzeilen. Sommige experts stellen daarom dat alle digitale netwerken in principe te infiltreren zijn.

Toch zijn veiligheidsmaatregelen wel zinvol. Een versleutelde connectie waarvoor alleen een wachtwoord nodig is, is gemakkelijker te hacken dan versleuteling met twee-factorauthenticatie, die bijvoorbeeld ook een scan van een vingerafdruk omvat. Ook maakt het bouwen van beveiligingsmuren tussen delen van een digitaal systeem (segmentatie) infiltratiepogingen niet onmogelijk, maar wel veel moeilijker.

Het is bovendien belangrijk om te wijzen op het verschil in verfijndheid en expertise tussen de ene en de andere cyberaanval. Phishing-mails kunnen overtuigend zijn gemaakt, of juist knullig en gemakkelijk te herkennen. En het is voor een cyberaanvaller gemakkelijker om een phishing-mail te sturen dan om zero days in handen te krijgen – die zijn zeldzaam en zeer waardevol. Zerodium, een informatieveiligheidsbedrijf dat kennis over kwetsbaarheden doorverkoopt aan bedrijven en overheden, betaalt bijvoorbeeld tot anderhalf miljoen dollar voor sommige kwetsbaarheden in het besturingssysteem van de iPhone. Goede weerbaarheidsmaatregelen, zoals het maken van back-ups en het gebruiken van sterke wachtwoorden, beschermen wellicht niet tegen de meest geavanceerde aanvallen, maar zullen een groot deel van relatief simpele aanvallen wel afslaan. 

Uiteindelijk kan de verhouding tussen cyberaanvallers en verdedigers het beste gekarakteriseerd worden als een race, waarin, tenminste op dit moment, de aanvallers in het voordeel lijken te zijn. Zij kunnen vaak zonder repercussies aanvallen uitvoeren, en ze hoeven slechts enkele zwakke plekken uit te buiten. Tegelijkertijd zijn er veiligheidssystemen, zoals het besturingssysteem van de iPhone, die zeer moeilijk gehackt kunnen worden. Maar de race heeft geen finish: betrouwbare veiligheidssystemen worden op den duur toch binnengedrongen, wat weer vraagt om nieuwe veiligheidsmaatregelen.

Deze case komt uit Cyberspace zonder conflict