AI: Next step in Cybersecurity

Kunstmatige Intelligentie (of Artificial Intelligence, AI) is ‘the next big thing’ in het IT-domein. De techniek zal echter niet alleen voor ‘the good cause’ worden ingezet. Wat kan er gebeuren als AI in handen komt van minder ethische figuren?

Bij Kunstmatige Intelligentie en (de subset) Machine Learning denken we snel aan zelfrijdende auto’s van Waymo (Google) of AutoPilot (Tesla) en niet direct aan je eigen smartphone. Maar vele applicaties op je smartphone maken inmiddels gebruik van deze technologie, zoals:

  • zoekmachines; Search (Google) en Bing (Microsoft) bieden zoekresultaten en aanbevelingen aan op basis van het gebruikersprofiel en zoekhistorie;
  • spraakherkenning; zoals Siri (Apple), Cortana (Microsoft) en Alexa (Amazon) die leveren. De ondersteuning is helaas nog maar in een beperkt aantal talen;
  • gezichtsherkenning; Google en Facebook herkennen (taggen) foto’s waar jij of je vrienden op staan. Daarnaast ‘herkent’ Google het onderwerp waarop vervolgens de foto’s worden gerangschikt.

Meer serieuze toepassingen zijn te vinden in de medische wereld waarbij Watson (IBM) de mens bijstaat in het classificeren van diverse vormen van huidkanker. Daarnaast wordt Watson ook in de game-industrie ingezet en wist het in Amerika het populaire spel Jeopardy te winnen. Grote investeringen zijn altijd te vinden in de wapenindustrie. Deze is al verder dan wij durven te vermoeden. Zo zet ons eigen defensieapparaat al zelfsturende drones en killerrobots in.

Anomaly Detection 2.0
Het zal nog lang duren voordat machines gelijkwaardig zijn aan de mens. Maar als het tot een specifieke taak komt, zijn zij de mens al gepasseerd. Zo is de jaarlijkse strijd tussen mens en IBM’s schaakcomputer Deep Blue vanwege de overmacht van de computer al lang niet spannend meer. Wiskundige algoritmes winnen het van intelligentie.

Ook in cybersecurityland worden Kunstmatige Intelligentie en Machine Learning al breed ingezet. Denk hierbij dan aan diverse mechanismen voor het detecteren van spam, inbraken, fraude, malware en andere onregelmatigheden. Dit laatste is het zoeken naar de digitale speld in de virtuele hooiberg ofwel de afwijking in de big data. Leveranciers zoals Darktrace, Logz, Anodot en Tatvic bieden al oplossingen.

In mijn ogen is dit enkel nog maar een opmaat naar het echte werk. Immers, elke organisatie bestaat uit een enorm arsenaal aan componenten zoals servers, werkstations, smartphones, printers, netwerkswitches, firewalls en ga zo maar verder. Allemaal nodes in het netwerk, of anders bezien sensoren die informatie over gedrag kunnen leveren. Netwerkgedrag, applicatief gedrag, gebruikersgedrag, allemaal data, veel data, big data, de grondstof voor Machine Learning oftewel Anomaly Detection 2.0.

Cybercrime 2.0
Nu is security een oneindig schaakspel waarbij de crimineel met wit speelt en daarmee altijd in het voordeel is om een nieuwe aanval op te zetten. Vervolgens aan zwart de uitdaging deze aanval weer te pareren. Criminelen zullen ook zeker Kunstmatige Intelligentie en machine learning inzetten voor hun onethisch gewin.

Vraag is snel: ja maar hoe dan? Deze vraag is natuurlijk niet makkelijk te beantwoorden. Organisaties en vooral hun medewerkers laten enorm veel sporen achter op het internet. Sporen en dus data die als input gebruikt kunnen worden voor verdere analyse op basis van Machine Learning. Mogelijk is hieruit de beste aanvalsvector te destilleren.

Wake-upcall
Ook criminelen gaan gebruikmaken van Kunstmatige Intelligentie. Mogelijk niet direct de criminele zzp’er maar wel de goed georganiseerde misdaad die hierin kan investeren. Vreemd genoeg schuilt in deze laatste categorie niet het grootste gevaar. Dat komt uit het grijze gebied tussen goed en kwaad. De glijdende schaal naar het onethische. Zo waarschuwen diverse kenners voor de verstrekkende gevolgen:

  • Elon Musk (Tesla): “Kunstmatige Intelligentie is de grootste dreiging voor de mensheid.
  • Stephan Hawkins: “Kunstmatige Intelligentie zal de grootste gebeurtenis in de menselijke geschiedenis zijn maar helaas zou het ook de laatste kunnen zijn.
  • Bill Gates (Microsoft): “Ik denk dat we ons wel zorgen moeten maken om Kunstmatige Intelligentie.

De website ‘Ban Lethal Autonomous Weapons’ gaat nog een stap verder. Zo waarschuwt het voor de reële gevaren. Bij het zien van de film ‘Autonomous Weapons’ is er weinig fantasie nodig om een idee te krijgen van wat er allemaal kan gebeuren als dergelijke technologie in handen komt van minder ethische figuren.

Het is duidelijk dat de behoefte zal verschuiven van programmeurs die een programmeertaal kennen naar data-analisten die algoritmen kennen.

> Dit artikel werd op 17 mei 2018 gepubliceerd op Securityvandaag.nl.

