Malware in 2018: van het dark web tot Noord-Korea

In elk goed verhaal zit een held. Hij verkent nieuwe werelden en overwint onderweg diverse uitdagingen en obstakels. Allemaal met één doel: een ​​eindbestemming bereiken, hoewel die bestemming vaak zelf onbekend kan zijn.

Net als deze held verkenden Check Point-onderzoekers vorig jaar de onbekende uithoeken van het internet. Niet alleen om terug te komen met geweldige verhalen, maar ook om ervoor te zorgen dat andere organisaties worden beschermd tegen de ‘onbekende’ cyberbedreigingen die zich daar schuilhouden. Hun reist begon … op het Dark Web.

The Dark Web

Als je in een chatroom discussies kan volgen over hoe je een cyberaanval uitvoert, dan weet je dat je niet in een onschuldig Facebook-groepje zit. Criminelen voeren hun gesprekken buiten de meer traditionele forums. Enter the Dark Web: met gecodeerde en en anonieme berichten apps, zoals Telegram, kunnen criminelen hackers rekruteren om voor hen aanvallen uit te voeren, of om hun producten en diensten te kopen en verkopen aan de hoogste bieder.

De lage toetredingsdrempel maakt het voor de wannabe cybercrimineel helemaal niet moeilijk om op de hoogte te blijven van de recentste ontwikkelingen. De ontdekking van een geavanceerde Phishing Kit in april vorig jaar onthulde hoe gemakkelijk én goedkoop het is om deze standaardproducten aan te schaffen om vervolgens – zelfs met zeer weinig technische knowhow – snel consumenten hun creditcard details te ontfutselen.

 

De lage drempel maakt het voor de wannabe cybercrimineel niet moeilijk om op de hoogte te blijven van de recentste ontwikkelingen.

 

Dat security onderzoekers de duistere kanten van het internet verkennen en hun bevindingen publiceren, is een goede zaak voor klanten. Tegelijkertijd is er ook een groot nadeel aan deze transparantie verbonden: criminelen kunnen dit ook volgen, hun methodes aanpassen en als het ware in realtime hun malware ‘optimaliseren’. Deze aanpak was vorig jaar zichtbaar met de ontwikkeling van GandCrab, een bewijs hoe zelfs ransomware vandaag – sorry voor het buzzword – ‘agile’ is.

Nieuwe markten

Ook hackers verkennen – net zoals de held in het verhaal – onbekende oorden. In augustus maakten onderzoekers van Check Point een gloednieuwe aanvalsvector bekend. Die kan het volledige IT-netwerk van een organisatie aanvallen via… een faxnummer! Aangezien er vandaag wereldwijd nog honderdduizenden faxapparaten worden gebruikt, was deze ontdekking zeer zorgwekkend. Hierdoor is de NHS (National Health Service), de grootste afnemer van faxmachines in het Verenigd Koninkrijk, van plan om faxtoestellen in de toekomst te verbannen.

Fake news, ook in volle opgang, legde een nieuwe kwetsbaarheid bloot in de populaire berichten-app WhatsApp. De malware ‘FakesApp‘ liet een hacker toe om berichten te onderscheppen en te manipuleren waardoor hij verkeerde informatie kon creëren en verspreiden.

 

De aanvaller had toegang kunnen krijgen tot alle foto’s, logboeken, live camerabeelden en vluchtvideobeelden van de gebruiker.

 

Drones waren ook niet meer veilig. Zo kwam uit onderzoek naar voren dat de cloud-infrastructuur van DJI, één van ‘s werelds meest toonaangevende dronefabrikanten, ook kwetsbaar was. Door een fout in het gebruikersidentificatieproces, had een aanvaller mogelijk toegang kunnen krijgen tot alle foto’s, logboeken, live camerabeelden en vluchtvideobeelden van de gebruiker.

Het mobiele rondzwerven

Ook mobiele toestellen kregen het te verduren. 2018 begon met meer dan 60 nep apps voor kinderen in de officiële Play Store van Google. Die fake apps werden samen tot zeven miljoen keer gedownload en infecteerden smartphones met de ‘AdultSwine‘-malware. Ondanks alle inspanningen van Google om hun Play Store beter te beveiligen, omzeilde andere malware de detectie en kon het zich in maar liefst 22 zaklamp apps verbergen, met  tot 7,5 miljoen downloads door nietsvermoedende slachtoffers tot gevolg.

