McAfee verwerkt dagelijks bijna 55000 virussen/malware. Omdat dit zo'n groot aantal is, is het moeilijk gecoördineerde aanvallen hieruit op te maken/zichtbaar te maken. Toch willen ze aandacht geven aan 1 aanval. Het zou hier gaan om een grote aanval welke duidelijk zou weergeven hoe cybercrime zich van hobbyist naar een professionele activiteit heeft ontwikkeld.
In het rapport word een gedetailleerd overzicht weergegeven van de gebruikte tools en werkwijze. Hierin komt duidelijk naar voren wat de werkwijze is van de criminelen, en hieruit kan inderdaad duidelijk worden opgemaakt dat deze aanval uitgevoerd is door hobbyisten, welke nu blijkbaar hun activiteiten op een professionele manier ontplooien.
De gebruikte tactieken/technieken/software zijn in sommige gevallen wellicht al zo'n 10 jaar oud, dit valt niet te verifiëren uiteraard. Echter worden er vooral tools gebruikt die algemeen bekend zijn in de hackers wereld en welke misschien al bestempeld kunnen worden als 'out-dated'. Er zijn slechts enkele modificaties gevonden op de gebruikte tools welke als 'uniek' bestempeld kunnen worden. Verder word er simpel weg gebruik gemaakt van bestaande technieken, deze worden gebundeld, wat het een krachtige constructie maakt. De gebruikte aanvals tactieken zijn:
- Social Engineering
- Spearphising attacks
- Exploitation of Microsoft Windows operating system vulnerabilities
- Microsoft Active Directory compromises
- Remote Administration Tools (RATs)
Gebruikte techniek/software:
- SQL Injection Attacks
- reduh
- WebShell
- ASPXpy
- zwShell / gh0st
- Exploits
- Zero-day malware
- gsecdump
- Cain & Abel
- PSexec.exe
Verder werd er gebruik gemaakt van Command and Control servers gekocht in Amerika en gehackte servers in Nederland. Het is McAfee niet gelukt enige betrokkenen hiervan te achterhalen. Wat zij wel hebben kunnen achterhalen is de persoon verantwoordelijk voor de gekochte C&C servers in Amerika. Deze persoon komt uit Heze City, Shandong Province, China. Hoogstwaarschijnlijk heeft deze persoon niets met de aanvallen te maken. Dit omdat deze persoon slechts hosting services aanbied, echter doet hij dit wel met een advertentie banner waarop staat: "Hosted Servers in the U.S. with no records kept". Waarbij die laatste zin natuurlijk een crimineel oog doet glunderen.
Ook bleek dat er vooral van de voorziene data gebruikt werd gemaakt tussen 9:00 a.m. to 5:00 p.m. Beijing time. Wat zou suggereren dat de criminelen actief zijn gedurende kantoor tijden.
Ik ben erg benieuwd waar de gehackte servers in Nederland afkomstig zouden zijn. (Toch niet weer leaseweb?)
En ik vind het erg frappant dat er bij een dergelijke, klaarblijk belangrijke klus slechts alleen tijdens kantoor uren gewerkt word. Dit lijkt te duiden op weinig betrokkenheid? Of zou de opdracht gever simpel weg niet genoeg betaald hebben?
Iemand die onder het motto "Omdat het kan" bezig was lijkt het me ook niet, aangezien die juist niet onder kantoor tijden werken.
Vrij duidelijk is in ieder geval wel dat de chinezen van hun hobby hun werk gemaakt hebben en blijkbaar ook instaat zijn hiermee geld te verdienen.
In Nederland is de kennis en techniek die deze criminelen gebruiken ook zeker aanwezig, maar blijkbaar is de moraal van de Nederlander nog dermate hoog dat hier niet in bedrijfsverband geld mee word verdient. Of het is natuurlijk een strategische set van de olie multinationals om een partij in China te prefereren.
Vraagtekens alom natuurlijk.
De gebruikte aanvals tactiek:
De kranten berichten overigens vooral dat de Chinezen -> energiebedrijven hebben aangevallen. De strekking van het gehele paper gaat daar volgens mij niet over. Wat uit de paper kan worden geconcludeerd is dat de hackaanval van Chineze origine is, en dat hier blijkbaar een particulier bedrijf voor verantwoordelijk is. En omdat er vooral tijdens kantoortijden actief gewerkt werd schept dit de verwachting dat dit alles gebeurt is 'in opdracht van'. Ook blijken vooral de grote energie bedrijven doelwit geweest te zijn.
Wat een belangrijkere conclusie is uit het paper lijkt me het feit dat personen die vroeger hacken als hobby hadden, en dit alleen deden, nu blijkbaar verenigd zijn ondergebracht en hun criminele activiteiten in groepsverband weten te ontplooien. En hierbij nog altijd te werk gaan op de manier zoals vroeger gebruikelijk was.