Advertenties
Geplaatst in New Technology, Security | Tags: , | Een reactie plaatsen

Top 5 Cyberarmies

Het cyberdomein wordt door vele landen al lange tijd als het vierde operationele domein beschouwd. Maar door de volstrekte anonimiteit en de mogelijkheid om buiten de eigen staatsgrenzen te kunnen opereren beperkt het zich niet tot enkel defensieve activiteiten. Diverse landen hebben zich inmiddels al schuldig gemaakt aan diefstal, infiltratie, spionage, manipulatie, sabotage en vernielzucht. Dit is te verwachten van landen met een bedenkelijk regiem maar dat ook meer democratische en zelfs bevriende staten hier schuldig aan maken is meer dan bijzonder. De in dit opzicht meest spraakmakende landen en dus met enige regelmaat de wereldpers weten te behalen zijn de Verenigde Staten, Rusland, China, Iran en Noord Korea. Bijzonder aan dit vijftal is dat ze alle vijf een totaal verschillende beweegredenen hiervoor hebben. Misschien niet als zodanig uitgesproken maar kunnen dit wel concluderen als we hun daden op een rijtje zetten.

Rang Land Primaire motivatie
1 Verenigde Staten Staatsveiligheid
2 China Economisch (diefstal van intellectuele eigendommen)
3 Rusland Destabilisatie westerse landen
4 Iran Sjiitisch-soennitisch conflict
5 Noord Korea In oorlog met Zuid Korea

Nr 1: Verenigde Staten
De Verenigde Staten vindt haar motivatie in het altijd maar waarborgen van de binnenlandse veiligheid. De gebeurtenissen op 9/11 schonken haar inlichtingendiensten eindelijk de bevoegdheden waar het al zo lang naar smachtte. 26 oktober 2001 werd de USA PATRIOT Act (en recentelijk nog de CLOUD Act) aangenomen waarmee op grote schaal privacy gevoelige informatie kon worden verzameld en geanalyseerd. Ook werden er diverse cyber eenheden opgericht waaronder bijvoorbeeld het Center for Cyber Intelligence (CCI) welke inmiddels meer dan 5000 manschappen telt. In 2016 produceerden zij al meer softwareregels dan heel Facebook bevat. Uiteindelijk resulteerde dit in meer dan 1000 verschillende soorten vulnerabilities, exploits, trojans, virussen, rootkits en andere malware.
Klokkenluider Edward Snowden beschreef in 2013 al eens waar de Amerikaanse geheime diensten toe in staat waren, maar hard bewijs ontbrak min of meer. Pas nadat een anonieme groep, bekend onder de naam Shadow Brokers in 2016 bekend maakte diverse scripts, tools en kwetsbaarheden van de National Security Agency (NSA) buit te hebben gemaakt en dit ook nog eens openbaar publiceerde, werden verschillende beweringen bekrachtigd. Parallel hieraan was het Russische security bedrijf Kaspersky Labs een goed georganiseerde cybereenheid op het spoor die zij de EquationGroup noemden. Met de publicaties van de Shadow Brokers werd wel duidelijk dat deze EquationGroup deel uitmaakte van de NSA.
Mede dankzij de openbaringen van Snowden is de lijst met cyberactiviteiten omvangrijk geworden. Een klein opsomming:

  • 2009; Afluisteren smartphones buitenlandse politici; samen met de Britse geheime dienst (GCHQ) werd een groot aantal smartphones en Internetverbindingen van buitenlandse politici afgeluisterd. Ook de smartphone van Angela Merkel werd afgeluisterd. Deze daad valt slecht te rijmen met Amerika’s zoektocht naar veiligheid. Als dit een minder bevriende natie zou zijn geweest, zou dit zeker een act of war zijn.
  • 2010; Sabotage Irans nucleaire ontwikkelingen; met behulp van een speciaal daarvoor ontwikkeld virus werden Iraanse uraniumverrijkingscentrales besmet en vernield. Irans nucleaire programma liep hierdoor vele jaren achterstand op. Overigens wordt het virus Stuxnet algemeen beschouwd als het eerste cyberwapen.
  • 2013; Omvangrijk afluisterprogramma; De NSA installeerde backdoors in Google en Facebook waarmee het haar gebruikers kon afluisteren. Diverse landen werden zodoende sinds 2007 afgeluisterd waaronder Iran, Pakistan, Jordanië, Egypte en India. Het programma kreeg de naam Prism en werd bekend door de openbaringen van Edward Snowden.
  • 2013; Omvangrijk infiltratieprogramma; de NSA ontwikkelde een zeer geavanceerd virus genaamd Regin waarmee het een groot aantal bedrijven in verschillende landen besmette. Dankzij de software kon de NSA deze bedrijven afluisteren. Meest spraakmakende slachtoffer waren Belgacom en het iAEA, het Atoomagentschap in Wenen. Maar uiteindelijk verspreidde het spionagevirus zich naast België ook over Rusland, Duitsland en nog een tiental landen. Ook dit programma kwam naar buiten via Snowden’s bekentenissen.
  • 2013; Grootschalig afluisteren buitenlandse internetgebruikers; uiteindelijk verzamelde de NSA zoveel informatie dat zij van elke Internetgebruiker waar ook ter wereld alle communicatie kon inzien. Het programma kreeg de naam Xkeyscore mee.

