In gesprek met Allison Wikoff: hoe een aannemelijk Iraanse cybergroep de Amerikaanse overheid bedreigt

In gesprek met Allison Wikoff: hoe een aannemelijk Iraanse cybergroep de Amerikaanse overheid bedreigt

Redactie WINMAG Pro
Allison Wikoff is een senior intelligence analist en veiligheidsonderzoeker bij de Secureworks Counter Threat Unit (CTU). Zij leidt gericht onderzoek om tegenmaatregelen en strategische producten te ontwikkelen die klanten van Secureworks beschermen tegen cyberaanvallen. Wij spreken Wikoff – niet om gezellig te babbelen, maar om het fijne te weten te komen over de vermoedelijk Iraanse cybercrimegroep die een terroristische dreiging vormt voor de Amerikaanse overheid: COBALT DICKENS.

COBALT DICKENS

Secureworks heeft recentelijk een rapport uitgebracht over de nieuwste activiteiten van COBALT DICKENS. Kan je de belangrijkste bevindingen samenvatten?

COBALT DICKENS, ook wel ‘Silent Librarian’ genoemd, is een waarschijnlijk Iraanse cybergroep die sinds minstens 2013 actief is. Leden van de groep en een geassocieerde organisatie, het Mabna-instituut, werden in maart 2018 door het Amerikaanse Ministerie van Justitie aangeklaagd vanwege hun activiteiten tegen universiteiten die tot een aanzienlijk verlies van intellectuele eigendom hebben geleid. Secureworks heeft de activiteiten van COBALT DICKENS sinds de aanklacht in de gaten gehouden en vastgesteld dat zij zich niet laten afstoppen. We hebben besloten om ons onderzoek openbaar te maken, inclusief alle COBALT DICKENS-infrastructuur die we hebben waargenomen, om de universiteiten te informeren en het succes van deze groep te beperken.

COBALT DICKENS heeft inloggegevens gestolen door foute webpagina’s te gebruiken die er identiek uitzien als die van een bibliotheek. Met phishingmails richt de groep zich op personen die verbonden zijn aan de universiteit, zoals professoren, studenten, docenten en personeel. In de loop van ons onderzoek hebben we meer dan 150 domeinen geïdentificeerd die COBALT DICKENS heeft gecreëerd voor gebruik in zijn phishing-activiteiten. Enkele van de domeinen die de groep heeft geregistreerd zijn .nl- en .com-adressen, bijvoorbeeld llli[.]nl, lliv[.]nl en lib-service[.]com.

De groep gebruikt de gestolen inloggegevens om intellectueel eigendom te bemachtigen. Dit is een directe reactie op sancties en een uittocht van academisch talent uit Iran naar landen waar ze kunnen deelnemen aan en profiteren van open en coöperatief academisch onderzoek.

Het meest interessante aspect van ons rapport van augustus 2019 over COBALT DICKENS is dat er sinds de aanklacht door het Amerikaanse Ministerie van Justitie niets is veranderd aan de tactieken, technieken en procedures (TTP) van deze groep. Ze gebruiken nagenoeg dezelfde TTPs als vóór de aanklacht. Wij gaan er daarom van uit dat COBALT DICKENS zeer succesvol is met deze aanpak. In sommige gevallen zien we dat de groep gebruikmaakt van de infrastructuur die al enkele jaren bestaat.

Incident Response

In hoeverre komen de bevindingen over COBALT DICKENS overeen met de meest recente ontwikkelingen in het algemene cybersecurity-landschap?

Dat COBALT DICKENS zijn TTP niet heeft aangepast, komt overeen met onze meest recente analyse van incidenten die wij hebben afgehandeld. Secureworks brengt daarover een jaarlijkse ‘Incident Response’-rapport uit. Onze analyse van incidenten in 2018 toonde aan dat de TTP van aanvallers niet noemenswaardig zijn geëvolueerd. Wij denken dat dit te wijten is aan het feit dat zelfs de basisprincipes van beveiliging niet volledig worden toegepast.

Er zijn vooral twee dingen die bedrijven kunnen doen om hun cyberveiligheid op orde te hebben en het aanvallers moeilijker te maken hun doelen te bereiken. Het eerste is multi-factor-authenticatie (MFA). Dit zou aanvallers zoals COBALT DICKENS stoppen als het door universiteiten werd toegepast. Het tweede is de beveiliging van de eindpunten. Dit is cruciaal om aanvallen op te sporen. We hebben gezien dat cybercriminelen een organisatie vooral binnenvallen via zijn eindgebruikers in plaats van via de infrastructuur.

Als gevolg daarvan moeten organisaties eindpunt-oplossingen implementeren die aanvallen detecteren voordat ze zich op grote schaal over het netwerk kunnen verspreiden. Met deze twee dingen op orde zullen bedrijven beter in staat zijn om beveiligingsrisico’s tot een minimum te beperken.

Waarom hebben veel organisaties dit soort basiszaken niet op orde?

Het is waarschijnlijk een combinatie van dingen. Wij zien dat de meeste organisaties een beperkt budget hebben ten opzichte van hun security roadmap. Zij moeten dus heel nauwkeurig rekening houden met de kosten en voor elke maatregel beoordelen of deze de investering ook daadwerkelijk waard is. In het geval van MFA gaan sommige organisaties ervanuit dat het de gebruikerservaring vermindert en moeilijk te implementeren is.

Laten we eens kijken naar universiteiten en hierbij het COBALT DICKENS-onderzoek gebruiken als voorbeeld van een bedreiging die door MFA gestopt zou kunnen worden. Er is een constant verloop van studenten en personeel. Dat is gewoon hoe het eraan toegaat op universiteiten. De implementatie van MFA voor gebruikers zou om een zeer substantiële investering vragen en om technologische inspanningen voor het onderhoud. En toch kennen wij een universiteit die jarenlang het doelwit was van COBALT DICKENS en die publiekelijk heeft aangekondigd dat ze MFA hebben geïmplementeerd als reactie op deze dreiging. Ze zijn het bewijs dat het mogelijk is!

Wat kan de reseller en MSP leren van jouw ervaring?

Resellers en MSP’s kunnen hun klanten beschermen door basisprincipes toe te passen, MFA te implementeren, de desbetreffende omgeving te begrijpen en oplossingen voor eindpuntbeveiliging te installeren. Sommige organisaties hebben MFA geïmplementeerd om bedreigingen zoals COBALT DICKENS specifiek aan te pakken. De implementatie van extra veiligheidscontroles als MFA kan lastig lijken, vooral in omgevingen waar waarde wordt gehecht aan gebruikersflexibiliteit en innovatie. Toch zijn accounts met slechts één wachtwoord onveilig en daarom moeten resellers en MSP’s een manier vinden om het inlogproces gebruikersvriendelijk te maken en bedrijven te informeren over het belang van MFA.

Het is van cruciaal belang om activa die via het internet direct toegankelijk zijn te beschermen met MFA om dreigingen te beperken die gebruikmaken van gestolen inloggegevens. Deze maatregelen zullen niet noodzakelijk elke cyberdreiging stoppen, maar het maakt het een stuk moeilijker voor de aanvallers - waarvan de meesten alleen maar eropuit zijn om het laaghangende fruit te plukken. Als het bedrijf er veilig uitziet en het meer tijd en moeite zal kosten om er in te breken, zullen veel hackers gewoon verder gaan omdat het hun investering en moeite niet waard is.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie