De confrontatie met een staat gesponsorde aanval uit China en hoe je als organisatie hiertegen te beschermen

Een Nederlands midden-groot bedrijf in de voedselindustrie ontving van hun externe Security Operations Center (SOC) een melding over verdachte activiteit. Nu is het ontvangen en onderzoeken van een melding een wekelijks en soms dagelijks terugkerend fenomeen, alleen leek deze melding serieuzer dan anderen. Daarom besloot het bedrijf om een incident response partij in te schakelen. Nerium werd benaderd en binnen 1 uur zijn we gestart.‍

Dit verhaal beschrijft het verloop van een incident response traject waarbij we te maken hadden met een door de staat gesponsorde groep uit China die het bedrijf actief bleef aanvallen. We nemen je mee in de beslissingen die het bedrijf moest maken. En ook geven we onze visie op hoe je je als organisatie kunt beschermen tegen gemotiveerde aanvallers.

‍

‍Onbekende dreiging

De ernst van de aanval was voor ons snel duidelijk, zeker toen we zagen dat de aanvallers op meer dan 10 systemen achterdeuren had geplaatst. Hiermee hadden de aanvallers de mogelijkheid om langdurige toegang te behouden tot de digitale omgeving van het bedrijf.

Het doel van de aanval was nog onduidelijk in de startfase van het incident response traject. Zijn de aanvallers uit op financieel gewin? En gaan ze dan bestanden en systemen versleutelen met ransomware? Of zijn ze uit op het stelen van informatie om politieke, economische of militaire voordelen te behalen?

De eerste indicatie dat het niet om een veelvoorkomende ransomware-aanval ging, was dat de aanvallers voorzichtig te werk leken te gaan. Zo ontweken de aanvallers bewust systemen met daarop securitysoftware die hun kwaadaardige activiteiten zouden verraden.

De prioriteit van het bedrijf en Nerium lag bij het borgen van de bedrijfscontinuïteit en voorkomen dat er data werd gestolen. Een snelle maatregel zou zijn om direct de geïdentificeerde achterdeuren te verwijderen. Alleen was er in het vroege stadium van het incident response traject geen goed beeld waar alle achterdeuren geplaatst waren. Als een aantal achterdeuren wordt verwijderd zonder zeker te zijn dat ze allemaal geïdentificeerd zijn, bestaat het risico dat de aanvallers toegang blijven behouden. Dit zorgt ervoor dat je mogelijk slapende honden wakker maakt waarna ze hun activiteiten gaan intensiveren of van strategie gaan wijzigen.

Internetverbinding afsluiten of niet?

Wat wel een effectieve maatregel is, is het afsluiten van de internetverbinding voor het hele bedrijf. Hiermee worden de aanvallers geïmmobiliseerd en wordt het risico verkleind dat ze hun activiteiten via de achterdeuren voortzetten op de digitale omgeving.

Het advies om de internetverbinding af te sluiten was gedeeld met de Chief Information Security Officer (CISO) van het bedrijf. De CISO hoorde het advies aan en was geen voorstander. Zijn vraag was: Is het mogelijk om de internetverbinding zodanig te vertragen dat er geen grote bestanden gestolen kunnen worden? Het was een creatieve oplossing. Echter hadden de aanvallers op deze manier nog steeds de mogelijkheid om ransomware uit te rollen. Dat gaat immers prima met een vertraagde internetverbinding.

Het risico dat er potentieel ransomware geplaatst kon worden vond de CISO onacceptabel, daarom was er toch besloten internetverbinding af te sluiten. Raad van bestuur was hierover geïnformeerd en ging ook akkoord als voldaan zou worden aan één voorwaarde: dat de bedrijfsvoering door moest blijven lopen. Daarom werd bepaald dat e-mail moest blijven werken en ook belangrijke onlinediensten van het bedrijf. Daarnaast moest het mogelijk blijven om op afstand bij de securitysoftware (Endpoint Detection & Response) te komen die we nodig hadden om het incident aan te pakken. Dat gebruikers niet meer konden browsen op het internet was geen probleem, dat was namelijk geen vereiste voor de bedrijfsvoering.

