Het DarkWeb Dream Team
Cyber crime is een extreem lucratieve business. Conservatieve schattingen spreken over anderhalf trillion dollar omzet in het jaar 2018 alleen. Dit is vergelijkbaar met het Bruto Binnenlands Product van Rusland. De georganiseerde digitale misdaad kent ook vele verschijningsvormen. Onder de meest bekende natuurlijk het hacken, phishing mails ,ransomware, darkweb marktplaatsen, diefstal van intellectueel eigendom en bedrijfsgeheimen, afpersing, etc., etc. Via dit artikel geef ik een klein inkijkje in de complexiteit en het businessmodel van een goed georkestreerde hack organisatie.
Als we het over zoveel geld hebben dan is het woord georganiseerd wel een behoorlijk understatement. We hebben het hier niet over uber script kiddies die op eigen houtje werken maar over samenwerkende teams van specialisten. Soms worden deze teams zelfs ondersteund en aangestuurd door een statelijke actor met diepe financiële zakken. We spreken dan van een Advanced Persistent Threat (APT). Dit zijn teams die ook soms een eigen signatuur hebben prijsgegeven waarmee ze te onderscheiden zijn van andere APT’s. Het toekennen van specifieke aanvallen aan APT’s middels die signatuur wordt attributie genoemd.
Tussen die hackende lone wolves en de hackende overheden zien we de digitale Organised Criminal Groups (OCG) of Cyber Organised Crime (Cyber OC) een enorme toevlucht nemen. Nogmaals, er is anderhalf trillion dollar te verdienen dus het loont ook om enorme bedragen te investeren in het optuigen van anonieme cyber organisaties, allianties, zwaar versleutelde communicatiekanalen en top notch decentrale aanvals-infrastructuren. Maffia-achtige netwerken worden opgezet om geld wit te wassen en mensen worden afgeperst, gecorrumpeerd, gechanteerd en bedreigd om mee te werken aan cyber ondermijning.
Er is al jaren een enorm tekort aan cyber security expertise bij de -normale- legitieme bedrijven. Hetzelfde geldt dan natuurlijk ook voor de OCG’s. Het is weliswaar strafbaar maar ook relatief eenvoudig om er een tweede darknet thuiswerkbaantje naast te houden en hiermee snel wat Bitcoins voor de oude dag te sparen. De BTC wallet heeft hiermee de oude sok onder het matras vervangen. Op het darkweb zijn -naast de reguliere hitman dienstensites ook werving- en selectiesites te vinden waar bovenop een knap maandsalaris ook mooie secundaire voorwaarden en prestatiebeloningen beloofd worden aan verschillende cyberspecialisten.
Een goede voorbereiding is het halve hackwerk!
Bovenstaand zeer vereenvoudigd plaatje uit het Agari rapport geeft aan welke stappen er over en weer gezet worden om een slachtoffer middels een VEC scam (Vendor Email Compromise) geld te laten overmaken. Het is duidelijk dat hier strategisch denkvermogen, (financiële) planning, automatisering en organisatiekunde aan te pas komen om dit op grote schaal toe te kunnen passen. Vaak vinden de eerste campagnes volledig geautomatiseerd plaats en zodra men de credentials beet heeft waar mee ingelogd kan worden komen er “hands on keyboard” om -soms een paar maanden- onder de radar verder intelligence te vergaren. Als voldoende intel in stelling is gebracht dan vindt de daadwerkelijke aanval plaats en is het vaak te laat om te handelen voor de gedupeerden.
Maar hoe ziet zo’n proffesioneel Cyber OC team of ondergrondse alliantie er nu echt uit? Onderstaand voorbeeld van de Engelse NCSC is indicatief en zeker niet volledig. Het geeft wel inzicht in de verschillende cyber fraude rollen die nodig zijn om van een phishing email te geraken tot dollars op een bankrekening. Laten we eens een paar van de rollen bekijken:
De Team Manager:
Het aansturen en coördineren van de geografisch verspreide specialisten vergt militaire precisie om grote sommen geld te kunnen verdienen. Het middle management heeft zijn sporen zelf al verdiend en geniet aanzien bij de uitvoerders en de eindbazen. Als oliemannetje tussen de partijen is het cruciaal geen informatie te lekken en veel kennis te hebben van versleutelde communicatie kanalen. Naast inhoudelijke expertise is het dus van belang voldoende actuele kennis en kennissen te hebben om uit handen te blijven van de cyber crime units van opsporingsdiensten.
De software ontwikkelaar (coder):
Om voorop in het kat-en-muisspel te kunnen blijven is het noodzakelijk volcontinu te blijven innoveren. De malware ontwikkelaars schrijven of kopiëren code voor nieuwe aanvalstactieken die onder de radar moeten blijven. De afgelopen 10 jaar is de malware enorm in complexiteit toegenomen om een veelheid aan commando’s te kunnen uitvoeren zoals het maken van screenshots, loggen van toetsenbordaanslagen, overnemen van computers, het wissen van sporen, etc. De nieuwste vormen van malware werken parallel en onzichtbaar en gaan pas samenwerken op het uur u.
