Hoe bang moet u zijn van LoJax, het computervirus dat onlangs in het nieuws kwam omdat het bijna onzichtbaar en onuitroeibaar is? ‘Nog niet heel bang’, zegt de leider van het team dat LoJax ontdekte. ‘Dit is zo complex dat je het niet op grote schaal kunt gebruiken.’
Spionagesoftware en cyberterreur zijn de jongste jaren een vast ingrediënt geworden op het geopolitieke schaakbord. Enkele jaren geleden keken we nog verrast op toen grote computerinbraken aan het licht kwamen bij bedrijven als Siemens of Belgacom, maar vandaag lijken die incidenten bijna wekelijkse kost. Het Slovaakse securitybedrijf ESET waarschuwde er deze week op een conferentie in Bratislava nog voor dat er duidelijke signalen zijn van nakende aanvallen op energie- en infrastructuurbedrijven. Het ziet verbanden met een hackersgroep die de voorbije jaren al black-outs veroorzaakte in Oekraïne.
Eind vorige maand kwam de Canadese onderzoeksafdeling van ESET met ander verontrustend nieuws op de proppen: voor de allereerste keer vonden de onderzoekers bewijzen dat er malware circuleert die een herinstallatie van het besturingssysteem én een vervanging van de harde schijf kan overleven. Ze doopten die malware LoJax, omdat de hackers misbruik maakten van een lek in een commerciële diefstalbeveiliging voor computers die de naam LoJack draagt.
LoJack werd zo ontworpen dat een volledig gewiste computer toch nog opgespoord kan worden. Dankzij kleine wijzigen in de softwarecode slaagden de hackers erin hun kwaadaardige software te nestelen in de ‘firmware’ van de geïnfecteerde toestellen, de voorgeïnstalleerde software die nog een laag dieper in het systeem zit dan de besturingssoftware. Op die manier kunnen ze een computer waarvan alle virussen al verwijderd werden, toch opnieuw besmetten.
Het Canadese team, onder leiding van Alexis Dorais-Joncas, kon aantonen dat LoJax het werk is van de beruchte hackersgroep Fancy Bear, ook bekend onder namen als Sednit of APT28. Het gaat om dezelfde groep die verantwoordelijk wordt geacht voor de inbraak in de mailservers van de Democratische Partij in de VS in 2016, en die volgens westerse inlichtingendiensten wordt aangestuurd door het Kremlin. ‘Over de identiteit van de hackers doen wij geen uitspraken’, zegt Dorais-Joncas in een gesprek met De Tijd. ‘Voor securitybedrijven is het sowieso technisch onmogelijk om daar met 100 procent zekerheid iets over te zeggen. Hackers kunnen ook bewust misleidende sporen achterlaten. Wat we wel weten, is dat Fancy Bear een groep is die geopolitieke doelwitten viseert en dus waarschijnlijk door een staat gefinancierd wordt.’
Alexis Dorais-Joncas: (denkt na) ‘Ik doe dit werk al acht jaar, en dit behoort zeker tot de 10 procent belangrijkste incidenten. We weten al jaren dat het in theorie mogelijk is om zo’n virus te maken, maar het is de eerste keer dat we het daadwerkelijk hebben aangetroffen.’
Dorais-Joncas: ‘Dat zou in principe kunnen, maar we spreken wel over zeer complexe malware. Mijn team van tien onderzoekers is maanden bezig geweest om zichzelf vertrouwd te maken met UEFI, het onderdeel van de firmware waarin het virus werd geplant. Dat is een heel andere werkomgeving dan een normaal besturingssysteem. Wie dat wil kopiëren, moet er veel tijd en geld in investeren.’
‘Op lange termijn zou het wel kunnen dat de techniek breder verspreid raakt. Een indicator daarvan zou kunnen zijn dat er in het criminele circuit kits verhandeld worden die de LoJax-code bevatten. Maar het is onmogelijk te zeggen wanneer dat zal gebeuren. Ik denk dat het nog lang een niche zal blijven.’
