De cybercrimineel in uw server

16-09-2016

De cybercrimineel in uw server

“We hebben de aanval getraceerd naar uw bedrijfspand. Hier is ons huiszoekingsbevel zodat we over kunnen gaan tot inbeslagname.” De dader zit dus binnen, of gaat het om een medeplichtige machine? Weet u wat uw server op dit moment doet?

Ziet u het voor u? Securityprofessionals, forensische specialisten en opsporingsinstanties aan uw deur. Een grote datadiefstal, DDoS-aanval, malwaredistributie of andere digitale misdaad is gepleegd en de dader is opgespoord. En het spoor leidt naar uw organisatie. Klinkt wat vergezocht? Helaas, het is helemaal niet vergezocht; het is staande praktijk voor cybercriminelen. Door sluw gebruik te maken van uw faciliteiten kunnen zij hun (mis)daden goed uitvoeren én hun sporen wissen.

Infiltratie via lassersbedrijf

Doelwitten daarbij zijn kleinere en middelgrote bedrijven, scholen, verenigingen en andere meestal minder goed beveiligde servergebruikers. Deze doelwitten zijn dus eigenlijk slechts het middel en niet het einddoel van de computerkapers. Zie bijvoorbeeld het geval van een stoffige server in een bescheiden familiebedrijf in het Amerikaanse ‘middle of nowhere’. De trouw dienstdoende computer van Cate Machine & Welding bleek niet alleen taken te vervullen voor de eigenlijke eigenaren. Medegebruikers waren Chinese hackers, die deze MKB-server in Wisconsin hadden overgenomen om daar vandaan hun digitale infiltratiewerk te plegen. Het kleine lassersbedrijf van de familie Cate faciliteerde onwetend hackactiviteiten vanuit de backoffice.

Aangeboden: 736 servers in Nederland

Het gevaar van serverronseling voor zaken die het daglicht niet verdragen geldt niet alleen voor ondernemingen ver weg in de VS. En het gevaar komt niet alleen van geavanceerde hackers die al dan niet in staatsdienst zijn. Gewone cybercriminelen zijn ook uit op medeplichtige machines. Er is zelfs een levendige handel in, zo blijkt uit recent onderzoek van Kaspersky Lab naar ondergrondse markten. Op een mondiale cybercrimehandelsplaats worden ruim 70.624 gehackte servers te koop aangeboden, waarvan 736 stuks in Nederland staan.

Voor de duidelijkheid: deze gehackte machines worden niet fysiek gestolen en dan te koop aangeboden. Nee, ze worden digitaal gekaapt en vervolgens wordt toegang tot de geronselde servers verkocht. Zodat er sprake is van medeplichtige machines voor een hele reeks aan mogelijke misdaden. Medeplichtigheid kan zwaar aangerekend worden en onwetendheid is eigenlijk geen excuus. Dit geldt ook voor digitale misdaad.

Voorkomen is beter dan inbeslagname

Natuurlijk kan gedegen forensisch onderzoek ertoe leiden dat de daadwerkelijke daders worden opgespoord. Daarvoor is vaak wel inbeslagname nodig, wat een forse zo niet funeste impact heeft op de bedrijfsvoering. Welk bedrijf kan ineens zonder zijn back-end ICT? Want niet elk geval van een gehackte server kan rekenen op servicegerichte bijstand van specialisten die de computerkapers monitoren om aan live opsporing te doen. Bij de familie Cate in Wisconsin klopten voormalige NSA-experts aan. Maar wie krijgt u aan de deur?

Kaspersky Lab biedt een search-tool om te zien of uw IP-adres wellicht misbruikt wordt voor bekende botnetten. Deze controle helpt maar geeft geen gegarandeerde vrijwaring. Malware muteert dagelijks, nieuwe botnetten schieten als paddenstoelen uit de grond en naast gewone cybercrime bestaan er nog andere vormen van digitaal kwaad. Er zijn legio mogelijkheden die sporen van malafide figuren naar uw digitale deur kunnen leiden.

Foutje, bedankt

Laat het verhaal van een onschuldig koppel in Kansas maar eens goed bezinken. James en Theresa Arnold hebben een jarenlange ‘digitale hel’ doorgemaakt waarbij diverse digitale misdaden zijn getraceerd naar hun boerderij. Vele opsporingsbeambten maar ook woedende slachtoffers zijn bij hun uitgekomen, overdag en in het holst van de nacht, op zoek naar datadieven, belastingfraudeurs, mailhackers en andere online-onverlaten. Alleen hadden de Arnolds geen gehackte computer, laat staan een server. De oude pc met sporadisch gebruikte internetverbinding op de oude boerderij was niet de dader.

De veroorzaker van de ‘digitale hel’ was een bedrijf dat IP-adressen terugvoert naar fysieke locaties en dat daarbij een fout heeft gemaakt. Onbekende adressen werden gekoppeld aan een standaardlocatie, die grofweg in het midden van de VS ligt. De gekozen locatie voor zo’n 600 miljoen IP-adressen was dus de oprit van de boerderij waar de Arnolds wonen. De fout is inmiddels gecorrigeerd, maar naar verwachting zullen nog geruime tijd vele sporen leiden naar deze slachtoffers.

Bescherm anderen, bescherm uzelf

Naar goed Amerikaans gebruik is de IP-mapping firma nu aangeklaagd. Alleen is het leed al geleden. In het geval van een bedrijf dat erg ICT-afhankelijk is, kan de aangerichte schade nog veel groter zijn en ook andere mensen raken. Denk aan werknemers, investeerders, toeleveranciers en partners. Zij kunnen allemaal geraakt worden als opsporing van cybercrime naar uw digitale deur leidt. Bescherm dus anderen door uzelf goed te beschermen. Controleer svp nu uw IP-adressen en uw servers. En maak daar een goede gewoonte van.

Door: Martijn van Lom, General Manager Kaspersky Lab Benelux

Terug naar nieuws overzicht