Loading

CYBERDREIGING 2019 EEN VEILIG DIGITAAL SPECIAL

De digitale dreiging is permanent. Digitale aanvallen van statelijke actoren met als doel spionage, beïnvloeding, verstoring en sabotage, vormen de grootste digitale dreiging voor de nationale veiligheid.

Daarnaast hebben de activiteiten van cybercriminelen grote impact. Het dreigingslandschap lijkt het afgelopen jaar niet fundamenteel veranderd. Het is wel diverser geworden door een aantal verschuivingen, waarvan sommige reeds enkele jaren geleden ingezet zijn. In de dreigingsmatrix in dit hoofdstuk wordt het complete dreigingsbeeld weergegeven. Daarnaast passeren de opvallendste elementen van het dreigingsbeeld de revue.

Grenzen tussen actoren vervagen

Het aantal actoren dat digitale aanvallen uitvoert, is de afgelopen jaren toegenomen. Ook zijn er nu actoren actief in het digitale domein die een aantal jaren geleden nog geen rol van betekenis hadden. Het is voor hen relatief eenvoudig om capaciteiten in te zetten, door de steeds bredere toegankelijkheid van hulpmiddelen om digitale aanvallen uit te voeren.

In de praktijk zijn de grenzen tussen verschillende actoren steeds minder zichtbaar. Zo kunnen verschillende actorgroepen gebruik maken van dezelfde middelen en technieken. Dit komt onder andere door het doorsijpeleffect, waarbij hoogwaardige aanvalstechnieken breed bekend worden of in verkeerde handen vallen. Een voorbeeld uit 2017 zijn de door de hackergroep Shadow Brokers gelekte hulpmiddelen die toegeschreven worden aan de Amerikaanse National Security Agency(NSA).

Een specifiek hulpmiddel (de exploit EternalBlue) is vervolgens ingezet in de WannaCry-aanval. Een ander voorbeeld van het vervagen van de grenzen, zijn de schijnbare technische overeenkomsten tussen de Petya ransomware en de NotPetya sabotagesoftware. In de media zijn voorbeelden beschreven van actoren die een andere hackersgroep aanvallen en hun opbrengst buitmaken. Aanvalsmiddelen verspreiden zich tegenwoordig over het hele spectrum van aanvallers, van staten tot criminelen. De grenzen tussen actoren vervagen ook doordat verschillende actorgroepen samenwerken, actoren zich bewust voordoen als iemand anders, of valse sporen creëren in de richting van andere actoren.

Het aanwijzen van de actor achter een digitale aanval, attributie, is nog complexer wanneer de actoren moeilijk van elkaar te onderscheiden zijn. Hoe geavanceerd een aanval is en welke hulpmiddelen gebruikt zijn, is van invloed op het aantal aanknopingspunten voor het herkennen van de actor. Het vervagen van grenzen tussen actoren heeft als consequentie dat de kans op onjuiste attributie groter wordt, met mogelijk grote gevolgen, zoals bijvoorbeeld verdere escalatie in een conflictsituatie.

Staten vormen grootste digitale dreiging

Staten voeren digitale aanvallen uit op andere landen, organisaties of individuen uit primair geopolitieke motieven. Zij hebben als doel de verwerving van strategische informatie (spionage), beïnvloeding van de publieke opinie of democratische processen (beïnvloeding) of verstoring van vitale systemen (verstoring) of zelfs de vernietiging daarvan (sabotage). Er zijn het afgelopen jaar verscheidende digitale aanvallen door staten waargenomen. Deze hadden impact op de nationale veiligheid.