Nr 2: China
Als we louter kijken naar aantallen is China natuurlijk snel erg groot. Echter China is nog niet heel lang op grote schaal actief in het cyberdomein. Het heeft recent nog haar strategie wereldkundig gemaakt “Building China into a cyber superpower”. China maakt er geen geheim van dat het de toegang tot het Internet zwaar censureert wat resulteert in een bijzonder lage Internet vrijheid. Deze censurering wordt ook wel ‘The Great Firewall‘ genoemd en reikt zelfs buiten de staatsgrenzen. De website van de Dalai Lama heeft dit al verschillende malen mogen ondervinden. Naast censurering richt China zich voornamelijk op activiteiten ten gunste van haar eigen economie door middel van bedrijfsspionage of wel het stelen van ‘intellectual property’. De lijst is inmiddels indrukwekkend.
Unit 61398 van het People Libartion Army (defensie) is de meest bekende cybereenheid en verantwoordelijk voor vele cyberaanvallen. De in 2017 meest actieve eenheid kreeg de naam Stone Panda mee, ook wel bekend als CloudHopper of APT10.

  • 2009; Operation Aurora; een cyberaanval op meer dan 30 organisaties uit verschillende sectoren waaronder Google en Adobe. De aanval was zeer geavanceerd en ondanks dat er nauwelijks details bekend zijn gemaakt was het wel duidelijk dat het hier ging om diefstal van ‘intellectual property’.
  • 2009; Grootschalige spionage programma; diverse ambassades en ministeries in zeker meer dan 100 landen werden het slachtoffer. Het programma kreeg de codenaam GhostNet mee.
  • 2014; Cyberspionage via hotels; bestuurders van organisaties reizen veel en brengen dus veel tijd door in hotels waar zij gebruik maken van de WiFi. Door malware te installeren in de slecht beveiligde infrastructuur van de hotels waren de aanvallers in staat om alle communicatie en informatie van deze bestuurders te stelen. Hotels in diverse landen maar voornamelijk in Japan, Taiwan, China, Rusland, Zuid Korea en Hong Kong waren de dupe van deze doordachte aanval. De cyberaanval kreeg de naam Darkhotel mee.
  • 2015; Diefstal blauwdrukken chiptechnologie (ASML); staatshackers wisten door gebruik te maken van een zero-day in een vpn-verbinding van het Chinese dochterbedrijf Brion Technologies te infiltreren in de Nederlandse chipfabrikant ASML. Wat er daadwerkelijk buit is gemaakt is nooit bekend gemaakt.
  • 2016; Diefstal blauwdrukken defensie materiaal; de lijst is inmiddels lang en indrukwekkend. Blauwdrukken van de Patriot luchtafweerraket, de Black Hawk gevechtshelikopter, de F-18 jachtbommenwerper, de V-22 Osprey tiltrotor-vliegtuig en ga zo maar door. Zo zijn wij nog in afwachting van onze eerste F-35 Joint Strike Fighter (JSF) en hebben zij al een kopie rondvliegen.

Nr 3: Rusland
Rusland is een staat die met enige regelmaat in negatief daglicht staat in westerse media. De oorzaak ligt in het verleden waarbij het communisme loodrecht tegenover het kapitalisme stond, east versus west. Deze houding is vandaag de dag nog steeds waarneembaar zo ook in het cyberdomein. Ruslands primaire motivatie is nog altijd destabilisatie veroorzaken in het westen. Dit doen zij bijvoorbeeld door buitgemaakte belastende informatie openbaar te publiceren of door een tsunami aan nepnieuws te genereren waarmee zij de beeldvorming beïnvloeden. Ondanks het ontbreken van elk bewijs, zal het niemand verbazen dat Rusland ook een groot aandeel zal hebben gehad in de Brexit, de spanningen tussen Nederland en Turkije of zelfs het Catalonië-conflict. In 2017 was Fancy Bear de meest actieve cybereenheid ook wel bekend als Sofacy of APT28.

  • 2007; Cyberaanval op Estland; omdat Estland in 2007 een oorlogsmonument ter nagedachtenis aan de gevallen Russische soldaat tijdens de tweede wereldoorlog wilde verplaatsen opende hackers uit Rusland de aanval. Diverse websites van financiële dienstverleners, overheden, dagbladen en omroeporganisaties waren voor lange tijd onbereikbaar. Na een periode van ontkenning werd vele jaren later de betrokkenheid van de staat toegegeven. De aanval wordt nu gezien als de eerste cyberoorlog.
  • 2008; Cyberaanval op Georgië; Rusland valt Georgië binnen. Voor het eerst in de geschiedenis werd de aanval gelijktijdig opgezet via het land, de zee, in de lucht én het cyberdomein. De toegang tot het Internet was voor lange tijd onmogelijk.
  • 2014 – heden; Diverse cyberaanvallen op Oekraïne; Rusland valt Oekraïne aan via land, zee, lucht en het cyberdomein. Toegang tot het Internet werd onmogelijk door middel van een DDoS-aanval welke 32 maal groter was dan de aanval op Georgië. Tijdens de verkiezingen werden ter ondersteuning van de pro-Russische kandidaat diverse computersystemen t.b.v. de verkiezingen onbruikbaar gemaakt. Later werd een cyberaanval uitgevoerd op een Oekraïense energiecentrale waardoor 235.000 huishoudens zonder stroom kwamen te zitten.
  • 2016; Manipulatie Amerikaanse verkiezingen; gigabytes aan belastende emails en andere informatie werden buit gemaakt en op Wikileaks gepubliceerd. Daarnaast werd een groot aantal identiteiten op sociale media waaronder Facebook aangemaakt en advertenties via Google geplaatst. Via deze identiteiten en advertenties creëerden ze een tsunami aan nepnieuws allemaal bedoeld om de verkiezingen te manipuleren. Recentelijk werd duidelijk dat Nederland een cruciale rol heeft gespeeld in de bewijsvoering.
  • 2017; Manipulatie Duitse verkiezingen; door infiltratie in het computernetwerk van de Bundestag en de CDU (partij van Bondskanselier Angela Merkel) en daarnaast de verspreiding van nepnieuws werd getracht het imago van de zittende Bondskanselier Angela Merkel te beschadigen ten einde de verkiezingen te kunnen manipuleren.

