Criminelen op het darkweb beschouwen het "Internet of Things" als hun volgende grote hackdoelwit

Gepubliceerd op 14 januari 2023 om 07:00

John Hultquist, vice-president inlichtingenanalyse bij het cyberbeveiligingsbedrijf Mandiant, dat eigendom is van Google, vergelijkt zijn werk met het bestuderen van criminele geesten door een rietje frisdrank. Hij volgt cyberbedreigingsgroepen in real time op het darkweb en ziet wat neerkomt op een vrije markt van criminele innovatie.

Cyberaanvallen evolueren gevaarlijk

Cybercriminelen kopen en verkopen diensten, waaronder het populaire idee - een bedrijfsmodel voor een misdaad - kan snel de pan uit rijzen als mensen beseffen dat het werkt om mensen schade te berokkenen of te laten betalen. Vorig jaar was dat ransomware, toen criminele hackersgroepen uitvonden hoe ze servers konden platleggen via zogenaamde directed denial of service-aanvallen. Maar 2022 kan volgens deskundigen een keerpunt zijn geweest, vanwege de snelle verspreiding van Internet of Things (IoT)-apparaten.

Aanvallen evolueren van aanvallen die computers uitschakelen of gegevens stelen naar aanvallen die het dagelijks leven directer kunnen verstoren. IoT-apparaten kunnen de ingang vormen voor aanvallen op delen van de kritieke infrastructuur van landen, zoals elektriciteitsnetten of pijpleidingen, of ze kunnen het specifieke doelwit zijn van criminelen, zoals in het geval van auto's of medische apparaten die software bevatten.

"Wat ik wens is dat kwetsbaarheden in de cyberbeveiliging nooit negatieve gevolgen kunnen hebben voor mensenlevens en infrastructuur", zegt Meredith Schnur, cybermakelaar leider voor VS & Canada bij Marsh & McLennan, dat grote bedrijven verzekert tegen cyberaanvallen. "Al het andere is gewoon zakelijk."

Cyberaanvallen grootste bedreiging

In het afgelopen decennium hebben fabrikanten, softwarebedrijven en consumenten zich gestort op de belofte van Internet of Things apparaten. Nu zijn er naar schatting 17 miljard in de wereld, van printers tot garagedeuropeners, elk geladen met software (waarvan sommige open-source software is) die gemakkelijk kan worden gehackt. In een interview met The Financial Times op 26 december zei Mario Greco, group CEO van grote verzekeraar Zurich Insurance Group, dat cyberaanvallen voor verzekeraars een grotere bedreiging kunnen vormen dan pandemieën en klimaatverandering, als hackers erop uit zijn om levens te verstoren in plaats van alleen te spioneren of gegevens te stelen.

IoT-apparaten zijn een belangrijk toegangspunt voor veel aanvallen, volgens het Digital Defense Report 2022 van Microsoft. "Terwijl de beveiliging van IT-hardware en -software de afgelopen jaren is verbeterd, heeft de beveiliging van Internet of Things (IoT) ... geen gelijke tred gehouden", aldus het rapport.

Een golf van aanvallen die het afgelopen jaar via de cyberwereld de fysieke wereld hebben bereikt, laat zien dat de inzet steeds hoger wordt. Afgelopen februari legde Toyota een van zijn fabrieken stil vanwege een cyberaanval. In april werd het Oekraïense elektriciteitsnet aangevallen. In mei werd de haven van Londen getroffen door een cyberaanval. Daarna volgde een reeks van 2021 grote aanvallen op kritieke infrastructuur in de VS, waarbij de energie- en voedselvoorzieningsactiviteiten van Colonial Pipeline en vleesverpakkingsconcern JBS werden stilgelegd. Hier een overzicht van alle aanvallen per week.

IoT-cyberaanval mogelijkheid groeit

Veel deskundigen voorzien de dag waarop ondernemende criminelen of hackers die gelieerd zijn aan een natiestaat een gemakkelijk repliceerbaar plan bedenken waarbij op grote schaal gebruik wordt gemaakt van IoT-apparaten. Een groep criminelen, misschien gelieerd aan een buitenlandse regering, zou kunnen uitvinden hoe de controle over veel dingen tegelijk kan worden overgenomen - zoals auto's of medische apparatuur. "We hebben al grootschalige aanvallen gezien waarbij IoT werd gebruikt, in de vorm van IoT-botnets. In dat geval gebruikten actoren ongepatchte kwetsbaarheden in IoT-apparaten om de controle over die apparaten te gebruiken voor denial-of-service-aanvallen tegen vele doelwitten. Die kwetsbaarheden worden regelmatig aangetroffen in alomtegenwoordige producten die zelden worden bijgewerkt."