Kwetsbaarheden werden bovendien ontdekt op de mobiele toestellen zelf, met name malware in het updateproces van het toetsenbord van LG-smartphones. Dat hackers zijsprongen maken naar de manier waarop fabrikanten deze smartphones bouwen – apparaten die we allemaal dagelijks gebruiken – benadrukt nogmaals hoe zorgvuldig organisaties moeten zijn wanneer hun werknemers bedrijfsactiviteiten vanaf hun smartphones mogen uitvoeren.

 

2018 begon met meer dan 60 nep apps voor kinderen in de officiële Play Store van Google.

 

Op dezelfde manier waarschuwde het ‘Man-in-the-Disk‘-onderzoek van Check Point app-ontwikkelaars voor de gevaren die op de loer liggen bij de manier waarop ze externe opslag gebruiken, een middel dat wordt gedeeld in alle apps en niet geniet van de ingebouwde Sandbox-beveiliging van Android.

Goudzoekers

De queeste in 2018 was ook bezaaid met aanvallen op de servers en endpoints van organisaties, vaak door crypto-jackers. Terwijl cybercriminelen voorheen via ransomware en smash & grab-aanvallen snelle winsten opstreken, bood crypto-jacking hen op lange termijn meer opbrengsten door stiekem in computersystemen in te breken en de rekenkracht te gebruiken. Beste voorbeeld: in minder dan 24 uur had de malware van RubyMiner in januari vorig jaar geprobeerd om ongeveer 30% van de wereldwijde netwerken te infecteren.

Het kwam dan ook niet als een verrassing dat een maand later onderzoekers van Check Point één van de grootste kwaadwillige mining operaties ontdekten, de JenkinsMiner-campagne die gericht was tegen Jenkins, een toonaangevende open source automation server.

Naarmate het jaar vorderde, werd het snel duidelijk dat crypto-jackers aan het evolueren waren. Na onze research, zette KingMiner snel twee verbeterde versies in die de aanvaller verschillende technieken boden om emulatie- en detectiemethoden te omzeilen.

Spionage: staten zijn geen doetjes

Het zijn niet alleen cybercriminelen die nieuwe technologieën voor eigen gewin exploiteerden. Ook enkele landen manipuleerden eindgebruikers om te kunnen spioneren.  De organisatie achter de campagne Domestic Kitten liet hun slachtoffers met spyware-geïnfecteerde applicaties downloaden om gevoelige informatie over hen te verzamelen: zoals telefoongesprekken, sms-berichten, geolocatie, foto’s en veel meer.

 

De dekmantel was het Wereldkampioenschap Voetbal en ze gebruikten phishing-links en een vals wedstrijdschema dat je kon downloaden.

 

Ook anderen werden op spionage betrapt. De dekmantel was het Wereldkampioenschap Voetbal en ze gebruikten phishing-links en een vals wedstrijdschema dat je kon downloaden. Hiermee hadden ze toegang tot de SMS-berichten van de gebruikers, telefooncontacten, spraakopnames, en foto’s. De aanval was een goed voorbeeld van hoe grote evenementen worden misbruikt om potentiële slachtoffers aan te trekken en malware te verstoppen tussen de vele legitieme apps die op deze events betrekking hebben.

Aan het einde van de tocht nog een stukje ‘Terra Incognita’: Noord-Korea. Onze onderzoekers wisten SiliVaccine, de eigen antivirusoplossing van dit gesloten land, te analyseren. Eén van de fascinerende aspecten was dat een belangrijk onderdeel van SiliVaccine eigenlijk een kopie is van… Trend Micro’s virusdetectie. Merkwaardig genoeg stond SiliVaccine ook toe dat een bepaalde malware toegang had. Gezien het feit dat Noord-Korea bekend staat voor het monitoren van buitenlandse journalisten en zijn eigen dissidenten, zou dit zeker de wenkbrauwen moeten fronsen.

Conclusie

Zoals alle grote avonturenverhalen, overwon ons onderzoeksteam vorig jaar enkele grote uitdagingen en obstakels. Nu 2019 is gestart, zal Check Point Research ongetwijfeld nog veel meer soorten malware, kwetsbaarheden en exploits tegenkomen. Die zich steeds meer verleggen naar onbekende gebieden. Where no man has gone before.

Dit is een ingezonden bijdrage van Christof Jacques, Senior Security Engineer bij Check Point. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.