Nr 4: Iran
Het cybervirus Stuxnet maakte een hardhandig einde aan Irans nucleaire inspiraties. Maar geïmponeerd en mogelijk geïnspireerd door de destructieve kracht van het cybervirus, werd dit onbedoeld het startschot voor Iran om zwaar te investeren in haar cyberleger (enkel in 2017 al meer dan $100 miljoen). Iran is hoofdrolspeler in het sjiitisch-soennitisch conflict en staat daarmee loodrecht tegenover Saoedi-Arabië. De motivatie van het Iraanse cyberleger ligt voor de hand, het zal een fundamentele bijdrage moeten leveren in dit conflict. In deze strijd richt het zich voornamelijk op vitale infrastructuren zoals gas, water, licht maar ook de financiële sector. Saoedi-Arabië en de daaraan gelinieerde naties, waaronder de Verenigde Staten zijn hier regelmatig de dupe van wat ook blijkt uit een publicatie van Recorded Future.
De verschillende cybereenheden geven zichzelf veelal fantasievolle namen zoals SOBH Cyber Jihad, Cutting Sword of Justice, Cyber Fighters of Izz Ad-Din Al Qassam of Syrian Electronic Army. In 2017 was de meest actieve cybereenheid Oilrig.

  • 2011; Cyberinbraak DigiNotar; een hacker die zich Comodohacker noemde (verwijzing naar zijn vorige daad) wist te infiltreren in de Nederlandse certificatenbakker en maakte diverse certificaten buit. Deze certificaten werden ingezet bij het afluisteren van verschillende geheime diensten waaronder CIA, MI6 en de Mossad via sociale netwerkdiensten als Gmail, Twitter en Facebook.
  • 2012; Cyberaanval op Saudi Aramco en Rasgas; door middel van een “spear-phishing” aanval wisten hackers die zich Cutting Sword of Justice noemden meer dan 30.000 computers te besmetten met het Shamoon-virus. Hierdoor werden Saoedi’s oliemaatschappijen Saudi Aramco en Rasgas voor weken plat gelegd.
  • 2012; Cyberaanval op olieplatform; een groep die zich later OilRig noemden wisten te infiltreren in een olieplatform en maakte het onbruikbaar door simpelweg een poot in te trekken waardoor het omviel.
  • 2011 – 2013; DDoS-aanval op Amerika’s financiële sector; bedrijven als New York Stock Exchange, SunTrust, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, HSBC en BB&T waren het slachtoffer. Dit zogenaamd als vergeldingsactie voor de beledigende video van de profeet Mohammed op YouTube. De aanval kreeg de geuze naam Operation Ababil mee en werd geclaimed door de Cyber Fighters of Izz Ad-Din Al Qassam. Nu jaren later weten we dat Iran achter deze aanval zat en staan de hoofdverdachten zelfs met naam en afbeelding op de Most Wanted website van de FBI.
  • 2013; Sabotage stuwdam New York; een groep hackers die zich SOBH Cyber Jihad noemden wisten zich toegang te verschaffen tot de stuwdam Bowman Avenue Dam in Rye Brook, New York. Gelukkig werkte de sluizen niet helemaal meer waardoor de aanval beperkt bleef. De schade was niet te overzien als dit niet het geval was immers de dam grensde aan de buitenwijken van New York.
  • 2016; Cyberaanval op Saoedi-Arabië; een reeks cyberaanvallen op Saoedisch vitale en economische sector. Er werd gebruik gemaakt van een aangepaste versie van het eerder gebruikte Shamoon (2.0) virus ook wel StoneDrill genoemd.

Nr 5: Noord Korea
Noord Korea is de meest opzienbarende in deze lijst. Niet gezien haar agressieve houding maar haar Internetdichtheid welke amper 10% is. Gedreven door een minderwaardigheidscomplex zijn ze naarstig opzoek naar een manier om de wereld te imponeren. Zij denken deze gevonden te hebben in haar nucleaire mogelijkheden (helaas met Nederlandse betrokkenheid) en cyberpower. Dankzij verschillende dissidenten weten we inmiddels dat het cyberleger ruim 6000 manschappen telt. Door de beperkte Internettoegang wordt het land gedwongen om cyberactiviteiten buiten haar staatsgrenzen uit te voeren. Hiervoor wordt een grensprovincie in China veelvuldig voor misbruikt. Omdat het land in feite in constante oorlog is met haar buurland Zuid Korea ondervindt Zuid Korea vrijwel dagelijks de negatieve gevolgen van dit cyberleger. Websites van financiële dienstverleners, overheidsinstanties en nutsbedrijven zijn met enige regelmaat het slachtoffer van cyberaanvallen.
Diverse legereenheden hebben een eigen cybereenheid. Zo kennen we de units 91, 121 en 180 maar bekender zijn de namen DarkSeoul, HiddenCobra, Guardians of Peace en de Lazarus Group. Deze laatste was in 2017 het meest actief.

