28 augustus 2017 11:55

Hoe een Nigeriaanse jongeman eigenhandig grote bedrijven infecteerde

Het brein achter een succesvolle malware-campagne blijkt een Nigeriaanse jongeman met beperkte computerkennis. Hoe kan het dat zijn cyberaanval zo succesvol was?

De voorbije vier maanden waren wereldwijd meer dan 4.000 organisaties het doelwit van cyberaanvallen die netwerken wilden infecteren, gegevens wilden stelen en fraude wilden plegen. Veel van deze bedrijven zijn toonaangevende internationale ondernemingen in belangrijke industrietakken zoals de olie-, gas-, productie-, bank- en bouwsector. Sommige bedrijven kregen effectief af te rekenen met een datalek.

Organisaties die werden geïnfecteerd tijdens de campagne zijn onder meer:

Een scheepsbouw- en engineeringbedrijf in Kroatië
Een transportbedrijf in Abu Dhabi
Een mijnbouwbedrijf in Egypte
Een bouwbedrijf in Dubai
Een olie- en gasbedrijf in Koeweit
Een bouworganisatie in Duitsland

Dit beklemtoont de breedte en de omvang van de campagne. Maar wie zit er achter de aanvallen? Succesvolle aanvallen op dergelijke schaal worden meestal toegeschreven aan ervaren, gegroepeerde cybercriminelen – vaak ondersteund door een staat, met als doel de economie te destabiliseren. Ze kunnen onmogelijk het werk zijn van een relatief ongeschoolde twintiger, die vanuit de buurt van de Nigeriaanse hoofdstad Abuja opereert. Of toch?

Na een uitgebreide analyse van de campagne hebben de onderzoekers van Check Point immers de identiteit van de misdadiger kunnen achterhalen. Hij is een Nigeriaanse jongeman, die bovendien alleen handelde. Op zijn socialmedia-accounts gebruikt hij het motto: ‘Get rich or die trying’.

Voor zijn cyberaanval gebruikte hij frauduleuze e-mails die verstuurd leken te zijn vanuit de olie- en gasreus Saudi Aramco, ‘s werelds tweede grootste olieproducent. De mails waren gericht aan het financieel personeel binnen bedrijven om hen bankgegevens van het bedrijf te laten onthullen of om hen de geïnfecteerde bijlage van de e-mail te laten openen.

[related_article id=”172151″]
De gebruikte malware zijn NetWire, een Trojaans paard (met toegang vanop afstand) dat de volledige controle over geïnfecteerde computers mogelijk maakt, en Hawkeye, een keylogging programma. De campagne heeft geleid tot 14 succesvolle infecties, waardoor de jonge crimineel duizenden dollars verdiende.

Eenvoudige aanvallen – maar effectief

Het is vooral opvallend dat zijn gebruikte technieken weinig IT-skills verraden. Zijn frauduleuze e-mails zijn ruw en simpel opgesteld; Er is bijna geen research of social engineering (hackingtechniek) gebruikt bij de creatie van de mails. De onderwerpen van de e-mails zijn algemeen en de aanhef is “Geachte heer / mevrouw.” Dezelfde mail wordt verzonden naar verschillende mensen, allemaal in bcc. De ontvangers worden aangemoedigd om bankgegevens door te sturen (wellicht voor oplichting in de nabije toekomst). De aanvallen werden verstuurd vanaf de e-mailadressen sale.cement_till_tw@yahoo.com en cciticarinternational@yahoo.com.
Bovendien is de malware die hij gebruikt, oud, vrij breed en direct online beschikbaar. En hij maakt gebruik van freeware om e-mailadressen van bedrijfswebsites te scannen die hij vervolgens gebruikt als doelwit voor zijn campagnes.

Het feit dat de campagne nog effectief was, ondanks het feit dat alleen eenvoudige cybercrime technieken werden gebruikt, benadrukt precies hoe groot het probleem van zo’n BEC-aanval (business email compromise) is.

Het is big business: het FBI meldde dat het aantal slachtoffers sinds begin 2016 toenam met 270%. Tussen 2013 en 2016 kostte dit organisaties wereldwijd meer dan 3 miljard dollar. Het FBI schat dat slachtoffers van BEC gemiddeld tussen 25.000 en 75.000 US dollar verliezen per aanval. Maar het roept ook ernstige vragen op over de kwetsbaarheid van bepaalde organisaties.

Grotere risico’s

Naast de financiële verliezen die voortvloeien uit de aanval, biedt de malware die door de crimineel is gebruikt, hem controle vanop afstand over de geïnfecteerde machines, en kan hij keyloggingfuncties uitvoeren. Zo kan hij allerlei informatie verzamelen, zoals details over de activiteiten, activa en intellectuele eigendommen van de bedrijven. Deze kunnen veel meer waard zijn dan de duizenden dollars die door de fraude worden verkregen. Wat zou er gebeuren als de hackers zich de echte waarde van deze activa realiseren en deze beginnen te exploiteren?

Voorts bevonden zich onder de getroffen bedrijven ook energie- en infrastructuurbedrijven. Waarom was het zo gemakkelijk voor een kleine cybercrimineel om dergelijke bedrijven aan te vallen – bedrijven die diensten leveren die kritiek kunnen zijn in ons dagelijks leven? Simpel gezegd, omdat deze bedrijven geen beveiligingssoftware hebben geïnstalleerd die gemakkelijk beschikbaar is en die hen beschermd zou hebben tegen dergelijke aanvallen. Het is ook alarmerend dat de aanvaller de beveiliging van meerdere grote organisaties heeft omzeild, zijn malware wereldwijd kon verspreiden en lange tijd onder de radar bleef.

Dit benadrukt nogmaals de noodzaak dat alle organisaties hun beveiliging moeten verbeteren om zich te beschermen tegen phishing en BEC-aanvallen. En om hun werknemers goed op te leiden om voorzichtig te zijn met het openen van e-mails, zelfs van bedrijven of personen die ze herkennen.

Sinds het de malwarecampagne ontdekte en de oorsprong ervan heeft vastgesteld, heeft het onderzoeksteam van Check Point de autoriteiten in Nigeria op de hoogte gebracht en hun onderzoeksresultaten gedeeld.

Tom Van Ginneken is Security Engineer Team Leader bij Check Point Software Technologies.

//www.smartbiz.be/achtergrond/172130/zo-breekt-een-hacker-op-jouw-computer/