Wij zijn met behulp van onze technologische partners op onderzoek getrokken hoe de Democratische partij juist gehacked werd en we onderzochten of er effectief bewijs is dat de Russen erachter zitten.
We proberen hiermee mensen bewust te maken hoe hacking verloopt, en zoals je zal lezen, is het eenvoudiger dan je denkt. Als je niet voorzichtig bent, kan jouw organisatie hier ook het slachtoffer van worden.
De hackers hebben een eenvoudige maar efficiënte manier gebruikt om binnen te geraken in het systeem van de Democratische partij. Ze hebben namelijk een vervalste email verzonden naar verschillende werknemers van de Democratische partij, met daarin een link naar een nagemaakte webpagina. Deze webpagina ziet er net hetzelfde uit als de webmail loginpagina van deze werknemers. De domeinnaam zal slechts licht verschillen van de legitieme domeinnaam, waardoor verschillende gebruikers niet doorhebben dat ze hun email adres en hun wachtwoord invullen op de website van de hackers. Deze techniek heet Spear Phishing. Bron.
Hierdoor hebben de hackers één of meerdere email adressen en hun bijhorende wachtwoord. Met deze gegevens kunnen ze binnen geraken op de systemen van de Democratische partij.
Deze malware is specifiek ontwikkeld om onder de radar te blijven en om efficiënt bestanden te doorzoeken en door te sturen. De malware is een ‘toolbox’ om vanop afstand allerlei taken uit te voeren op de geïnfecteerde systemen zonder ontdekt te worden. Moesten de hackers telkens inloggen met de gestolen inlog gegevens uit stap 1, dan zouden ze snel ontdekt en geblokkeerd kunnen worden.
Het beveiligingsbedrijf Wordfence heeft het stukje code van de malware geanaliseerd en is tot heel interessante conclusies gekomen. Ze hebben namelijk het stukje vrijgegeven code vergeleken met hun zeer uitgebreide databank van malware die gebruikt wordt om WordPress websites aan te vallen. Bron.
Ze zijn er achter gekomen dat ongeveer dezelfde code is gebruikt werd in eerdere aanvallen op websites. Het nadeel was dat deze code gedeeltelijk geëncrypteerd was. Ze hebben echter het wachtwoord van een hacker kunnen onderscheppen waardoor ze de code konden decrypten.
Met de ontcijferde code zijn ze op zoek gegaan naar de auteur van de malware en dit blijkt malware te zijn die in Oekraïne ontwikkeld is. Zie screenshot hierlangs.
Het is echter opvallend dat de code die de FBI/DHS vrijgeeft, dat de versie van de malware ouder is dan de huidige versie. De hackers hebben dus een verouderde versie van de malware tool gebruikt.
De bovenstaande analyse is dus zeker geen bewijs dat de Russen de Democratise partij gehacked hebben. In principe kan iedereen deze malware gratis downloaden en een Spear Phishing campagne opzetten.
De opmerking van Donald Trump is dus niet volledig uit de lucht gegrepen (zie tweet hierlangs). In principe kan een technische vaardige 14 jarige het bovenstaande uitvoeren.
Screenshot malware ontwikkeld in Oekraïne
Julian Assange said "a 14 year old could have hacked Podesta" - why was DNC so careless? Also said Russians did not give him the info!
— Donald J. Trump (@realDonaldTrump) January 4, 2017
Er zijn echter twee manieren om hier naar te kijken:
Opvallend is echter dat beide groepen een vergelijkbare strategie hebben gevolgd om malware te installeren op de servers van de Democratische partij maar dat ze beide aanvallen toch volledig los van elkaar hebben uitgevoerd.
Uit een analyse van Crowdstrike blijkt echter dat Russische inlichtingendiensten zeer gefragmenteerd werken. Ze gaan er dus vanuit dat de FSB (vroegere KGB, binnenlandse inlichtingen) de GRU (militaire inlichtingen) of de SRV (buitenlandse inlichtingen) onafhankelijk van elkaar aanvallen hebben uitgevoerd. Bron.
In het rapport zelf staat er echter geen duidelijk bewijs dat dit effectief het geval is.
Met andere woorden: ofwel hebben de Amerikanen geen sluitend bewijs dat de Russen de Democratische partij effectief gehacked hebben en worden er spelletjes op hoog niveau gespeeld ofwel hebben ze wel degelijk bewijs maar zijn de methodes om dit bewijs te bekomen geheim waardoor ze dit niet kunnen delen.
Het is dus uitermate belangrijk dat de systemen van jouw organisatie regelmatig nagekeken worden op malware maar ook dat de werknemers van je organisatie bewust gemaakt worden van spearphising en de gevolgen daarvan.
Vergeet niet dat Belgacom enkele jaren geleden jaren lang malware heeft gehad die informatie doorspeelde naar de Britse geheime diensten. Dit is in zekere zin een vergelijkbare case. Uitleg case.
Bij vragen, contacteer ons gerust via flux.be of info@flux.be