Digitale aanvalsmiddelen worden veelvuldig ingezet

Digitale aanvallen vormen inmiddels een vast onderdeel van het scala aan middelen dat staten kunnen inzetten om hun geopolitieke belangen te beschermen. Er zijn nog maar weinig interstatelijke conflictsituaties waarin geen digitale middelen worden ingezet. Daarbij spelen ook economische belangen mee. Los van deze conflicten doen landen aan economische spionage, bijvoorbeeld om de concurrentiepositie van hun economie te verbeteren of om snel innovatieve kennis te verwerven. De grotere bereidheid van landen om digitale middelen in te zetten, gaat samen met een toename van de impact van digitale aanvallen. Cyberaanvallen kunnen een grote impact en omvangrijke neveneffecten hebben (voorbeelden zijn WannaCry en NotPetya).

Het gebruik van derde partijen

Staten kunnen bij de voorbereiding en uitvoering van digitale aanvallen gebruik of misbruik maken van andere partijen. Deze partijen hoeven zich niet bewust te zijn van het misbruik. Staten kunnen geavanceerde aanvalshulpmiddelen kopen, zodat zij niet zelf hoeven te investeren in de ontwikkeling ervan. Ook kunnen staten de voorbereiding en uitvoering van digitale aanvallen ‘uitbesteden’ aan een derde partij. Tot slot kunnen ze de producten en diensten van een derde partij misbruiken voor het uitvoeren van aanvallen. Zo compromitteerde de actor achter de NotPetya-aanval softwarebedrijf M.E.Doc om malware te verspreiden via legitieme updates.

Daarnaast kunnen aanvallers, soms op eenvoudige wijze, gebruik maken van legitieme hulpmiddelen, eigenschappen van systemen of eigenschappen van (cloud)diensten om binnen te dringen in de systemen van slachtoffers. Actoren maken hierbij misbruik van het vertrouwen van consumenten in ict-producten. Deze aanvallen zijn vaak moeilijk te detecteren.

Inzet eenvoudige technieken

Statelijke actoren hebben veel expertise en zijn in staat om geavanceerde aanvallen uit te voeren. Desondanks is duidelijk geworden dat staten ook veelvuldig gebruik maken van eenvoudige aanvalstechnieken. Zo maakt volgens openbare rapporten Rusland veel gebruik van (spear)phishing. Hetzelfde geldt voor NoordKorea, dat ook malware via e-mail verspreidt. China heeft in 2017 op eenvoudige wijze misbruik gemaakt van LinkedIn om in Duitsland mensen te benaderen, om hen vervolgens te kunnen rekruteren. Staten beseffen net als andere actoren dat eenvoudige technieken zeer effectief zijn. Een aanvaller probeert doelwitten te verleiden om gevoelige of vertrouwelijke informatie weg te geven, die weer gebruikt kan worden bij een vervolgaanval of voor andere doeleinden. Het veelvuldig gebruik van eenvoudige aanvalstechnieken door statelijke actoren laat zien dat deze voldoende doelgericht en doelmatig zijn.

Tegen eenvoudige aanvalstechnieken kunnen drempels opgeworpen worden, die potentiële doelwitten van aanvallen minder kwetsbaar en ook minder interessant maken. Maatregelen die tot de ‘basishygiëne’ van ict-systemen en - netwerken behoren, een basisniveau van cybersecurity, verhogen de weerbaarheid tegen digitale aanvallen aanzienlijk, ook als het gaat om aanvallen van statelijke actoren. Hiermee wordt de kans op en de impact van deze dreiging gereduceerd. Aanvallers accepteren nevenschade of voorzien deze niet Wereldwijd hebben enkele aanvallen een grote impact gehad. Naast NotPetya verspreidde WannaCryzich in mei 2017 in 150 landen met een grote economische en maatschappelijke impact. In het Verenigd Koninkrijk werden bijvoorbeeld van vele ziekenhuizen de processen verstoord. Deze aanvallen zijn door andere landen geattribueerd aan statelijke actoren.

