In Nederland is er weinig aandacht voor cyberspionage, terwijl het ook Nederlandse bedrijven kan overkomen, aldus Roel Schouwenburg in een interview met Security.nl. Schouwenberg is een senior virusanalist bij het Russische anti-virusbedrijf Kaspersky Lab en houdt zich onder andere met gerichte aanvallen en advanced persistent threats (APT) bezig.

"Cyberspionage is al een tijdje een hot topic in Amerika, maar hier wordt het weinig genoemd." Het onderwerp draagt in de VS vooral een politieke lading, waarbij de schuld vooral bij één Aziatisch land wordt gelegd. "Maar vanuit een technische perspectief doet dat eigenlijk weinig ter zake", stelt Schouwenberg.

Bij het onderzoek naar gerichte aanvallen worden vaak kenmerken ontdekt die aan een bepaalde groep zijn toe te schrijven. Die kenmerken zijn echter ook weer door anderen te kopiëren, waardoor het lastig blijft om een bepaalde aanval aan een groep of land toe te schrijven. "Deze problematiek bij het toeschrijven van aanvallen wordt nog altijd onderbelicht."

Flash Player
Op dit moment ziet Kaspersky Lab onder andere exploits voor Adobe Flash Player die in Word- of Excel-bestanden verpakt worden. "Ze kiezen niet meer voor PDF, maar Flash wordt als aanvalsvector steeds populairder." Dat geeft volgens Schouwenberg aan dat de aangevallen bedrijven geen Office 2010 gebruiken. Office 2010 beschikt over een sandbox en veel van de gebruikte exploits werken hier niet in.

Een ander voordeel van het gebruik van Adobe Flash Player is dat ActiveX Flash voor Internet Explorer en Flash voor Firefox twee verschillende dingen zijn. In een bedrijfsomgeving met Firefox of Chrome kan het voorkomen dat internetgebruikers niet met IE surfen. Een verstopt Flash-bestand in Word of Excel zal echter met de ActiveX-versie worden uitgevoerd. "Bedrijven worden dus gehackt omdat ze een oude ActiveX Flash-versie hebben draaien", aldus Schouwenberg. Daardoor zijn ook oudere exploits tegen deze bedrijven effectief.

De virus-analist adviseert bedrijven om een kill-bit in te stellen, die zorgt dat Flash-content niet meer door Office wordt uitgevoerd. "Flash hoort eigenlijk niet thuis in een Office-document."

Aanvallers
De bij cyberspionage gebruikte exploits zitten vaak technisch knap in elkaar, maar tijdens het vervolg van de operatie laten de aanvallers soms nog wel wat steekjes vallen. Dat geeft aan dat er verschillende teams actief zijn, elk met een verschillend niveau van professionaliteit. "Zelfs bij zeer geavanceerde malware als Duqu worden foutjes gemaakt, zoals het niet goed configureren van een SSH daemon."

Zo geavanceerd als Duqu zijn de meeste aanvallen niet. "Off the shelf" malware zoals Poison Ivy blijft nog steeds populair. Ook doen de aanvallers weinig moeite om hun dataverkeer naar buiten te maskeren.

Personeelszaken
Personeelszaken is volgens Schouwenberg veruit het populairste doelwit voor aanvallers. "Niet omdat de aanvallers een interesse in de HR-afdeling hebben, maar omdat deze mensen geconditioneerd zijn om Word- en PDF-bestanden van wie dan ook te openen." Het kan dan gaan om nep-sollicitaties. "HR is een springplank voor verdere aanvallen. Vaak is het mogelijk vanaf de HR-computers ook andere machines in het netwerk te benaderen. Die netwerken zijn vaak niet gesegmenteerd, en ook als dat wel het geval is, dan beginnen ze met HR."

Er wordt vaak geadviseerd om kantoorpersoneel verminderde rechten te geven. Dat gebeurt nog niet altijd en als het al gebeurt, heeft het ook nadelen. Sommige updaters werken niet op accounts met verminderde rechten, waardoor software soms lange tijd ongepatcht blijft.

"Malware zoals Poison Ivy werkt volledig uit de temp directory. Dan heb je een probleem waarbij je verminderde rechten het probleem van kwaad naar erger maken." Java is bijvoorbeeld onmogelijk om onder verminderde rechten te updaten, aldus Schouwenberg.

Analyse
Experts stellen dat het bijna onmogelijk is om te voorkomen dat aanvallers een computer weten te infecteren. De beste manier om ze te detecteren is dan ook als ze de vertrouwelijke gegevens naar buiten proberen te sturen. "Een effectieve manier op dit moment, maar niet één die alles oplost", laat Schouwenberg weten. Er zijn gevallen bekend waarbij gegevens via ICMP-queries heel langzaam naar buiten werden gestuurd. "In veel gevallen hebben de aanvallers geen haast."

Overheid
Wat betreft de aanpak van cyberspionage verschilt dit per sector. Voor de kritieke infrastructuur vindt Schouwenberg dat de overheid hier moet instappen. "Het gaat om privébedrijven die een publiek belang dienen, maar ze beschikken vaak niet over een groot security budget. Daar zie ik helaas geen andere mogelijk dan dat de overheid ingrijpt." Het gaat dan om het opstellen van regels en richtlijnen. "Dat proces kan echter soms jaren duren." Vanwege die tijdsduur zijn sommige wetten en richtlijnen als ze operationeel worden alweer verouderd.

Een ander punt dat Schouwenberg hekelt is het boetebeleid. In sommige gevallen is het goedkoper om de boete te betalen dan het investeren in de veiligheid van systemen.

"Goed genoeg is niet langer goed genoeg", gaat de virusanalist verder. Veel bedrijven denken nog dat als ze maar iets beter beveiligd dan de buurman zijn, het allemaal wel zal meevallen. "Bij gerichte aanvallen werkt dat gewoon niet meer, omdat jij het doelwit bent en niet degene met de slechte beveiliging en dat is heel belangrijk om te realiseren."