Met andere woorden, de mogelijkheid bestaat al; het is alleen een kwestie van wanneer een crimineel of een natie besluit de fysieke wereld op grote schaal aan te vallen. "Het is niet altijd de kunst van het mogelijke. Het is een marktgedreven iets," zei Hultquist. "Iemand bedenkt een plan waarmee hij geld kan verdienen."

Behalve snel reageren op aanvallen, is het enige antwoord op het "kat-en-muisspel" constante innovatie, zei Shlomo Kramer, een vroege investeerder in Palo Alto Networks en momenteel een van de topinvesteerders in cyberbeveiliging wereldwijd.

Er zijn een handvol bedrijven, nieuwe regelgevende benaderingen, een groeiende focus op auto's als een bijzonder belangrijk gebied, en een nieuwe beweging binnen de software engineering wereld om cybersecurity beter te integreren vanaf het begin.

Het Internet of Things heeft een groot updateprobleem

De cyberbeveiligingsindustrie gaat vooruit. Bedrijven als ForeScout en Phosphorus richten zich op Internet of Things beveiliging, met de nadruk op een constante inventarisatie van "endpoints" - waar nieuwe apparaten verbinding maken met een netwerk.

Maar een van de grootste problemen met Internet of Things beveiliging is dat er geen goed proces is voor het updaten van apparaten met patches wanneer nieuwe kwetsbaarheden, hacks of aanvallen worden ontdekt, zegt Greg Clark, voormalig CEO van Symantec en momenteel voorzitter van Forescout. Veel gebruikers zijn gewend om updates en patches te downloaden voor computers en telefoons; en zelfs in die gevallen neemt een aanzienlijk aantal gebruikers niet de moeite om de updates uit te voeren.

Bij IoT is het probleem nog groter: Wie neemt bijvoorbeeld de moeite om zijn garagedeuropener te updaten? "Niet veel van de IoT-apparaten hebben een systeem om de code bij te werken," zegt Clark. "Het wordt een serieus probleem om de kwetsbaarheden in IoT te verhelpen."

Hij zegt dat een focus voor cyberbeveiligingsbedrijven is geworden het plaatsen van controles rond de apparaten, zodat ze alleen een specifieke set dingen kunnen doen. Op die manier kunnen de apparaten niet worden bewapend om aanvallen op andere netwerken uit te voeren. "Er zijn veel hamers aan het zwaaien," zei Clark, op producten die het IoT veiliger maken.

Medische apparaten, die als bijzonder belangrijk en bijzonder kwetsbaar worden gezien, zijn een aandachtspunt. Vorige maand kondigde Palo Alto Networks een nieuw product aan gericht op makers van medische apparaten.

Makers van IoT-apparaten zijn niet genoeg gereguleerd

Omdat de uitdagingen nieuw zijn en alle sectoren raken, blijven de Amerikaanse en Europese richtlijnen en voorschriften een lappendeken. Dat heeft veel van de IoT-cyberbeveiliging overgelaten aan consumenten en bedrijven in alle sectoren, in plaats van aan de vele fabrikanten die IoT-apparaten maken.

"Ik heb goede hoop dat er een aantal nieuwe normen en nieuwere voorschriften komen die verkopers dwingen om meer te doen", zegt Randy Trzeciak, directeur van het Scientific Information and Security Policy and Management programma aan de Carnegie Mellon University. "Er moet een nationale discussie komen over de beveiliging van apparaten, en waar de fabrikant enige verantwoordelijkheid moet nemen."

Clark zei dat CISA en de National Institutes of Standards and Technology samenwerken en richtlijnen uitvaardigen voor de duizenden fabrikanten die IoT-apparaten maken, die betrekking hebben op zaken als ervoor zorgen dat IoT-apparaten zichzelf identificeren bij netwerken wanneer ze eraan worden toegevoegd. In 2020 heeft het Amerikaanse Congres de richtlijnen omgezet in een wet, maar alleen voor bedrijven die IoT-apparaten leveren aan de Amerikaanse overheid. Een woordvoerder van de National Institutes of Standards and Technology zei dat dit de enige nationale wet is die het agentschap kent. Er zijn ook enkele staatsspecifieke en industriespecifieke wetten: Gegevens in medische apparaten zouden bijvoorbeeld onder HIPAA vallen, en de National Highway Traffic Safety Administration heeft enige jurisdictie over auto's.

Sommige investeerders en leidinggevenden verwelkomen voorzichtig de toenemende betrokkenheid van regelgevers. "Het is gewoon te complex," zei Kramer. "Er zijn niet genoeg gekwalificeerde en ervaren beveiligingsmensen."