  • 2006-2013; Eindeloze reeks cyberaanvallen op Zuid Korea; overheidsinstanties, financiële dienstverleners, militaire eenheden en ga zo maar door werden getroffen door diverse DDoS-aanvallen. De aanvallen werden geclaimd door de eenheden Unit 121 en DarkSeoul. De aanvallen vielen soms samen met feestdagen zoals onder andere 4 juli, USA’s Independence Day.
  • 2014; Cyberaanval op Sony Pictures Entertainment; een groep die zich Guardians of Peace (GoP) noemden infiltreerden in de organisatie. Naast dat ze gevoelige informatie buit maakten en later ook publiceerden, besmette ze de organisatie met een virus die werkstations en server onbruikbaar maakten.
  • 2016; Inbraak Bangladesh Bank; na een zeer geavanceerde infiltratie probeerden criminelen $951 miljoen via het SWIFT systeem over te maken. Een oplettende bankmedewerker zag een tikfout in de opdracht en hield de transactie tegen, waardoor de diefstal ‘beperkt’ werd tot $81 miljoen.
  • 2017; Verspreiding ransomware WannaCry; de cryptoworm WannaCry ging de wereld rond en besmette vele organisaties waaronder Renault, Deutsche Bahn, Hitachi, FedEx en de Britse National Health Service. Er werd gebruik gemaakt van een kwetsbaarheid (EternalBlue) die jaren lang ook misbruikt werd door de NSA en gepubliceerd werd door de Shadow Brokers.

Noord Korea tekende in 2012 een overeenkomst met Iran waarin beider landen verklaarden te zullen samenwerken in het virtuele domein. Deze samenwerking kwam al tot uiting bij de aanval op Sony Pictures Entertainment waarbij een variant van het Shamoon-virus werd gebruikt. Het virus dat Iran gebruikte voor haar aanval op Saudi Aramco.
Attribution
Niets is zo moeilijk als een cyberdaad toeschrijven (attribution) aan een dader, een eenheid of zelfs een heel land. Zo niet haast onmogelijk vanwege de anonimiteit maar bovenal de mogelijkheid om activiteiten vanuit een totaal ander land uit te voeren waardoor herleidbaarheid weinig zinvol wordt. Daarentegen toch weer niet helemaal onmogelijk omdat de sporen van een aanval vaker worden gebruikt. Zo wordt het succesvolle wiper-virus met enige regelmaat gebruikt door zowel Iran als Noord Korea.

Zie ook mijn anders blogs over dit onderwerp:

Geplaatst in Cyberwarfare, Security | Tags: , , , , , , , , , , | Een reactie plaatsen

NL under Russian attack?

Donderdag 25 januari maakte de NOS bekend dat de Nederlandse inlichtingendiensten de FBI cruciale informatie gaf over de manipulatie van de Russische cybereenheid Cozy Bear in de Amerikaanse verkiezingen. Nog geen drie dagen later worden ABN AMRO, ING, Rabobank, iDeal, DigiD en de Belastingdienst door DDoS-aanvallen slecht bereikbaar gemaakt. Heeft het een met het ander te maken? Is hier sprake van een vergeldingsactie, immers de Russen niet vreemd? De link is snel gelegd ondanks dat elk bewijs ontbreekt.

Een kleine opsomming van vergeldingsacties die min of meer te herleiden zijn naar Rusland:

  • April – mei 2007; Estland besluit een oorlogsmonument ter nagedachtenis van de gevallen Russische soldaat uit de tweede wereld oorlog te verplaatsen. Rusland voert ter vergelding een cyberaanval uit. Diverse financiële dienstverleners en overheidswebsites waren voor lange tijd onbenaderbaar.
  • Juni 2008; Litouwse regering besluit de Russische symbolen te verwijderen uit hun schrijftaal. Rusland reageert hierop met verminkingen (defacing) van verschillende overheidswebsites.
  • April 2009; Nadat de president van Kirgizië zich negatief uitliet over Rusland werden diverse websites van Kirgizische media aangevallen.
  • Oktober 2015; Het MH17 onderzoek werd belastend voor Rusland en pro-Russische rebellen in Oekraïne. Ruslands reactie was een infiltratie in computersystemen van de Nederlandse overheid.

Overigens is het toewijzen van een cyberdaad (attribution) aan een persoon, eenheid of zelfs een heel land haast onmogelijk. Maar de vraag die we ons wel kunnen stellen:

Welke partij heeft bij deze DDoS-aanvallen het meeste voordeel bij?

LATEST NEWS: Inmiddels heeft de politie op haar website bekend gemaakt dat een 18-jarige Oosterhouder is aangehouden op verdenking van het uitvoeren van meerdere DDoS-aanvallen op de Belastingdienst, de Bunq bank, internetsite Tweakers en internetaanbieder Tweak.

Zie ook mijn andere blogs over cyberwarfare: deel 4: Irandeel 3: Russia, deel 2: Noord Korea en deel 1: Estland. 

Geplaatst in Cyberwarfare, Security | Tags: , , | Een reactie plaatsen

Cyberwar has started (part 4: Iran)

Iran is nummer 4 op de cyberleger ranglijst. Opmerkelijk aangezien Iran een Internetdichtheid kent van nauwelijks 40%Deze plaats is, hoe vreemd het ook moge klinken grotendeels te danken aan de Stuxnet aanval uit 2011. Weinigen onder ons zullen zich om deze informatie druk maken, maar de vraag is of dat wel helemaal terecht is, immers de hack op Diginotar was een Iraanse daad zo weten we nu.