Aanvallers lijken het risico te accepteren dat nevenschade veroorzaakt wordt of ze voorzien deze nevenschade niet, bijvoorbeeld door de infectie van de leveranciersketen of door het gebruik van een worm die in staat is zichzelf te verspreiden. Deze technieken brengen het risico van een ongecontroleerde verspreiding met zich mee. Vanuit het perspectief van de nationale veiligheid kunnen ongecontroleerde en moeilijk voorspelbare aanvallen met een destructieve werking potentieel een maatschappij-ontwrichtende impact hebben. Dit kan vooral wanneer vitale processen getroffen worden, al dan niet per ongeluk als neveneffect, en zeker indien het meerdere systemen of processen betreft.

Leveranciersketens verhogen kwetsbaarheid

Het afgelopen jaar is er bij verschillende aanvallen gebruik gemaakt van een leveranciersketen (supply chain) om schadelijke software te verspreiden. Een van de meest prominente voorbeelden is

NotPetya dat zich verspreidde via een update van Oekraïense boekhoudsoftware. Deze aanvalswijze heeft een aantal voordelen voor de actor. Ten eerste zorgt het gebruik van een vertrouwde leverancier als bron van verspreiding dat bestaande beveiligingsmaatregelen bij het doelwit grotendeels ontweken kunnen worden. Ook is de actor in staat om te bepalen wie precies besmet wordt, van één specifiek doelwit tot en met alle afnemers van een bepaalde leverancier. Ten derde is het bij een aanval via de supply chain complex om de beoogde doelwitten en doelen van de aanval te bepalen. Dit maakt attributie moeilijker.

Nederlandse organisaties zijn sterk afhankelijk van een beperkt aantal buitenlandse leveranciers van producten en diensten. Hoewel deze bedrijven meer middelen hebben om zich tegen aanvallen te wapenen, kan de maatschappelijke impact bij verstoringen groot zijn, omdat veel verschillende diensten afhankelijk zijn van een klein aantal aanbieders. Naast verstoringen kunnen producten of diensten van (buitenlandse) leveranciers echter ook, met of zonder medeweten van deze leverancier, gecompromitteerd worden door actoren. Vanwege de leveranciersketens zijn producenten en dienstverleners een aantrekkelijk doelwit voor actoren. Daarnaast zijn producenten en dienstverleners onderworpen aan de wet- en regelgeving van het land waarin zij gevestigd zijn en zouden door overheden in het buitenland gedwongen kunnen worden tot een vorm van medewerking aan bijvoorbeeld spionage of voorbereiding voor sabotage. Dit vormt een risico voor de nationale veiligheid.

In dat kader heeft het kabinet de Kamer geïnformeerd dat, als voorzorgsmaatregel, Kaspersky antivirussoftware bij de Rijksoverheid zal worden uitgefaseerd. Bedrijven en organisaties met vitale diensten en processen en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) is geadviseerd hetzelfde te doen. Dit jaar is gebleken dat supplychain-aanvallen effectief en destructief zijn. De verspreiding en impact van dergelijke aanvallen zijn moeilijk te voorspellen, zeker wanneer de actor accepteert dat de aanval ook andere doelwitten kan raken. Het is de verwachting dat actoren deze methode vaker zullen inzetten.

Supply Chain attack zoekt de zwakste schakel
Actoren geïnteresseerd in persoonsgegevens

Gestolen en gelekte persoonsgegevens spelen een opvallende rol. Een breed scala aan actoren (statelijk, crimineel, hactivist) heeft interesse in persoonsgegevens. Om die te verwerven worden aanvallen uitgevoerd op de partijen die beschikken over deze gegevens,zoals dienstverleners, overheden en onderwijsinstellingen. Persoonsgegevens kunnen gebruikt worden voor criminele activiteiten,zoals creditcard- en identiteitsfraude, maar ook voor spionageactiviteiten. Hiervan zijn ook voorbeelden in Nederland bekend.

