image

Onderzoek: cyberspionnen zijn slordige programmeurs

donderdag 5 februari 2015, 12:28 door Redactie, 2 reacties

Groepen die advanced persistent threats (APTs) voor cyberspionage gebruiken blijken slordige programmeurs te zijn, zo stelt een onderzoeker (pdf) van het Britse anti-virusbedrijf Sophos. De virusbestrijder vergeleek de malware van cybercriminelen met die door cyberspionnen wordt toegepast.

APTs worden vaak als geavanceerde aanvallen beschouwd, waarbij aanvallers langere tijd toegang tot het netwerk van een doelwit weten te verkrijgen. De kwaliteit van de gebruikte malware blijkt echter tegen te vallen, aldus onderzoeker Gabor Szappanos. Zo bleek er geen kwaliteitscontrole bij de APT-groepen te zijn. "Een groot deel van hun creaties is niet goed getest, en ze zien niet waarom sommige functionaliteit niet werkt", zo laat hij weten.

Exploits

Verder blijkt dat gewone malwareschrijvers meer kennis van exploits hebben dan de bekende APT-groepen. Iets wat slecht nieuws is, omdat APT-groepen zich op specifieke doelwitten richten, terwijl de malware van de malwareschrijvers een veel groter bereik heeft. Ook hebben de APT-groepen geen uitgebreide vaardigheden als het om exploits gaat. Nieuwe exploits worden snel gebruikt, maar het gaat dan om exemplaren die door anderen zijn ontwikkeld of uit Metasploit afkomstig zijn.

Meestal ontwikkelen ze de exploits niet zelf en in het geval van andermans exploits worden die nauwelijks aangepast. Metasploit is een framework dat door beveiligingsbedrijf Rapid7 wordt aangeboden en waarmee securityprofessionals de veiligheid van systemen kunnen testen. Volgens Szappanos laat zijn onderzoek zien dat als beveiligingsonderzoekers en systeembeheerders snel op ontdekte lekken reageren, ze dit soort APT-groepen waarschijnlijk aankunnen.

"Ondanks dit moeten de in het rapport genoemde malwareschrijvers niet worden onderschat. Ze ontwikkelen geraffineerde Trojaanse paarden en weten die bij belangrijke organisaties te verspreiden. Het feit dat ze niet goed met exploits zijn wil nog niet zeggen dat ze minder gevaarlijk zijn", zo besluit de onderzoeker.

Reacties (2)
06-02-2015, 00:14 door Anoniem
Misschien heeft deze onderzoeker er nog niet bij stil gestaan dat het hergebruik van oude malware en exploits ook een strategie kan zijn om APT slachtoffers te laten denken dat het om reguliere malware gaat...

My two cents...
06-02-2015, 10:09 door Anoniem
Ik vind veel software tegenvallen als ik die ga onderzoeken, bijvoorbeeld als er iets niet werkt.
Daar zal malware toch geen uitzondering op zijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.