Algemeen
Iran is verwikkeld in het Sjiitisch-Soennitisch conflicten (ook wel Perzisch-Arabisch conflict genoemd) en staat daarin loodrecht tegenover aartsvijand Saoedi-Arabië. Dit conflict wordt al lange tijd op de grond uitgevochten in landen als Afghanistan, Irak, Syrië, Libië en Yemen en heten de strijdende partijen ISIS, Al Qaida, Taliban en anderen. 4 november 2017 werd nog vanuit Yemen een raketaanval uitgevoerd op de Saudische hoofdstad Riyad door sjiitische Houthi-rebellen. Saudi-Arabië reageerde hierop door de havens en vliegvelden in Yemen te sluiten en voerde ook een serie bombardementen uit op de hoofdstad van Yemen, Sanaa.

Het kunnen beschikken van atoomwapens wordt voor strijdende partijen nog altijd gezien als de overtreffende trap. Saoedi-Arabië is zeer goed bevriend met de kernmacht, de Verenigde Staten. Iran heeft daarom al lange tijd een atoomwapen op haar bucketlist staan. Via Abdul Qadir Khan (en daarmee Nederlandse betrokkenheid) verschaften zij zich de kennis.

Dankzij Abdul Qadir Khan (en dus Nederlandse betrokkenheid) beschikt Iran over nucleaire kennis.

En via uraniumverrijkingsinstallaties beschikken zij inmiddels ook over de noodzakelijke grondstoffen. Totdat Israël en de Verenigde Staten via een cyberwapen genaamd Stuxnet hier hardhandig een einde aan maakten.

Stuxnet was onbedoeld het startschot voor Iran om zwaar te investeren in haar cyberleger.

Geïmponeerd door de destructieve kracht van het cybervirus, was dit (onbedoeld) het startschot voor Iran om zwaar te gaan investeren in haar cyberleger (enkel in 2017 al meer dan $100 miljoen). Een nucleair akkoord met de Verenigde Naties was snel gemaakt en daarmee de sancties opgeheven.

Motivatie
De motivatie van het Iraanse cyberleger ligt voor de hand, het zal een fundamentele bijdrage moeten leveren in het Sjiitisch-Soennitisch conflict. In deze strijd richt het zich voornamelijk op vitale infrastructuren (gas, water, licht en het financiële circuit). Saoedi-Arabië en bevriende naties, waaronder de Verenigde Staten zijn hier regelmatig de dupe van wat ook blijkt uit een publicatie van RecordedFuture.

Nederlandse betrokkenheid
Nu ligt Nederland niet direct in de dangerzone maar kan wel de dupe worden van collateral damage, zoals dat in 2011 al eens gebeurde bij de Diginotar hack. Dit zal anders worden zodra Nederland prominenter kiest voor het Soennitische kamp.

Bondgenoten
Naast de andere Sjiitische landen zoals Azerbeidzjan, Bahrein en Irak en minderheden in Pakistan, India, Libanon, Jemen, Syrië, Afghanistan en diverse Golfstaten, is Iran ook bondgenoot van schurkenstaat Noord Korea. Kenmerkend voor bondgenoten is dat zij informatie met elkaar delen, zo ook cyber en nucleaire kennis. Noord Korea heeft bij cyberaanval op Sony (en daarmee de Verenigde staten) gebruik gemaakt van het Wiper-virus, het virus das ook is gebruikt bij Iran’s aanval op Saudi Aramco uit 2012 (Wiper-broncode uit het Shamoon-virus).

Acts of war
De lijst met cyberaanvallen is inmiddels omvangrijk. Een eerste inventarisatie is gedaan door het Security bedrijf Cylance, te lezen in het rapport Operation Cleaver. De meest spraakmakende cyberaanvallen zijn afgebeeld in timeline van Cylance.

 

 

 

 

 

Een kleine opsomming:

Datum Gebeurtenis
juni 2011 DigiNotar werd slachtoffer van een cyberinbraak. Er werden certificaten gestolen waarmee diverse sociale netwerkdiensten als Gmail, Twitter, Facebook en de geheime diensten als de CIA, MI6 en Mossad mee afgeluisterd werden. De hacker noemde zich Comodohacker vernoemd naar zijn voorlaatste slachtoffer Comodo. Beiden commerciële leveranciers van digitale certificaten. Door aantoonbare nalatigheid werd dit het einde voor DigiNotar. Comodo is nog altijd een vertrouwde speler in deze markt.
15 augustus 2012 Een “spear-phishing” aanval richtte enorme schade aan bij één van Saoedi’s grootste oliemaatschappijen Saudi Aramco. Meer dan 30.000 computers raakten besmet met het Shamoon virus. Later werd ook de oliemaatschappij RasGas getroffen.
2012 Een groep die zich later OilRig noemden infiltreerden in een olieplatform en maakte het onbruikbaar door simpelweg een poot in te trekken.
Tussen 2011 en 2013 De financiële sector van de Verenigde Staten getroffen door verschillende DDoS-aanvallen. Bedrijven als New York Stock Exchange, SunTrust, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, HSBC en BB&T waren het slachtoffer. Dit zogenaamd als vergeldingsactie voor de beledigende video van de profeet Mohammed op YouTube. De aanval kreeg de geuze naam Operation Ababil mee en werd geclaimed door de Cyber fighters of Izz Ad-Din Al Qassam. Nu jaren later weten we dat Iran achter deze aanval zat en staan de hoofdverdachten zelfs met naam en afbeelding op de Most Wanted website van de FBI.
2013 Een groep hackers die zich SOBH Cyber Jihad noemden wisten zich toegang te verschaffen tot de stuwdam Bowman Avenue Dam in Rye Brook, New York. Gelukkig werkte de sluizen niet helemaal meer waardoor de aanval beperkt bleef. De schade was niet te overzien als dit niet het geval was immers de dam grensde aan de buitenwijken van New York.
april 2013 Een groep genaamd Syrian Electronic Army hackte het Twitter account van de Associated Press en publiceerde nepnieuws waardoor de Dow Jones Industrial 150 punten daalden en hierdoor $136 miljard aan waarde verloor.
2016 Cybercriminelen met de naam OilRig verkregen d.m.v. nepberichten op Facebook toegang tot een beheerdersaccount van Deloitte waardoor zij uiteindelijk in handen kwamen van vele klantgegevens.