Daarnaast kunnen fouten of storingen leiden tot het lekken van persoonsgegevens,zoals bijvoorbeeld het opslaan van gegevens in publiek toegankelijke cloudtoepassingen. Ook in Nederland speelt dit probleem,zo werden in 2017 tienduizend datalekken gemeld bij de Autoriteit Persoonsgegevens(AP). Hierbij is van belang dat sommige persoonsgegevens,zoals geboortedatum en burgerservicenummer, onveranderlijk zijn. Dat maakt het minder eenvoudig om de impact van een lek van deze gegevens te verminderen

Dreiging terroristen en hacktivisten stabiel

Het dreigingsbeeld is op een aantal punten stabiel. Zo is de dreiging die uitgaat van terroristen en hacktivisten onveranderd. Jihadisten zijn al jaren actief op het internet, bijvoorbeeld op het gebied van propaganda en fondsenwerving, maar ze hebben vooralsnog geen terroristische aanvallen gepleegd met behulp van digitale middelen. De ambitie is aanwezig, maar die is nog niet omgezet in concrete intenties of de ontwikkeling van expertise en capaciteiten. Voor terroristische groeperingen blijft het plegen van fysieke aanslagen de prioriteit of eenvoudiger om uit te voeren. Hacktivisten zijn wel actief, bijvoorbeeld met bekladding van websites, defacements, en datadiefstal, maar ook zij vormen op dit moment geen dreiging die impact heeft op de nationale veiligheid.

Aanvalsfacilitatoren vergroten toegankelijkheid aanvalsmethoden

Aanvalsfacilitatoren vormen bijzondere categorieën in het cyberdomein. Zij voeren zelf geen digitale aanvallen uit, maar spelen wel een rol in de dreiging. Enerzijds zijn dit criminelen die gestolen informatie,zoals creditcardgegevens of persoonsgegevens, verhandelen voor financieel gewin. Ze verkopen informatie die vervolgens gebruikt kan worden voor een aanval. Anderzijds zijn dit actoren die faciliteiten realiseren voor aanvallers, bijvoorbeeld door botnets te verhuren. Op zowel de open als de meer gesloten delen van het internet kunnen informatie en aanvalsmiddelen voor relatief lage bedragen gekocht worden. Daarmee stellen deze producten en diensten actoren met beperkte capaciteiten in staat om toch digitale aanvallen uit te voeren. De facilitatoren hebben een drempelverlagend effect en ze vergroten de toegankelijkheid tot aanvalsmethoden.

IoT

Actoren die cybercriminele diensten aanbieden, besteden veel aandacht aan de verbetering van hun dienstverlening. Cybercrime-as-a-service (CaaS) bestaat al langer, maar is breder toegankelijk geworden. De middelen die verhuurd worden, zijn veelzijdig en geavanceerd en groeien sterk in aantal. De koppeling van steeds meer alledaagse apparaten aan het internet, het internet of things (IoT), speelt hierin een rol. Talloze IoT-apparaten zijn besmet met malware, onder andere om botnets te creëren die multifunctioneel kunnen worden ingezet. De sector vertoont overeenkomsten met een traditionele markt van vraag en aanbod, waar onder meer differentiatie in prijs, kwaliteit en dienstverleningsniveau een belangrijke rol spelen en waarin taken worden gespecialiseerd. Uit de ontwikkelingen van de afgelopen jaren blijkt dat de CaaSsector continu innoveert en nieuwe, lucratieve manieren ontwikkelt om geld te verdienen. Dit blijkt onder meer uit de continue doorontwikkeling van producten en diensten. Denk hierbij bijvoorbeeld aan ransomware.

Dit is niet nieuw, maar wordt continu doorontwikkeld. Cryptomining en cryptojacking is een relatief nieuwe ontwikkeling. Deze toepassing is gericht op het verdienen van geld door de rekenkracht van computers te gebruiken voor het delven (mining) van cryptografische munten. In eerste instantie door het inbreken op wifi-netwerken, computers en website , in tweede instantie door op websites de gebruiker een keuze te geven tussen advertenties of cryptomining. Een van de partijen is Coinhive die cryptominingcode als dienst aanbiedt voor website-eigenaren. Cryptojacking is een aantrekkelijk verdienmodel voor criminelen dat weinig risico’s met zich meebrengt. De groei van de publieke adoptie van cryptovaluta komt tot uitdrukking in een flinke groei van de hoeveelheid cryptomining malware en van het aantal apparaten dat hiermee is geïnfecteerd. Een interessante bevinding is dat cryptomining een haalbaar alternatief is voor advertentieopbrengsten om websites te bekostigen.

