Aanvallen/Breaches
Financieel gemotiveerde aanvallers zouden gestolen broncode kunnen misbruiken voor bredere aanvallen
Op het eerste gezicht past de omvangrijke inbreuk op Adobe die vorige week aan het licht kwam, niet helemaal in het profiel van een pure cyberaanval: De daders hebben niet alleen klantgegevens en betaalkaartgegevens van het softwarebedrijf gestolen, maar ook de broncode voor Adobe’s ColdFusion-, Acrobat- en Reader-software buitgemaakt.
Het is nog onduidelijk hoe de aanvallers aan de klantgegevens en de broncode van Adobe zijn gekomen en wat ze eventueel hebben gedaan om met de broncode te knoeien en fraude te plegen. Maar wat duidelijk is, is dat de aanvallers opzettelijk of onopzettelijk toegang hebben gekregen tot zowel de waardevolle financiële klantgegevens van Adobe als tot zijn intellectuele eigendom — waardoor ze zichzelf meerdere manieren hebben verschaft om geld te verdienen.
“Deze jongens waren financieel georiënteerd,” zegt Alex Holden, CISO bij Hold Security, die samen met Brian Krebs van KrebsOnSecurity de 40 gigabytes aan Adobe-broncode ontdekte op dezelfde server als de gestolen gegevens van LexisNexis, Dun & Bradstreet, Kroll, en anderen. “Of ze eerst toegang hadden tot de broncode … het valt nog te bezien.”
Adobe onthulde laat op donderdag dat het had geleden onder massale “geavanceerde aanvallen” op zijn netwerk die resulteerden in de diefstal van gevoelige informatie, waaronder betaalkaartinformatie over 2,9 miljoen klanten, evenals van broncode voor meerdere Adobe-softwareproducten, waaronder Adobe Acrobat, ColdFusion, ColdFusion Builder en andere Adobe-software. Brad Arkin, chief security officer van Adobe, zei dat de aanvallen gerelateerd kunnen zijn.
Hold Security’s Holden zegt dat de aanvallers de gestolen gegevens ten minste twee maanden in hun bezit lijken te hebben gehad. Hij zegt dat een van zijn grootste zorgen is dat er misschien een zero-day aanval gaande is tegen Adobe-applicaties die nog niet is opgemerkt. “Ze hebben misschien doelwitten op hoog niveau aangevallen. Dat is een extreem verontrustende en beangstigende gedachte,” zegt Holden.
Cybercriminelen proberen meestal snel geld te verdienen met gestolen betaalkaartinformatie of gebruikersgegevens. Hoewel de gestolen betaalkaartgegevens van Adobe-klanten volgens Adobe waren versleuteld, is het mogelijk dat de aanvallers de coderingssleutels konden achterhalen of de crypto konden kraken, afhankelijk van de sterkte en implementatie ervan, zeggen beveiligingsexperts.
De aanvallers zouden de broncode te gelde kunnen maken door exploits voor Adobe-apps te vinden en te verkopen, bijvoorbeeld, zeggen experts. Of ze kunnen de exploits gewoon voor zichzelf houden om te gebruiken in meer wijdverspreide toekomstige aanvallen.
“Als je achter Adobe of een ander bedrijf aangaat, ga je achter informatie aan die je snel te gelde kunt maken, maar ook als je een paar echt goede zero-days vindt in Adobe Reader of ColdFusion, kan dat gewoon leiden tot toekomstige aanvallen bij verschillende klanten,” zegt Benjamin Johnson, CTO van Carbon Black. “Iedereen heeft Adobe … het is zo’n enorm oppervlak om op te mikken.”
Exploit verkoop is lucratief, met een waarde van tienduizenden dollars voor een Adobe app, bijvoorbeeld. “De broncode is het geld opleverende spul – het helpt je de kwetsbaarheden in Adobe-producten te vinden. Een enkele zero-day exploit voor Adobe Reader kan bijvoorbeeld 50.000 dollar waard zijn op de zwarte markt,” zegt Timo Hirvonen, senior onderzoeker bij F-Secure.