Dorais-Joncas: ‘Ja, daar zijn heel veel mensen mee bezig. We moeten absoluut vermijden dat de UEFI-firmware nog door onbevoegden overschreven kan worden. Het inplanten van een virus in firmware is een grens die eigenlijk nooit zou mogen overschreden worden. Helaas weten we nog niet precies op welke manier de hackers dat gedaan hebben.’
Dorais-Joncas: ‘Als zoiets ooit gebeurt, zou het wel heel erg zijn. Bekijk het als een groot softwarebedrijf dat geïnfecteerde software verkoopt. Het zou hun reputatie verwoesten. Ik mag hopen dat ze het nodige doen om dat te vermijden. Maar ik denk dat het risico eerder klein is, ik heb nog altijd vertrouwen in de beveiligingsteams van softwarebedrijven.’
Dorais-Joncas: ‘Ze zijn zeer actief, maar ze zijn zeker niet de enigen. Denk aan de Turla-groep, die zich vooral richt op de NAVO en de Europese instellingen. Andere groepen die meer actief zijn in Azië zien we steeds breder gaan in hun doelwitten. Maar er wordt wel veel gepraat over Fancy Bear omdat hun doelwitten zo bekend zijn – denk aan de vermoedelijke pogingen om de verkiezingen in de VS te beïnvloeden, of de hack van de Democratische Partij.’
‘Sommige hackers slagen er ook veel beter in om hun activiteiten te verbergen. De meeste aanvallen van de Equation Group (volgens specialisten een eenheid van de Amerikaanse inlichtingendienst NSA, red.)kwamen we pas op het spoor lang nadat ze al uitgevoerd waren. Toen bleek dat ze vier jaar onder de radar hadden gewerkt. Zulke groepen wissen hun sporen door compleet van gedaante te veranderen: ze wijzigen hun modus operandi en maken dat hun nieuwe malware niet meer gelinkt kan worden aan hun oudere malware.’
Dorais-Joncas: ‘Dat doen we bij ESET principieel niet. Ik vind het heel delicaat omdat je zeker moet zijn dat je de juiste persoon hackt. Hoe kan je dat zeker weten? Veel hacks worden uitgevoerd vanop geïnfecteerde machines, zonder dat de eigenaars ervan op de hoogte zijn. Als je hen dan hackt, val je niet de dader, maar het slachtoffer aan. Ik denk niet dat dat de oplossing is.’
Dorais-Joncas: ‘De grote, finale oplossing om alle cyberaanvallen te voorkomen zal er in elk geval nooit komen. Wat me wel hoop geeft, is dat de besturingssystemen steeds veiliger worden. Tien, vijftien jaar geleden werden bijna dagelijks lekken gevonden waarlangs wormvirussen zich heel snel konden verspreiden. Vandaag is dat heel zeldzaam.’
‘Een van de belangrijkste manieren om malware te verspreiden blijft het misbruik van menselijk vertrouwen. E-mail is de allerbelangrijkste techniek om malware te verspreiden of heel gerichte aanvallen uit te voeren. Als beveiliger streven we er vooral naar om heel veel lagen in te bouwen, zodat we de aanvallen via verschillende hoeken kunnen afweren.’
Dorais-Joncas: ‘Dat klopt, maar die bedrijven moeten ook niet opboksen tegen een tegenstander wiens enige doel het is om hun product kapot te krijgen. Die vergelijking gaat dus niet echt op.’
Dorais-Joncas: ‘Dat zou kunnen, maar vergeet niet dat het om heel complexe technieken gaat. Hackers kiezen altijd de weg van de minste weerstand. Als ze hun doel kunnen bereiken met eenvoudige technieken zoals spam, dan zullen ze dat eerst proberen. En momenteel hebben ze nog altijd heel veel goedkope technieken ter beschikking. Het is onze opdracht om de kostprijs per infectie voor de hackers op te drijven. Als dat lukt, zal het aantal doelwitten afnemen, of kunnen we hen dwingen om meer te investeren.’
Nieuwsmanager Tech & Media
