Cyberspionage: van filmscene naar realiteit

Spionage: onzichtbaar gevaar ligt op de loer

Voor een welvarend, vooroplopend land als Nederland is spionage een serieus risico. Binnen onze systemen zijn dan ook veel spionnen actief. "Vaak zijn ze aan landen als Rusland, China, en Noord-Korea gelieerd", vertelt Butcher. "Als klein land spelen we binnen Europa een grote rol. We hebben namelijk niet alleen veel kennis en vooruitstrevende hightechbedrijven in 'huis', we voeren ook veel baanbrekende onderzoeken uit en zijn bovendien een handelsnatie. Al deze kennis is voor landen interessant. We weten dat andere landen actief bezig zijn om hun eigen land en economie te helpen. Wat doe je dan? Dan ga je flink investeren om bij andere landen op zoek te gaan naar specifieke informatie wat kan helpen. Tijd en geld spelen hierbij geen rol."

Zoals gezegd zit er vaak een land, een zogenoemde statelijke actor, achter digitale spionage. "Criminele hackers zijn er op uit om snel veel geld te verdienen", legt Butcher uit. "Zit er een land achter, dan spelen er andere drijfveren; ze willen kennis vergaren, de eigen economie met gestolen intellectueel eigendom vooruit helpen, inzicht in militaire plannen krijgen, de eigen reputatie versterken, voordeel halen in geopolitieke onderhandelingen, de democratie ondermijnen en zo verder."

Spionage bestaat in de praktijk vaak uit het bij elkaar brengen van allerlei puzzelstukjes. "Elk stukje afzonderlijk lijkt misschien niet zo bijzonder, maar samen vormen ze een waardevol geheel voor het land erachter", vertelt de cyberexpert. "Daardoor zijn ook 'normale' bedrijven doelwit voor statelijke actoren. Ook al hebben ze geen staatsgeheimen of super innovatief intellectueel eigendom, toch valt er vaak wel wat te halen voor buitenlandse spionnen. Denk bijvoorbeeld aan informatie over mensen, klanten, hun interesses en relaties, hun reisbewegingen; dat kunnen allemaal puzzelstukjes zijn om in kaart te brengen wie zich waarmee bezighoudt, en hoe ze te benaderen voor een beïnvloedingscampagne of andere cyberoperatie."

Geen massawerk, maar maatwerk

Digitale spionage geeft het 007-gevoel, omdat het zo’n exclusief cybermiddel is. "Het is de crème de la crème onder de cyberaanvallen", aldus Butcher. "In zo'n geval heb je namelijk met een tegenstander te maken die heel gericht en geraffineerd aanvallen uitvoert. Ransomware-criminelen herhalen vaak hetzelfde kunstje keer op keer om snel te kunnen cashen: binnen hacken, IT-systemen overnemen, data stelen, bestanden versleutelen en afpersen. Daarbij gaan ze vaak vrij grof te werk, gebruiken ze bekende tools en technieken, en richten ze zich veel meer op snelheid dan subtiliteit. Bij spionage-aanvallen zien we iets heel anders."

De cyberexpert stelt dat digitale spionnen niet uit zijn op zo snel mogelijk zoveel mogelijk slachtoffers maken. Nee, ze zijn uit op informatie, op diepgang; ze hebben een langetermijnvisie. "Het is een heel ander spel. Waar criminele hackers het niets uitmaakt als ze gezien worden nadat ze de buit binnen hebben, is het doel bij spionage om onder de radar te blijven. Zo lang mogelijk stil binnen de IT-systemen rondhangen om interessante informatie te stelen, daar draait het om. Het is een totaal andere dynamiek; er wordt veel geïnvesteerd in dat soort aanvallen, ze hebben tijd om voorzichtig te zijn en gebruiken minder vaak standaard, bekende tools en technieken."

Werkwijze van spionnen

Spionage is een type cyberaanval, net zoals ransomware, Business E-mail Compromise etc. Echter, ze gebruiken andere tools en technieken om minder op te vallen. "Vaak zien we dat spionnen unieke, vernuftige tools gebruiken om niet te worden gedetecteerd. Zo maken ze bijvoorbeeld soms gebruik van een kwetsbaarheid in software dat nog niet bij de grote club criminele hackers bekend is. Statelijke actoren gaan op zoek naar dergelijke kwetsbaarheden om ze stiekem in een aanval te gebruiken."

Butcher stelt dat spionnen de tijd hebben om langzaam binnen te komen en stil binnen het bedrijf rond te hangen op zoek naar informatie. "Dit verandert het spel. Als verdediger heb je het veel moeilijker. Criminele hackers mogen dan op zoek zijn naar laaghangend fruit en gebruiken veelal bekende tools en technieken, voor een statelijke actor draait het om interessante informatie waar vaak meer tijd en moeite in gaat zitten."

