Cybercriminelen richten zich steeds vaker op bedrijven in de transport- en logistieke sector door beheertools te misbruiken om fysieke goederen te stelen.
Volgens een recent rapport van Proofpoint worden transporteurs en vrachtagenten ingeschakeld via ogenschijnlijk vertrouwde uitnodigingen, waarna zogenoemde Remote Monitoring and Management-tools (RMM) worden geïnstalleerd op de systemen van de organisatie.
Volgens de onderzoekers begint het proces vaak met een gecompromitteerd account op een platform voor vrachtplaatsingen, of met een gekaapt e-mailgeval van een transporteur. De aanval wordt in gang gezet zodra bijvoorbeeld een vervoerder reageert op een valse vrachtaanbieding: de aanvaller stuurt een malafide link of bestand dat een RMM-tool installeert. Met die toegang kan de crimineel zich voordoen als vertrouwde partij, boekingen wijzigen, meldingen blokkeren en zelfs telefoons van planners gebruiken om rechtstreeks met makelaars te communiceren.
Het gebruik van dit type tooling is opvallend. In de geanalyseerde gevallen kwamen onder andere softwarepakketten voor zoals ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able en LogMeIn Resolve. Proofpoint stelt met een hoge mate van zekerheid vast dat georganiseerde criminaliteit betrokken is bij deze keten van aanvallen, gericht op het stelen en vervolgens doorverkopen of exporteren van goederen.
Logistiek aantrekkelijk doelwit
De logistieke sector levert hierbij een aantrekkelijk doelwit op vanwege de fysieke waarde van de vracht en de complexe keten van partijen die erbij betrokken zijn. Volgens het rapport leidde vrachtdiefstal in de VS bijvoorbeeld tot een geschatte jaarlijkse schade van 34 miljard USD. Zodra de aanvaller eenmaal toegang heeft, voert hij netwerk en systeemverkenning uit, verzamelt inloggegevens en kan zo verder doordringen in de infrastructuur van het slachtoffer.
Hoewel veel van de geïdentificeerde campagnes zich richten op Noord-Amerika, constateren de onderzoekers dat het fenomeen wereldwijd voorkomt, met incidenten in onder meer Brazilië, Mexico, India, Duitsland, Chili en Zuid-Afrika.
Om dit soort aanvallen te voorkomen adviseert Proofpoint bedrijven in de sector onder andere om de installatie van externe beheertools strikt te reguleren, verdachte netwerkactiviteit te monitoren en uitvoerbare bijlagen (.exe, .msi) via e-mail actief te blokkeren.
Voor logistieke bedrijven betekent dit dat de grens tussen cyberbeveiliging en fysieke beveiliging steeds vager wordt: het gaat niet langer alleen om het beschermen van data, maar om het voorkomen van daadwerkelijke diefstal van goederen. In die zin is digitalisering van de supply-chain een uitdaging geworden die zwaarder weegt dan enkel efficiëntieverbetering.