De cybercriminele dienstensector lijkt, door het verdergaand toegankelijk maken van midden, professioneler te worden. Dit leidt tot een vergroting van de dreiging, die op lange termijn het vertrouwen in de economie en de digitale infrastructuur kan schaden

Uitval en storing

Naast aanvallen door actoren vinden er incidenten plaats die per ongeluk gebeuren, maar wel een dreiging vormen voor systemen en de informatie die zij bevatten: uitval en storingen. Deze dreigingen kunnen een significante impact hebben. Zo was er begin april 2018 een grote storing bij Eurocontrol, de organisatie verantwoordelijk voor het coördineren van routes van passagiersvluchten in Europa. Door de storing liep ten minste 10 procent van de vluchten vertraging op. Volgens een rapport uit maart 2018 van de US Federal Communications Commission (FCC) werd de grootste Amerikaanse telefoonstoring ooit veroorzaakt door een softwarefout. Op 4 oktober 2016 heeft het Amerikaanse telefoonnetwerk te kampen gehad met een 84 minuten durende storing. Meer dan 100 miljoen telefoongesprekken werden geblokkeerd. Op 29 april 2018 ontstond door een verstoring op Schiphol grote drukte op de luchthaven en op toegangswegen. Vluchten liepen vertraging op of werden geannuleerd.

Dreiging permanent

De digitale dreiging is permanent. Digitale aanvallen van statelijke actoren met als doel spionage, beïnvloeding, verstoring en sabotage vormen de grootste dreiging. Daarnaast hebben de activiteiten van cybercriminelen grote impact. Het dreigingslandschap lijkt het afgelopen jaar niet fundamenteel veranderd. Het is wel diverser geworden door een aantal verschuivingen, waarvan sommige reeds enkele jaren geleden ingezet zijn. Cyberaanvallen zijn nog steeds profijtelijk, laagdrempelig en weinig riskant voor aanvallers. In de context van recente geopolitieke ontwikkelingen zullen staten digitale aanvallen instrumenteel blijven inzetten en mogelijk op grotere schaal toepassen.

Veranderende dreigingen: nieuw doel voor malware en exploits

Cyberbeveiliging is constant in beweging. Onderzoekers hebben gezien dat hackers oude technieken hergebruiken in het huidige digitale landschap.

  • Het Web Proxy Auto-Discovery (WPAD) protocol werd tussen 24 november en 14 december 2017 gebruikt om Windows-systemen bloot te stellen aan Man-in-the-Middle-aanvallen. WPAD wordt gebruikt binnen beschermde netwerken (LAN’s) en maakt computers kwetsbaar voor aanvallen wanneer ze op het internet zijn aangesloten.
  • Het Lopai-botnet is een voorbeeld van de ontwikkeling van flexibelere tools door botnet-auteurs. Deze mobiele malware richt zich voornamelijk op Android-apparaten en gebruikt een modulaire aanpak waardoor auteurs updates met nieuwe functionaliteiten kunnen ontwikkelen.
  • Malware-ontwikkelaars verplaatsen hun aandacht naar het verzamelen van social media logins en financiële informatie. Terdot, onderdeel van het Zeus-botnet, creëert een lokale proxy en stelt hackers in staat om cyberspionage in te zetten en fake news te promoten in de browser van het slachtoffer.
.

(bron: NCSC / Wikipedia/VeiligDigitaal)

© 2018 Veilig Digitaal

Created By
Veilig Digitaal
Appreciate

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.