‍Gemotiveerde aanvallers

Na diepgaand onderzoek was een beter beeld verkregen over de aanval. We hadden aanwijzingen gevonden dat ze uit waren op het stelen van informatie. Later begrepen we dat die informatie voor China van strategisch belang was. Dat de aanval daadwerkelijk in opdracht van China was uitgevoerd hebben wij zelf niet onderzocht. Dat heeft een andere gespecialiseerde organisatie gedaan die die conclusie had getrokken.

Ondanks de ingrijpende maatregel van grotendeels afsluiten van het internet, bleven de aanvallers pogingen ondernemen om weer toegang te krijgen tot de digitale omgeving van het bedrijf. Dit gaf aan dat de aanvallers sterk gemotiveerd waren om toegang te behouden.

Uiteindelijk lukte het de aanvallers twee keer om weer toegang te krijgen. De ene keer kwamen ze weer binnen via een nog niet ontdekte achterdeur die de aanvallers eerder al hadden geplaatst. Deze achterdeur was bruikbaar omdat het op een systeem was geplaatst dat nodig was voor de bedrijfsvoering en daarom niet afgesloten was van het internet. De andere keer kwamen ze binnen via een achterdeur op een ander systeem. Dit lukte ondanks dat de internetverbinding was afgesloten en het systeem geïsoleerd was met security tooling. Voor de technische lezers: de aanvallers tunnelde de malware communicatie via DNS, ook wel DNS tunneling genoemd. Dit werd niet geblokkeerd door de security tooling (EDR) en de netwerkfirewall.

Dat de aanvallers tot 2 maal toe succesvol weer toegang hadden gekregen, was lastig te voorkomen – of het bedrijf moest volledig worden afgesloten van het internet wat de bedrijfsvoering zou verstoren. Maar omdat Nerium maatregelen hadden getroffen waren de aanvallers tijdig gedetecteerd en snel weer verwijderd. Wat voorkwam dat het verdere impact had voor het bedrijf.

‍Hoe kon het bedrijf dit incident voorkomen?

Het bedrijf was naar onze mening relatief volwassen op security-gebied en had fundamentele hygiëne grotendeels op orde, denk aan:

• Periodieke pentests en audits;
• Patchen van systemen;
• Endpoint protectie;
• Netwerk segmentatie;
• Security awareness training;
• Account tiering;
• Monitoring.

Ondanks dat het bedrijf veel op orde had, waren de aanvallers diep binnengedrongen tot de digitale omgeving. Dit had voorkomen worden door sneller in te grijpen, bijvoorbeeld door het systeem te isoleren waar de aanvallers op binnen waren gekomen. Hoeveel tijd had het bedrijf dan om het systeem te isoleren? Om precies te zijn 135 minuten, want dat was de tijd die nodig was voor de aanvallers om door te breken en toegang te krijgen tot een tweede systeem. Gemiddeld is deze doorbreektijd volgens CrowdStrike 79 minuten. Daarna wordt het lastiger om in te grijpen zonder de bedrijfsvoering te verstoren.

Snel ingrijpen is dus essentieel. Daarvoor zijn de volgende 3 elementen nodig:

• Tools voor monitoring en detectie van aanvalsactiviteit. Een Endpoint Detectie en Response (EDR) tool is een belangrijk onderdeel omdat het gebeurtenissen verzamelt op een systeem over aanvalsactiviteit. Bij verdachte activiteit stuurt het een melding naar een analist. Daarnaast heeft een volwassen EDR-oplossing een feature om in te grijpen door een systeem te isoleren zodat doorbreken van aanvallers gestopt wordt.
• Analisten met de juiste kennis die beoordelen of een melding serieus is of niet. Het beoordeelproces is voor een deel nog mensenwerk en kan naar onze mening nog niet volledig worden geautomatiseerd met behulp van kunstmatige intelligentie (AI).
• Processen die ervoor zorgen dat tijdig ingegrepen kan worden. Afspraken over op welke systemen 24/7 zonder toestemming mag worden ingegrepen.  Of waar er juist geautomatiseerd ingegrepen mag worden. En processen die ervoor zorgen dat de internetverbinding afgesloten wordt, bijvoorbeeld wanneer aanvallers doorbreken. Dit wordt geborgd in een incident response plan.

Is jullie organisatie klaar om snel in te grijpen? Neem contact met ons op voor meer informatie over hoe je je organisatie kunt beschermen tegen gemotiveerde aanvallers.