4x maatregelen tegen cyberspionage

Onszelf tegen cyberspionage verdedigen, is volgens de cyberspecialist een uitdagende kwestie. "Willen spionnen binnenkomen, dan lukt dit hen linksom of rechtsom na verloop van tijd meestal wel." Wat je als bedrijf kunt doen om de kans te verkleinen? Butcher deelt vier tips:

• Beschouw jezelf als doelwit
  "Denk niet dat je zomaar een willekeurig bedrijf bent waar niets te zoeken is. Trap niet in de valkuil dat jouw informatie niet bijzonder genoeg is. Besef dat het voor elk bedrijf een reële dreiging is, iedereen kan een puzzelstukje zijn in het spel van een buitenlandse mogendheid."

• Heb aandacht voor preventie en detectie
  "Zet niet alleen in op preventie, maar ook op detectie", stelt Butcher. "Natuurlijk moet je de basishygiëne op cybervlak op orde hebben. Echter, bij spionage zijn detectie en het reageren op wat je ziet extra belangrijk. Met de basishygiëne (lees: sterke wachtwoorden, tweestapsverificatie, software-updates, etc.) maak je het criminele hackers die op zoek naar laaghangend fruit zijn moeilijk, maar spionerende statelijke actoren breken daar makkelijk doorheen." Jezelf tegen cyberspionage verdedigen, is volgens de cyberexpert dan ook uitdagender. "Ga er maar vanuit dat ze binnenkomen. Omdat aanvallers harder werken om stiekem binnen te komen en maanden tot jaren niet willen worden gepakt, moet je als bedrijf ook harder werken.”

  Daarom speelt detectie zo’n belangrijk rol. "Let op wat er in jouw IT-omgeving gebeurt. Zie je verdachte zaken, reageer daar dan adequaat op." Butcher vergelijkt het met een kat-en-muis spel; spionnen proberen onder de radar te blijven, maar ze gedragen zich vaak wel net anders dan normale gebruikers. "Een eenvoudig voorbeeld daarvan is dat sommige cyberspionnen in de basis gewoon ambtenaren zijn die van 9 tot 5 werken. Maar dat doen ze in hun eigen land, dus het is een andere 9 tot 5 dan hier in Nederland. Als ze dan een legitiem gebruikersaccount hacken om binnen te komen, dan valt op dat dat account op bijzondere ‘werktijden’ actief is.”

  Naast dat je als bedrijf aan detectie van verdacht gedrag kunt doen, kun je volgens de cyberexpert ook proactief op zoek gaan naar opvallende zaken op het bedrijfsnetwerk. "Dit wordt threat hunting genoemd. Bij normale detectie ga je er vanuit dat verdacht gedrag automatisch wordt gedetecteerd, vergelijkbaar met een rookmelder: je hangt 'm op en wacht totdat het afgaat. Bij threat hunting ga je juist proactief op zoek naar verdacht gedrag. Je gaat als het ware door alle kamers op zoek naar wat in brand zou kunnen vliegen. Hoewel dit meer werk is dan een rookmelder ophangen, zie je veel beter (en meer) wat er gebeurt."

• Denk na over gevolgen
  Aanvullend op voorgaand punt, stelt Butcher dat het belangrijk is om van tevoren na te denken over bedrijfsinformatie dat nooit mag worden gestolen. "Denk je vooraf na over wat er gestolen zou kunnen worden, dan kun je je preventie en detectie daarop inrichten. Is de informatie eenmaal weg, dan komt het namelijk nooit meer terug. Door er met die bril naar te kijken, kun je keuzes en investeringen op security-vlak beter prioriteren."

• Gelijk ingrijpen of eerst observeren
  In tegenstelling tot een inbreker in huis, weet je bij een statelijke actor over het algemeen niet waarnaar het op zoek is. "En dus weet je ook niet welke schade is aangericht", vertelt Butcher. "Zijn er achterdeuren ingebouwd? Waar zijn ze naar op zoek? Spionnen zijn erop uit om zolang mogelijk binnen te blijven, wat maakt dat ze zichzelf vaak met allerlei achterdeuren digitaal diep hebben ingegraven. Gooi je de helft eruit, dan kunnen ze later stilletjes terugkomen. Of ze verdwijnen zonder spoor als ze doorhebben dat ze gezien zijn."

  Butcher stelt dat waar het meestal verstandig is criminele hackers zo snel mogelijk uit je systemen te gooien, voordat ze schade aanrichten, gaat die vlieger niet voor bedrijfsspionage op. "Bij (verdenking van) een spionage-aanval kan het soms beter zijn om eerst te observeren, voordat je ingrijpt. Zie het als een soort contraspionage. "Leer wat er aan de hand is. Weet je wat ze zoeken, dan kun je jezelf beter verdedigen. Stilletjes observeren zonder dat de aanvaller het door heeft, uitzoeken welke systemen allemaal gecompromitteerd zijn, waar backdoors ingebouwd zijn; dat zijn bijzondere klussen binnen cybersecurity. Het inschakelen van professionele hulp is dan ook het overwegen waard."

Zou jij jouw bedrijf graag beter voor morgen willen beveiligen? Fox-IT, expert op het gebied van cyberbeveiliging, helpt bedrijven digitaal veiliger te maken.