Het benutten van Adobe’s broncode zou de aanvallers een efficiëntere manier bieden om informatie te stelen. “In het verleden was het zo makkelijk om spree-aanvallen te doen — je kon miljoenen mensen te pakken krijgen via phishing en keyloggers,” zegt Dan Hubbard, CTO van OpenDNS. “Maar nu ziet het er geraffineerder uit, en ze doen dingen die meer gepland zijn, dus in plaats van achter de klant en het menselijke element aan te gaan, gaan ze achter sommige zwakke plekken in de infrastructuur aan en trekken ze gegevens terug en bedenken ze wat ze moeten doen … Het is zeker een interessante verandering in operaties.”
Als het worst-case scenario werkelijkheid wordt en de aanvallers daadwerkelijk de Adobe-broncode hebben vergiftigd en vervolgens hebben verspreid onder Adobe-klanten, dan was het softwarebedrijf meer een middel om een doel te bereiken voor de aanvallers. “Als de gestolen broncode inderdaad betrekking heeft op ColdFusion en Acrobat, dan kunnen duizenden webservers in gevaar worden gebracht en wordt het gemakkelijker om systemen van eindgebruikers te compromitteren. Deze inbraak herinnert ons eraan dat alle softwarebedrijven op hun hoede moeten zijn, want ook zij kunnen een opstapje zijn naar andere doelwitten”, zegt Chris Petersen, CTO en medeoprichter van LogRhythm.
Het kan nog wel even duren voordat het volledige plaatje van de Adobe-aanval boven water komt – als het al boven water komt. Beveiligingsexperts zeggen dat als Adobe er inderdaad zes weken over heeft gedaan om de aanval op te merken, het softwarebedrijf vanaf het begin in het nadeel is. “Dat is een voorsprong die de slechteriken hadden,” zegt Johnson. De sleutel is altijd snelle detectie om de schade te beperken, zeggen experts.
Bala Venkat, chief marketing officer van applicatiebeveiligingsleverancier Cenzic, is het daarmee eens. “Uit het lopende onderzoek blijkt dat deze inbreuk bij Adobe eigenlijk ergens in augustus begon en doorging tot eind september. Een dergelijk vertraagd opsporings- en reactiemechanisme is bijzonder alarmerend. Organisaties moeten zorgen voor een continu proces van beveiligingsmonitoring van al hun productietoepassingen om kwetsbaarheden in realtime te detecteren en te rapporteren wanneer een inbreuk plaatsvindt. Als dit beleid strikt wordt gehandhaafd, hadden dergelijke inbreuken veel sneller en doeltreffender kunnen worden ingedamd en de schade geminimaliseerd. “
Een ander punt van zorg is of de aanvallers zich al op klanten van Adobe hebben gestort. “Een van mijn zorgen is de laterale beweging binnen het klantenbestand,” zegt Carbon Black’s Johnson, waar de aanvallers al Adobe-klanten hebben gephished om informatie te stelen.
“Het zal een tijdje duren voordat we de volledige vertakkingen hiervan kennen,” zegt hij.
En Adobe is niet het laatste slachtoffer van deze cybercriminele bende: Beveiligingsexperts zeggen verdere onthullingen te verwachten van andere organisaties die werden getroffen.
Heb je een reactie op dit verhaal? Klik dan op “Voeg uw commentaar toe” hieronder. Als u direct contact wilt opnemen met de redactie van Dark Reading, stuur ons dan een bericht.
Kelly Jackson Higgins is de uitvoerend redacteur van Dark Reading. Ze is een bekroonde, veteraan technologie en business journalist met meer dan twee decennia ervaring in de rapportage en redactie voor verschillende publicaties, waaronder Network Computing, Secure Enterprise … Bekijk volledige bio