Structure of Iranians Cyberforces
Net als elk ander land maakt Iran onderscheid tussen binnenlandse en buitenlandse cyberdomein. Het Committee for Identifying Unauthorized Sites en de FETA, de Iraanse politie neemt het binnenlandse cyberdomein voor haar rekening. Het buitenlandse werkdomein kent natuurlijk een puur defensieve instelling. Defensieve taken worden uitgevoerd door het Cyber Defense Commandwelke deel uitmaakt van het Passive Defensive Organization onder aansturing van het hoogste orgaan de General Staff of the Armed Forces. Offensieve taken worden uitgevoerd door de Iranian Revolutionary Guard Corps (IRGC)Diverse taken worden uitgevoerd door het Basij Cyberspace Council (eenheid opgericht door de grote leider Ayatollah Khamenei), deze richt zich voornamelijk op buitenlandse propaganda en het opleiden van cyberspecialisten. Basij wordt gezien als de morele politie. Andere belangrijke eenheid is het Quds Force (ook wel Jerusalem Force genoemd) welke zich voornamelijk richt op buitenlandse doelen.

De werkelijke betrokkenheid (attribution) is altijd moeilijk aan te tonen omdat activiteiten in het cyberdomein veelal anoniem van aard zijn en vaak opgezet worden vanuit een ander land. Maar inmiddels kennen we de volgende groeperingen met vele uiteenlopende aliassen:

  • Iranian Cyber Army (ICA),
  • Ashiyane Digital Security Team,
  • OilRig,
  • APT33,
  • Rocket Kitten, Charming Kitten (aka Newscaster and NewsBeef) en CopyKittens,
  • Cobalt Gypsy (Magic Hound),
  • TG-2889,
  • ComodoHacker,
  • SOBH Cyber Jihad,
  • Syrian Electronic Army,
  • Cyber fighters of Izz Ad-Din Al Qassam,
  • Parastoo

Zie ook:
The Cold Cyberwar has started (part 3: Russia)
Airlines got hacked?
Cyberwar has started (part 2: Noord Korea)
Cyberwar has started (part 1)

Geplaatst in Cyberwarfare, Security | Tags: , , , | 2 reacties

Backdoors for sale

De Amerikaanse overheid weert antivirus van Kaspersky op verdenking van misbruik door Russische inlichtingendiensten. Backdoors, toch niet een onbekend fenomeen voor de Amerikaanse inlichtingendienst.

Kaspersky backdoor
Israëlische inlichtingendienst beweerden dat Russische overheidshackers misbruik maakten van Kaspersky anti-virus software om zodoende via een backdoor toegang te krijgen tot Amerikaanse overheidsinstellingen.

RSA backdoor
December 2013 werd bekend gemaakt dat RSA, marktleider op security gebied in opdracht van de NSA een backdoor in haar product Bsafe had gebouwd. Als gevolg hiervan gaf Mikko Hypponen, Chief Research Officer van F-Secure, te kennen niet te zullen spreken op het jaarlijkse RSA-congres. Later bleek zelfs dat RSA dit niet deed uit staatsbelang of governmental pressure maar gewoon voor geld, namelijk $10 miljoen.

TrueCrypt backdoor

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Zo is sinds mei 2014 te lezen. TrueCrypt stopte abrupt met haar product. De werkelijke reden is tot de dag van vandaag nog altijd onbekend. Omdat voor deze functionaliteit werd verwezen naar een concurrerend commercieel product (Microsoft Bitlocker) was dit olie op het speculatievuur. Een van de reden zou kunnen zijn dat de makers van TrueCrypt er achter kwamen dat de Amerikaanse inlichtingendienst te diep geïnfiltreerd zat in hun product en ontwikkeling van het product en ze maar besloten er abrupt mee te stoppen.

CCleaner backdoor
Een gratis product voor de opschoning van je Windows systeem. Recent nog overgenomen door Avast. Echter op 13 september 2017 maakte Cisco Talos bekend dat zij een backdoor in het programma hadden ontdekt.

OnePlus smartphone backdoor
En recentelijk (13november 2017) ontdekte een ontwikkelaar een backdoor in de smartphones van OnePlus. De backdoor zat in een app die geleverd werd door Qualcomm en was bedoeld voor testdoeleinden maar helaas nooit meer verwijderd.