Hoe auto's het doelwit zijn

Nu steeds meer criminele hackers hun aanvallen richten op de fysieke sfeer, zijn auto's een doelwit. Dit omvat diefstal, waarbij aanvallers keyless entry-systemen gebruiken, en aanvallen op gevoelige informatie die nu in auto's is opgeslagen, zoals kaarten en creditcardgegevens.

Onder aanvoering van de Europese Unie nemen landen over de hele wereld in hoog tempo voorschriften inzake cyberbeveiliging voor auto's aan; die van de EU zijn in juli vorig jaar van kracht geworden.

De overgang naar elektrische voertuigen biedt toezichthouders een kans om criminelen voor te zijn. Naarmate de nieuwe technologie de toegangsdrempels verlaagde, kwamen meer autobedrijven op de markt. Dat bood toezichthouders de kans om samen te werken met industriegroepen die hun eigen industrieën wilden beschermen.

Bezorgdheid over auto's is niets nieuws. In een baanbrekend experiment in 2015 vielen twee hackers een Jeep Cherokee aan. "Ze schakelden de motor uit op de snelweg - de remmen reageerden niet. Dit is geen prettige situatie", zegt David Barzilai, CEO van een zes jaar oud Israëlisch bedrijf genaamd Karamba Security, dat autobedrijven helpt hun IoT-apparaten veiliger te maken.

Barzilai zegt dat er de afgelopen 12 maanden tientallen aanvallen zijn geweest, zowel door zware criminele bendes als door tieners. "Toen we zes jaar geleden begonnen, kwamen de aanvallen uit staten, meestal China," zegt hij. "In de afgelopen 12 maanden is er een democratisering geweest" in autoaanvallen, zei hij, wijzend op het geval van de tiener die in januari 2022 uitvogelde hoe hij toegang kon krijgen tot de besturingssystemen van enkele tientallen Teslas tegelijk, en dat al gedaan had.

Aangesloten auto's hebben meestal SIM-kaarten, die hackers via cellulaire netwerken kunnen aanvallen, zei hij. "Alle auto's van hetzelfde automodel gebruiken dezelfde software," zei hij. "Zodra hackers een kwetsbaarheid identificeren, en een manier om die op afstand uit te buiten, kunnen ze de aanval repliceren op andere voertuigen."

Cybersecurity preventie is efficiënter

Cyberbeveiliging als bedrijfstak groeide voornamelijk als een poging om achteraf software en hardware te repareren die al lang op de markt waren, omdat criminelen en buitenlandse regeringen kwetsbaarheden in de systemen ontdekten die zij konden uitbuiten. Uit een studie van IBM's System Science's Institute bleek dat het zes keer meer kost om een kwetsbaarheid op het gebied van cyberbeveiliging te verhelpen terwijl software wordt geïmplementeerd dan wanneer deze in ontwikkeling is. IoT is nog relatief nieuw als industrie, waardoor beveiligingsgerichte ontwikkelaars een kans hebben om het kat-en-muisspel voor te zijn, zegt Trzeciak, en er is een groeiende beweging van onderzoekers en ontwikkelaars die hieraan werken, waaronder het DevSecOps-initiatief van Carnegie Mellon's Software Engineering Institute, dat tot doel heeft beveiliging toe te voegen aan eerdere stadia van softwareontwikkeling. Die procesmatige innovatie zou alle soorten software, ook die in auto's en medische apparatuur, veiliger kunnen maken - en daarmee apparaten veiliger.

Bron: cnbc.com

Meer darkweb nieuws

Cybercrime en darkweb hand in hand

De meeste beveiligingsincidenten zijn toe te schrijven aan cybercriminelen die gevoelige informatie stelen om op het darkweb te verkopen, of data en systemen versleutelen met ransomware om losgeld te kunnen vragen.

Lees meer »

Pedohandleiding op het Darkweb nu strafbaar gesteld

Het verspreiden, verwerven of  in bezit hebben van een handleiding met tips en trucs voor het seksueel misbruiken van kinderen wordt expliciet strafbaar gesteld. Er komt een gevangenisstraf van maximaal vier jaar op te staan. Zo’n ‘pedohandboek’ of ‘pedohandleiding’ brengt kinderen in gevaar, omdat het een voedingsbodem is voor de kindermisbruiker die zijn slag wil slaan. Dit is de kern van een wetsvoorstel van minister Grapperhaus (Justitie en Veiligheid) dat vandaag in consultatie is gegaan.

Lees meer »