Malware kan zich ook verstoppen in verschillende vormen van geheugen zodat het zich weer kan manifesteren als een systeem gereboot is. Ook wordt de software qua uiterlijk in lijn gebracht met de systemen die ze moeten aanvallen. Op die manier wordt het lastig voor anti-virus systemen om malware te onderscheiden van authentieke systeem- of configuratie bestanden.
De Netwerkbeheerder (network administrator):
Niet ieder team zal een eigen netwerkbeheerder of bot-herder in dienst hebben maar als dat wel het geval is dan duidt dat op de ambitie om geautomatiseerd vele duizenden systemen te hacken en deze vervolgens in te zetten als bot-net om de aanvallen verder in kracht te vermenigvuldigen. Het op globaal niveau en onbespied managen van dat soort uitgebreide bot-nets vergt specifieke kennis en kunde. De admins moeten continu het web scannen op kwetsbare systemen, deze compromitteren, onder de radar blijven en vervolgens aanbieden aan de volgende schakel in de cyber keten.
Specifieke encryptie- en anonimiseringstools behoren tot het vaste gereedschap van de bot-herders. Ze moeten immers niet opgemerkt worden door de -door artificial inteligence ondersteunde- detectiesystemen. Knappe jongens en meisjes, die bot-herders :-)
Intrusie specialist:
Als er door de bots en phishing campagnes succesvol is ingebroken of een payload is afgegeven dan gaat de intrusie specialist een bepaalde tijd onder de radar in het gehackte netwerk op zoek naar de kroonjuwelen. Deze specialist bezit weer andere programmatuur (exploits) waarmee hij of zij lateraal in het netwerk kan uitbreken door kwetsbaarheden te exploiteren. Door middel van zogenaamde privilege escalation probeert de hacker meer en meer rechten over de systemen te bemachtigen totdat voldoende rechten in handen zijn (onder andere via een zogenaamd active directory Golden Ticket) om de aanval te volbrengen.
Het in stealth mode vanuit een stepping-stone (bijv. een oude printserver, IP-camera, etc.) in een netwerk opereren vergt ook weer bijzondere competenties en met name veel geduld. Het is ook hier een kunst op zich om het hack-gedrag te laten lijken op typisch gedrag van reguliere netwerkcomponenten waardoor de activiteiten niet door het Intrusion Detection Systems (IDS) opgemerkt worden.
Data Miner:
Zonder een data miner in het team wordt het lastig om door al die gestolen terabyte-bomen het bos nog te zien. Bulk data en soms ook ongestructureerde data moet begrepen, vertaald, verrijkt en verkoop-klaar gemaakt worden. Ga maar eens handmatig zoeken op een harde schijf naar BSN-nummers, bankgegevens, medische informatie, persoonsgegevens, etc. Dat is onbegonnen werk, ook voor cyber criminals. De data miner gebruikt hiervoor gespecialiseerde tooling.
Het verkopen van geaggregeerde en gecombineerde datasets is ook vele malen lucratiever dan het op een marktplaats aanbieden van een gestolen backup file. Data miners verdienen zichzelf ook in no time terug dus. Een voorwaarde om deel te mogen uitmaken van het dream team!
Verkoper (Money Specialist)
Zodra het team goede kwalitatieve datasets heeft samengesteld kan de verkoop beginnen. De verkoper onderhoudt contacten met de markt en weet voor welke klant welke dataset interessant is. Sommige data wordt in bulk de marktplaats opgeslingerd en sommige data is dermate gevoelig dat die per record verkocht kan worden. De money specialist kent de juiste distributiekanalen en zorgt ervoor dat er crypto-boter bij de vis komt. In de tussentijd kan het het slachtoffer afgeperst worden en zal ook die soms Bitcoins overmaken. Een Win-Win-Lose situatie!
Overige ketendiensten
Ik schreef al eerder dat al die tussenstappen ook afzonderlijk als dienst in te kopen zijn. De ver-SaaS-ing van de cyber criminaliteit is al in volle gang. Veelgebruikte cyber crime diensten zijn bijvoorbeeld:
- bulletproof hosting, levert webservers, cpu power en storage als dienst maar werkt niet mee aan opsporingsverzoeken.
- Counter Anti-Virus (CAV) Services, testen van malware op alle voorhanden antivirus scanprogramma’s.
- Escrow Services, houdt de illegale bitcoin betaling nog even vast totdat de klant de bestelling heeft gevalideerd.
- Cryptor Services, versleutelt de malware/payload zodat deze niet meer te herkennen is.
- Drop Services, wassen zwart (niet alleen cyber) geld om naar wit geld en andersom, regelen geld transport en verzorgen logistieke diensten voor afleveren goederen.
De ketens werken onderling nauw samen en maken aan het eind van de keten zoals hierboven beschreven ook vaak gebruik van het al bestaande maffia witwas netwerk via geldezels, stromannen en katvangers. Ook hier hier is sprake van specialisatie door bijvoorbeeld geldezel herders en ondergrondse netwerken die de aangekochte drugs en wapens op de zwarte markt omzetten in dollars of vastgoed.
En zo is de cirkel weer rond!
CC BY 3.0 NL, Dimitri van Zantvliet Rozemeijer MBA CISA CISM CIPP/E CIPM FIP