Mensen zien APTs vaak op dezelfde wijze als waarop we spionage in het algemeen zien: het is nogal wat, ja, maar wij simpele stervelingen lopen toch zeker geen gevaar? De meesten van ons zijn niet in het bezit van belangrijke industriële of overheidsgeheimen op onze telefoons en we werken meestal niet met vertrouwelijke informatie op onze computers, dus waarom zouden wij een doelwit zijn?
Dat klopt grotendeels. Het is ongebruikelijk dat een gemiddeld individu als doelwit wordt gekozen door een door de staat gesponsorde speler, maar we kunnen getroffen worden als bijkomende schade. Daniel Creus van Kaspersky’s Global Research and Analysis Team (GReAT) sprak onlangs in Barcelona over dit onderwerp. In deze post vatten we deze presentatie samen en beschrijven we de drie manieren waarop gewone mensen verstrikt kunnen raken in een APT-aanval.
Bijkomende schade, scenario #1: de verkeerde website op het verkeerde moment
In vergelijking met kleinere spelers hebben APTs genoeg geld voor een heel aantal zero-day exploits, inclusief exploits die watering hole-aanvallen mogelijk maken. Research by Google Project Zero in 2019 onthulde dat één speler maar liefst 14 verschillende kwetsbaarheden in verschillende exploit-ketens gebruikte om doelwitten met hun spyware te infecteren.
Een aantal van die kwetsbaarheden werd gebruikt om iOS-gebruikers te infecteren die specifieke aan politiek-gerelateerde websites bezochten. Zij kregen op deze manier spyware op hun telefoon. Het probleem was hier dat de speler geen onderscheid maakte tussen de verschillende bezoekers van de website, waardoor alle iOS-gebruikers die de website bezochten geïnfecteerd raakten, ongeacht of ze interessant voor de aanvaller waren of niet.
En dat was absoluut niet de enige APT-aanval waar een watering hole bij betrokken was. Een van de aanvalsvectoren van de beruchte NotPetya (oftewel ExPetr) begon bijvoorbeeld met de infectie van een overheidswebsite. Als gebruikers de website bezochten, werd er malware gedownload en op hun computers uitgevoerd. U herinnert zich wellicht nog dat er enorme bijkomende schade was in het geval van NotPetya.
Een van de problemen met APTs is dus dat de spelers wellicht geen speciale interesse in u hebben, maar dat als u de verkeerde website bezoekt of de verkeerde app downloadt alsnog geïnfecteerd kunt raken, en de privéinformatie op uw apparaat wordt aan de aanvallers onthuld — of beschadigd, in andere APT-gerelateerde ransomware-gevallen zoals NotPetya.
Bijkomende schade, scenario #2: serieus speelgoed in handen van cybercriminelen
APTs zijn onder andere vaak op zoek naar de geheimen van andere APTs. Ze proberen elkaar te hacken en lekken soms de tools die hun vijanden gebruiken. Andere kleinere en minder geavanceerde spelers pikken die op en gebruiken ze om malware te creëren, wat soms uit de hand loopt. Onthoud dat de beruchte WannaCry wiper met gebruik van EternalBlue werd gecreëerd, een van de exploits die door ShadowBrokers werd gelekt toen ze besloten om het arsenaal aan cyberwapens van de Equation Group te publiceren.
En er waren nog meer dreigingen, inclusief NotPetya/ExPetr, Bad Rabbit, EternalRocks en andere die ook op de EternalBlue exploit vertrouwden. Eén gelekte exploit resulteerde in een reeks van verschillende enorme epidemieën en vele kleinere gebeurtenissen die samen honderden duizenden computers troffen en het werk van verschillende bedrijven en overheidsinstellingen over de hele wereld verstoorden.
In andere woorden: het tweede probleem waar gewone mensen mee te maken hebben als het om APTs gaat, is dat de spelers zeer gevaarlijke tools creëren en die soms niet onder controle houden. Het resultaat daarvan is dat deze gevaarlijke tools in handen van cybercriminelen kunnen belanden, sommigen niet zo vaardig en anderen juist wel, die niet zullen aarzelen om ze te gebruiken, waardoor er soms veel onschuldige mensen worden getroffen.
Bijkomende schade, scenario #3: Lekken van verzamelde gegevens
Zoals we hierboven al vermeldden, gebeurt het regelmatig dat de spelers achter APTs elkaar proberen te hacken. Soms publiceren ze niet alleen de tools die ze buitmaken, maar ook de informatie die hun vijanden verzamelden met het gebruik van die tools. Dat is bijvoorbeeld hoe de gegevens die door de beruchte cyberspionage-tool ZooPark waren verzameld openbaar toegankelijk werden.
In de afgelopen twee jaar werden er maar liefst 13 stalkerware-verkopers gehackt, of ze lieten de informatie die ze hadden verzameld online staan, op een onbeschermde, openbaar toegankelijke webserver. Ook belangrijke spelers worden door hacks getroffen; de makers van de beruchte FinFisher werden gehackt, en het nog beruchtere Hacking Team, dat bewakingstools ontwikkelde, is ook gehackt.
Dus dat is het derde probleem: Zelfs als een APT niets met gemiddelde gebruikers te maken heeft, zelfs als het simpelweg hun informatie opslaat zonder het tegen ze te gebruiken, als die APT gegevens lekt, zullen kleinere vissen in de zee dankbaar gebruikmaken van die informatie voor afpersing of om naar privégegevens te zoeken — van creditcardgegevens en gescande documenten tot contactinformatie en compromitterende foto’s.
Hoe blijft u beschermd tegen APTs
Hoewel APTs een stuk geavanceerder zijn dan de gemiddelde malware, helpen dezelfde technieken die we tegen normale dreigingen gebruiken ook tegen APTs.
- Schakel de installatie van apps van derden op Android-apparaten uit. Als u echt een vertrouwde app moet installeren buiten Google Play om, sta dit dan één keer toe, maar vergeet niet om de instelling weer terug te draaien zodra u klaar bent.
- Controleer regelmatig de machtigingen van de apps die u op uw apparaat hebt geïnstalleerd, en trek eventuele machtigingen in waarvan u denkt dat die niet nodig zijn voor een bepaalde app. Het is ook een goed idee om de lijst met machtigingen te bekijken die een app gebruikt vóór deze te installeren. U kunt deze lijst op Google Play vinden.
- Vermijd het bezoeken van dubieuze websites en het klikken op links van bronnen die u niet volledig vertrouwt. Onbekende mensen sturen u geen links en apps met goede bedoelingen. Sommige APTs kunnen legitieme websites infecteren, maar de meeste vertrouwen op de oude vertrouwde phishing-technieken.
- Gebruik een betrouwbaar beveiligingssysteem dat alles dat op het apparaat zal worden geïnstalleerd of gedownload eerst scant, en dat elke link en elk pakket controleert. Beschouw het als een laatste verdedigingslinie: zelfs als een kwaadwillende speler u bedriegt of een exploit gebruikt om toegang tot uw apparaat te verkrijgen, kan het beveiligingssysteem u alsnog beschermen.