Vandaag in de geschiedenis: Shady RAT

Vandaag in de geschiedenis: 3 augustus 2011, Shady RAT

“If it wasn’t true before, it’s definitely true now. Hacking isn’t just for giggles, it’s a major threat to international security.” (Bron: Gizmo)

Op woensdag 3 augustus bracht McAfee een 14-pagina’s tellend rapport uit met de grootste gecoördineerde cyberaanval tot dan toe. Deze specifieke aanval, mogelijk geregisseerd door China, brak in vijf jaar tijd door in 72 organisaties.

Shady RAT

In het rapport wordt bekend gemaakt dat McAfee onderzoek heeft gedaan naar een dreiging die zij de naam Shady RAT hebben gegeven. RAT staat hierbij voor Remote Access Tool. Een Remote Access Tool is een programmaatje waarmee het mogelijk wordt om vanaf een afstand een computer over te nemen. Remote Access Tools kunnen ook voor legitieme doelen worden ingezet.

Een bekend voorbeeld van een Remote Access Tool is Teamviewer, waarmee het bijvoorbeeld mogelijk is om een ICT-collega van afstand jouw computerproblemen op te laten lossen

Illegitieme Remote Access Tool

Shady RAT was echter een illegitieme Remote Access Tool. Door het versturen van een phishingmail kon een Trojan (malware die vaak vermomd is als legitieme software) worden geïnstalleerd. Deze Trojan zat vastgemaakt aan een niet verdacht bestandsformaat zoals een PDF, Excel, Word of PowerPoint. Bij het openen van dit bestand werd de Trojan op de achtergrond uitgevoerd. De Trojan maakte op zijn beurt contact met één van de door de hackers gehoste websites. Op deze websites stonden afbeeldingen en HTML-bestanden. In deze bestanden werden door middel van stenografie commando’s uitgevoerd.

Steganografie komt van een Griekse term die “bedekt schrijven” betekent en wordt, op allerlei manieren, al eeuwenlang gebruikt om geheime boodschappen te verzenden. In de afgelopen jaren is het in een aantal spionagekringen gebruikt om berichten in digitale afbeeldingen te versleutelen.

Wereldwijd meer dan 70 organisaties uit 14 landen besmet

McAfee kreeg toegang tot een server die door de aanvallers werd gebruikt voor het uitvoeren van de aanval. Op deze server bleek logging te staan waaruit afgeleid kon worden welke organisaties getroffen werden door de hack. Uit de logging bleek dat er meer dan 70 organisaties getroffen waren. Dit waren een groot aantal organisaties in uiteenlopende branches: overheidsinstellingen, zware industrie, productiebedrijven, energiebedrijven, vastgoed en landbouworganisaties, nieuws en media platformen maar ook think tanks, defensie leveranciers en internationale sportcomités. De eerste besmetting ging terug naar 2006. Het betrof hier een Zuid-Koreaans bouwbedrijf. De getroffen organisaties bevonden zich in veertien landen.

Aanval vanuit een overheid?

Wat opvalt aan de aanval is dat er een aantal commercieel niet-interessante organisaties zijn getroffen. Voorbeelden daarvan zijn de sportcomités zoals de World Anti-Doping Agency (WADA) en olympische comités in Azië. Deze laatste besmetting duurde 28 maanden. De kortste besmettingen duurden hooguit één maand. Deze commercieel niet-interessante doelwitten geven aan dat de aanvallers mogelijk ook geen directe interesse hebben in financieel gewin. Er wordt daarom aangenomen dat de aanvallers banden hebben met een overheid. Hierbij wordt zelfs beweerd dat dit de Chinese overheid is, al is dat in dit soort gevallen vaak lastig te bewijzen. De laatste besmetting vond plaats in 2010. Daarbij werd er tot in 2011 data geëxporteerd.

Wat kunnen we leren van Shady RAT?

In het geval van Shady RAT hebben eigen medewerkers een grote rol gespeeld bij de infecties. De tooling kon worden geplaatst doordat personeel vatbaar was voor phishingmail. Het is van belang dat personeel in staat is om phishing te herkennen wanneer zij daaraan worden blootgesteld. Daarnaast is het belangrijk om te kijken of het mogelijk is om installatie van software op end-point devices (computers, laptops, printers etc.) door eindgebruikers te beperken. Hiermee kan voorkomen worden dat eindgebruikers (zonder kwade intenties te hebben) ongewenste software installeren. Daarnaast is het van belang dat end-points worden beveiligd met up to date virusscanners en software. De kans dat er gebruik wordt gemaakt van bekende exploits wordt hierdoor kleiner.

Hoe zijn deze aanvallen te voorkomen in de toekomst?

De besmettingen met Shady RAT werden niet altijd opgemerkt. De besmettingen konden daardoor tot 28 maanden duren. Doordat de aanvallers zolang binnen de netwerken konden blijven, schat McAfee dat de hoeveelheid gelekte data tot in de petabytes kan lopen. Netwerkmonitoring, bijvoorbeeld in de vorm van Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) of een SOC/SIEM oplossing kan ervoor zorgen dat dit soort dreiging eerder gedetecteerd kunnen worden zodat de schade als gevolg van een hack beperkt kan blijven. •

 


Wij nemen u graag zo nu en dan terug in de tijd om weer even op te rakelen wat er zich qua informatiebeveiliging in het verleden heeft afgespeeld. Naast dat dit interessant is, kunnen we er ook van leren en kijken hoe we de toekomst zo veilig mogelijk kunnen maken.
Menu