Nog altijd geloven heel veel mensen dat virussen en malware geschreven worden door pubers met een fascinatie voor computers (en door antivirusbedrijven, maar dat is zo een belachelijke veronderstelling dat ik daar verder niet eens op in zal gaan). Enkele jaren geleden heeft het G DATA SecurityLab al eens een uitgebreid rapport uitgebracht waarin de hele verborgen economie achter cybermisdaad werd blootgelegd. Hieruit werd duidelijk dat er sprake is van een zeer gestructureerd netwerk waarin iedere schakel zijn eigen specialisme en functie heeft.
Zo zijn er de hostingbedrijven die het mogelijk maken dat er ondergrondse marktplaatsen zijn waarop vraag en aanbod bij elkaar kunnen komen. Op die ondergrondse marktplaatsen kun je creditcard-gegevens kopen van gegevensdieven, DDoS-aanvallen bestellen bij botnetbeheerders, spamcampagnes organiseren bij mailadressenvergaarders en je abonneren op exploitkits bij exploitontwikkelaars, zodat je bij elke update de nieuwste versie van de malware ontvangt.
Het is dan ook niet nodig voor een cybercrimineel om zelf malware te kunnen schrijven. Daarvoor zijn er de broodmalwareschrijvers. Het beroep van de broodmalwareschrijvers is misschien niet zo nobel als dat van journalist of elke ander vorm van schrijver, maar niettemin is het een beroep. In veel gevallen zijn malwareschrijvers ondernemers met vaste klanten.
Een goed voorbeeld hiervan vinden we bij de verzameling malware die is omgedoopt tot het Cobra Project. In 2008 zagen we voor het eerst malware van deze makelij: Agent.BTZ. Deze malware werd gebruikt om, onder andere, het Amerikaanse Pentagon mee aan te vallen. De aanval was succesvol en uiteraard mocht de malware daarna nog niet met pensioen.
De analisten van het G DATA SecurityLab hebben de verdere ontwikkeling van Agent.BTZ en aanverwante malware, waaronder Uroburos, ComRAT en Carbon System, nu volledig in kaart gebracht. Er zijn in totaal 46 samples verzameld die binnen het raamwerk van Project Cobra zijn ontwikkeld van over een periode van zeven jaar. Aan deze samples is duidelijk het dienstverlenende karakter van de broodmalwareschrijvers te herkennen. De verschillen tussen de opvolgende samples bestaan uit het fixen van kleine bugs, het toevoegen van nuttige features voor de gebruiker van de malware, manieren om de malware nog beter verborgen te houden op het geïnfecteerde systeem en updates die ervoor zorgden dat de malware ook bij nieuwe besturingssystemen van Windows nog altijd functioneel is.
Het komt over alsof de klant van de malwareschrijver om bepaalde features vroeg en de malware zo ‘makkelijk mogelijk’ en goed up-to-date wilde houden. En voor broodmalwareschrijvers is het een kwestie van ‘u vraagt (en betaalt), wij draaien’.
Overigens is dit voorbeeld wel illustratief voor hoe het eraan toegaat in de ondergrondse economie, maar de zaak is niet helemaal representatief voor het hele malwareschrijversgilde. De onderzoekers van G DATA onderstrepen hoe geavanceerd de code is, hoe vernuftig die in elkaar steekt en hoeveel tijd en moeite het moet hebben gekost om deze malware in eerste instantie te schrijven en vervolgens zeven jaar lang te perfectioneren en verder uit te bouwen. Dat vraagt om het soort investering waar de meeste ‘simpele’ cybercriminelen niet over beschikken. Het duidt sterk op een overheid of andere grote, financieel goed gefundeerde belangenorganisatie die grote sommen geld over zouden hebben voor dergelijke spionagetools.
De onderzoekers van het G DATA SecurityLab wagen zich liever niet aan speculaties over wie er achter Project Cobra zit. Er zijn verschillende aanwijzingen die wijzen in de richting van Rusland. Eerder werd Rusland al openlijk beschuldigd bij de aanval op het Pentagon met Agent.BTZ en ook met Uroburos hebben verschillende bronnen in de richting van Rusland gewezen. Maar het is feitelijk niet uit te sluiten dat het bijvoorbeeld alleen de malwareschrijvers zijn die uit Rusland komen en de opdrachtgevers van bijvoorbeeld een heel ander continent. Dat voelt frustrerend, helemaal omdat dit niet de enige onopgeloste zaak is van deze omvang. We kennen natuurlijk de nog altijd niet volledig opgehelderde zaken van Stuxnet (volgens geruchten in opdracht van de VS en Israël) , Regin (volgens bepaalde bronnen in opdracht van de VS) en Flame (volgens documenten van Snowden een samenwerking van de VS en Groot Brittannië), om enkele voorbeelden te noemen. Volgens de experts van G DATA is dit te vergelijken met spionnen van vroeger. Bepaalde geclassificeerde informatie kwam aan het licht en het werd niet duidelijk wie daarvoor verantwoordelijk was. Er waren (en zijn) spionnen, dubbelspionnen en driedubbelspionnen. Dat de spionage zich nu voor een groot deel heeft verplaatst naar computers, waarbij gebruik gemaakt wordt van bestaande infrastructuren, zoals internet, is niet vreemd. Spionage is immers het meest lonend op plekken waar veel waardevolle informatie te vinden is, en sinds enkele decennia is dat op computers. Des te belangrijker is het voor overheden en vooral ook voor de vitale industrie, waaronder de waterbedrijven, energiebedrijven en telecombedrijven, om zich goed te weren tegen alle vormen van malware.
Jan van Haver, Sales Operations Manager bij G Data Software