… en andere producten?
Het zou haast naïef zijn te denken dat er niet meer producten backdoors bevatten welke misbruikt worden door inlichtingendiensten dan wel cybercriminelen, sterker nog het zal vaker voorkomen dan dat wij eenvoudige Internetgebruikers maar durven te vermoeden.

Geplaatst in Security | Tags: , , , | 2 reacties

Nederlandse betrokkenheid ontwikkeling Noord Koreaanse kernwapens

Noord Korea koketteert met haar kernwapens en provoceert de wereld met enige regelmaat. Naast de regionale dreiging is het probleem veel groter immers bevriende staten delen informatie met elkaar en dus zal deze Noord Koreaanse kennis en kunde zeker gedeeld worden met andere schurkenstaten zoals bijvoorbeeld Iran.

De atoomkennis van Noord Korea zal gedeeld worden met Iran

BFF, best friends forever
Dat Noord Korea en Iran elkaar helpen bleek wel uit een recent door FireEye gepubliceerd onderzoek naar de activiteiten van een Iraanse hackergroep met de codenaam APT33. Deze groep wordt verantwoordelijk gehouden voor diverse cyberaanvallen op Zuid Koreaanse bedrijven waaronder een olie raffinaderij eind 2016 begin 2017.

Iran helpt Korea in cyberspace

Iran
Noord en Zuid Korea verkeren nog altijd in staat van oorlog. Iran daarentegen is de hoofdrolspeler in het Sjiitisch-Soennitisch conflict en staat het daarin loodrecht tegenover Saoudi-Arabië. Dit uit zich door bemoeienis in de gevechten in Irak en Syrië. Minder zichtbaar zijn de onophoudelijke cyberaanvallen op aartsvijand nummero een: Saoedi-Arabië.

Nederlandse betrokkenheid
In de jaren ’70 studeerde Abdul Quadir Khan kernfysica in Delft. Hierdoor verkreeg hij de kennis om een atoombom te maken. In 1975 kwam hij niet meer terug van zijn vakantie naar Pakistan. Khan maakte van Pakistan een kernmacht. Later (2004) bleek dat hij de informatie doorverkocht had aan schurkenstaten zoals Libië, Iran en …. Noord Korea.

Abdul Quadir Khan verkocht informatie aan Noord Korea

Ranking the cyberforces
Zowel Iran als Noord Korea profileren zich stevig in het virtuele domein. Als we kijken naar de omvang van hun cyberleger en executiekracht worden ze geplaatst op de respectievelijk vierde en vijfde plaats wereldwijd.

Iran is 4 en Noord Korea 5 op de cyber wereldranglijst

Geplaatst in Cyberwarfare, Security | Tags: , , | 4 reacties

De ransomware industrie

Ransomware (gijzelsoftware) haalt de voorpagina, eerst met WannaCry nu met Petya. Het einde is nog lang niet in zicht immers het is een té goed verdienmodel en bovenal krachtig instrument waardoor deze ‘industrie’ zich telkens weer zal aanpassen. Van het gijzelen van één enkel systeem tot het gijzelen van totale organisaties.

Ransomware timeline
F-Secure heeft een timeline gepubliceerd. Zeer opvallend is de explosieve groei in het aantal varianten de laatste jaren maar in het bijzonder de laatste maanden. Dit maakt duidelijk dat er goed geld aan verdiend wordt. Het kan niet anders zijn dat deze onethische functionaliteit blijkbaar een goed verdienmodel is en dat er inmiddels sprake is van een ware ‘industrie‘.
Het aantal varianten ontstaan doordat de ransomware gedetecteerd wordt en als gevolg daarvan de crimineel het aanpast. Maar daarnaast ook dat criminelen niet de aandacht willen trekken van de internationale opsporingsdiensten en daarom hun campagnes klein houden.

Criminelen ontlopen internationale opsporingsdiensten door het klein houden van haar campagnes

Waarschuwing NCSC
Het NSCS heeft eind vorig jaar al gewaarschuwd voor deze explosieve toename in haar meest recente publicatie. Citaat:

Ransomware is gemeengoed en is nog geavanceerder geworden
Het gebruik van ransomware door criminelen is het afgelopen jaar gemeengoed geworden.
Besmettingen zijn aan de orde van de dag en raken de gehele samenleving.
Waar in het verleden dezelfde prijs betaald moest worden per besmetting,
wordt nu een prijs bepaald aan de hand van het type getroffen organisatie.
Bovendien is de malware zelf verfijnder: naast bestanden op de lokale schijf worden
tegenwoordig ook databases, back-ups en bestanden op netwerkschijven versleuteld.

Ransomware versus GDPR
In mei 2018 zal de Europese wetgeving (GDPR) kracht worden bijgezet. Gevolg hiervan is dat organisaties boetes kunnen krijgen bij aantoonbare nalatigheid. Gijzeling van de informatie met de dreiging deze openbaar te maken in ruil voor een bedrag onder de boete, zal een scenario worden waar zeker rekening mee gehouden moet worden.

Kortom GDPR stelt de hoogte van het te betalen bedrag

State-sponsored Cybercriminals
Mogelijk zullen state-sponsored cybercriminelen gebruik maken van de destructieve kracht van ransomware. Bij WannaCry wordt gewezen naar Noord-Korea en Petya mogelijk Rusland. De ransomware wordt dan ingezet om vernielingen te veroorzaken en angst te zaaien bij de burgerbevolking.

Geplaatst in Security | Tags: , , , , , | Een reactie plaatsen