Het onderzoeksteam van security-aanbieder CyberArk Labs heeft signalen waargenomen van evoluerende innovaties in cyber-aanvallen die het potentieel hebben om het security-landschap in de komende 12 maanden aanzienlijk te veranderen.
Criminele organisaties gebruiken ook DevOps
DevOps verandert de manier waarop zaken worden gedaan en criminele organisaties vormen daarop geen uitzondering. Net als legitieme softwareleveranciers maken aanvallers gebruik van CI/CD-pijplijnen, cloudinfrastructuur en andere digitale technologieën om nieuwe malware as a service (MaaS)-aanbiedingen te ontwikkelen en te verkopen. De noodzaak om nieuwe functies snel op de markt te brengen, wordt ingegeven door de groeiende (ondergrondse) vraag naar populaire tools zoals malware voor het stelen van gebruikersgegevens en andere geprivilegieerde informatie. Dergelijke malware is niet alleen krachtig, maar ook eenvoudig direct te gebruiken, waardoor zowel beginnende aanvallers als geraffineerde staat-hackers worden aangemoedigd.
Aanvallersgroepen maken gebruik van de krachten van verschillende experts om deze diensten te gelde te maken en hun activiteiten uit te breiden – van ontwikkelaars die de exploitcode schrijven, tot technici die de aanvalsinfrastructuur ontwerpen, tot aanvallers die deze nieuwe exploits gebruiken om netwerken aan te vallen.
Naarmate deze criminele groepen echter meer en meer op “echte” ondernemingen gaan lijken, stellen ze zich ook bloot aan nieuwe risico’s. Net als elke andere onderneming krijgen ze te maken met nieuwe beveiligingsuitdagingen zoals het beheer van multi-tenant SaaS-applicaties en de beveiliging van externe toegang tot gevoelige systemen en gegevens. Terwijl ze gedwongen worden hun eigen beveiligingsmaatregelen op te voeren, zullen tegenstanders steeds vaker betrapt worden door verdedigers die hun eigen offensieve tactieken tegen hen gebruiken.
Automatiseren van supply chain aanvallen met open source
Open source software stimuleert innovatie, maar betekent ook een vergroting van het aantal aanvalsmogelijkheden en een manier voor aanvallers om hun inspanningen te automatiseren, detectie te omzeilen en meer schade aan te richten. De inbraak bij Codecov in april 2021 heeft laten zien hoe één subtiele aanpassing in één regel code een volledig onschuldige softwarebibliotheek kan veranderen in een kwaadaardige bibliotheek, waardoor elke organisatie die er gebruik van maakt in gevaar komt. Met behulp van deze zeer effectieve infiltratiemethode kunnen aanvallers zich richten op duizenden organisaties in een toeleveringsketen en hun inloggegevens stelen.
In de komende 12 maanden zullen aanvallers blijven zoeken naar nieuwe manieren om open source bibliotheken te compromitteren. CyberArk Lab heeft gezien hoe aanvallers typosquatting-achtige aanvallen uitvoerden door codepakketten te maken met subtiele veranderingen in de namen van de pakketten (bijv. atlas-client vs. atlas_client). Dit waren in feite ‘getrojaniseerde’ versies van de originele pakketten, die een achterdeur of functionaliteit voor het stelen van referenties implementeren of downloaden. In een ander geval werd een NPM-pakket getrojaniseerd om een cryptomining script en malware voor het stelen van referenties uit te voeren nadat de referenties van een ontwikkelaar waren achterhaald.
Organisaties moeten waakzaam blijven, omdat deze subtiele aanvallen zelden signalen afgeven en ze uiterst moeilijk te detecteren zijn. Dergelijke softwarebibliotheken worden in de pijplijn geïmplementeerd als onderdeel van legitieme dagelijkse activiteiten, en zien er in veel gevallen goedaardig uit omdat de kwaadaardige code als een dependency wordt gedownload. Aangezien deze geautomatiseerde aanvallen gemakkelijk en snel kunnen worden uitgevoerd met een zeer beperkte handtekening, zullen ze nog vaker voorkomen, plotseling plaatsvinden en nog meer schade aanrichten.
Verstoppen in het volle zicht
Beveiliging wordt nog ingewikkelder dankzij nieuwe schuilplaatsen die worden geïntroduceerd door cloud‑, virtualisatie- en containertechnologieën. Nu microvirtualisering steeds populairder wordt, kunnen aanvallers malware bijvoorbeeld isoleren in deze virtuele systemen en verborgen houden voor hostgebaseerde beveiligingscontroles. Deze nieuwe aanvalstechnieken worden nog niet veel waargenomen, maar er zijn al voorbeelden gezien bij met name financieel gemotiveerde aanvallers die systemen zoals Windows Subsystem for Linux (WSL) testen – een subsysteem dat credential- en verificatieprocessen beveiligt – terwijl ze op zoek zijn naar nieuwe manieren om endpoints in gevaar te brengen. Door bijvoorbeeld ransomware binnen een Linux-infrastructuur uit te voeren, kunnen Endpoint Detection and Response (EDR) en andere hostgebaseerde endpointbeveiliging de kwaadaardige activiteit meestal niet identificeren, waardoor aanvallers gemakkelijk gegevens kunnen versleutelen of stelen. Dit gebeurt allemaal, verborgen, in het volle zicht.
