Een 'island hopping'-aanval is een hackingcampagne waarbij dreigingsactoren zich richten op de kwetsbaardere externe partners van een organisatie om de cyberbeveiligingsverdediging van het doelbedrijf te ondermijnen en toegang te krijgen tot hun netwerk. Een bedreigingsactor is een entiteit die geheel of gedeeltelijk verantwoordelijk is voor een incident dat van invloed is - of kan zijn - op het beveiligingssysteem van een organisatie.
Bedreigingsactoren die zich richten op grote organisaties - zelfs organisaties met een effectieve cyberbeveiligingsverdediging - zullen tot het uiterste gaan om binnen te komen. Als de organisatie die het doelwit is sterke cyberbeveiligingspraktijken heeft, zullen aanvallers gebruik maken van "island hopping"-aanvallen en de tussenpersonen van het bedrijf uitbuiten om de beveiligde systemen van de oorspronkelijke organisatie binnen te dringen.
De "island hopping"-aanvallen zijn steeds populairder geworden. Bedreigers gebruiken de techniek om netwerksystemen tussen meerdere bedrijven te compromitteren en hun digitale activa te stelen. De bedrijfstakken die het meest worden getroffen door 'island hopping'-aanvallen zijn de financiële sector, de gezondheidszorg, de verwerkende industrie en de detailhandel.
Island hopping'-cyberaanvallen en toegang door derden
De term 'island hopping' is afkomstig van de militaire strategie die de geallieerden tijdens de Tweede Wereldoorlog in het Pacifische theater toepasten tegen de As-mogendheden. De strategie hield in dat de geallieerden een eiland overnamen en dit als lanceerpunt gebruikten voor de aanval op en de overname van een ander eiland. De missie werd voor het eerst in gang gezet in augustus 1942 in Guadalcanal op de Salomonseilanden.
In cybersecurity richten island hopping-aanvallers zich op klanten en kleinere bedrijven die samenwerken met de slachtofferorganisatie, in de veronderstelling dat de cyberdefensiesystemen van deze kleinere entiteiten niet zo uitgebreid zijn als die van het uiteindelijke doelwit.
Ook als bekend is dat een organisatie bij dezelfde website eten bestelt, kunnen dreigers een "watering hole"-aanval uitvoeren, waarbij ze zich op die site richten - wetende dat leden van de organisatie die bezoeken - om toegang te krijgen tot het netwerk van het bedrijf.
Hoe werken ze?
Island hopping-aanvallen beginnen vaak met phishing, waarbij de aanvallers zich in een e-mail of ander communicatiekanaal vermommen als een gerenommeerde entiteit. Vertrouwde merken, zoals Facebook en Apple, worden vaak als eerste stap gebruikt bij phishing-aanvallen.
Een andere veelgebruikte methode staat bekend als netwerkgebaseerd island hopping, waarbij aanvallers infiltreren in een netwerk en dit gebruiken om door te springen naar een gelieerd netwerk. Zo zullen aanvallers zich bijvoorbeeld richten op de managed security service provider (MSSP) van een organisatie om zich via hun netwerkverbindingen te verplaatsen.
Bij een andere techniek, die bekend staat als reverse business email compromise, nemen aanvallers de mailserver van hun slachtofferbedrijf over en voeren van daaruit bestandsloze malware-aanvallen uit. Bij bestandsloze malwareaanvallen wordt gebruikgemaakt van toepassingen die al zijn geïnstalleerd en waarvan wordt aangenomen dat ze veilig zijn. Als zodanig hoeven fileless malware-aanvallen geen schadelijke software of bestanden te installeren om een aanval te initiëren. Reverse business email compromise"-aanvallen zijn vaak gericht op de financiële sector.
Waarom maken aanvallers gebruik van "island hopping"-aanvallen?
-aanvallen en cryptojacking. In 2013 richtten hackers zich bijvoorbeeld op de servicepartner voor verwarming, ventilatie en airconditioning (HVAC) van winkelgigant Target. Target werd het slachtoffer van een grootschalig beveiligingslek waarbij de betaalgegevens van meer dan 40 miljoen klanten werden gestolen.
Zoals bij Target het geval was, maken aanvallers misbruik van kleinere partnerbedrijven omdat die zich doorgaans niet hetzelfde niveau van cyberbeveiliging kunnen veroorloven als de grotere organisaties. Omdat de kleinere systemen al worden vertrouwd door het grotere bedrijf, is het bovendien minder waarschijnlijk dat ze worden opgemerkt wanneer ze worden gecompromitteerd, waardoor de aanval zich gemakkelijker kan verspreiden over het netwerk van de organisatie.
Island hopping defense strategies
Island hopping defense strategies omvatten het volgende:
- Beoordeel risico's van derde partijen.
- Stel een incident response-plan op en een team dat over de juiste middelen beschikt om het netwerk te verdedigen.
- Eis dat leveranciers dezelfde voorkeurs MSSP en technologiestack gebruiken als de organisatie.
- Heb een incident response-derde partij in dienst.
- Gebruik correcte netwerksegmentatie, zodat aannemers geen toegang krijgen tot alle servers, maar alleen tot de server waaraan ze moeten werken.
- Gebruik multifactor authenticatie (MFA).
- Focus op laterale bewegingen - waarbij aanvallers zich door een netwerk bewegen, op zoek naar belangrijke bedrijfsmiddelen en gegevens - en diefstal van referenties.
Hoe woekeren island hopping cyberaanvallen?
Volgens het Global Incident Response Threat Report van november 2019 van het VMware cybersecuritybedrijf Carbon Black is island hopping goed voor 41% van het totaal aantal cyberaanvallen -- een stijging van 5% sinds de eerste helft van 2019. Laterale verplaatsing is stabiel op 67% van de aanvallen -- ruim boven de gemiddelden van 2018. In hetzelfde rapport ontdekte Carbon Black dat aanvallers eilandhoppende toegang verkopen tot gecompromitteerde systemen, vaak zonder dat het doelwit zich realiseert dat ze zijn blootgesteld.
Custom malware werd gebruikt in 41% van de aanvallen -- een stijging ten opzichte van 33% in het eerste kwartaal van 2019, volgens het rapport. Aanvallen nemen snel toe omdat mensen die aangepaste aanvalscode bouwen, deze verkopen op het dark web. Zodra deze wordt gebruikt, kan zowel de codeur als de koper het beoogde bedrijf aanvallen.
Hoe te reageren op een island hopping cyberaanval
Organisaties die slachtoffer zijn geworden van island hopping-aanvallen moeten reageren door het volgende te doen:
- Kijk naar logboeken van de getroffen systemen voor zichtbaarheid. Identificeer welke toegang is verkregen. Als een aanvaller eenmaal voet aan de grond heeft gekregen, kan die toegang worden gebruikt om uiteindelijk volledige toegang tot de onderneming te krijgen via andere aanvallen, zoals een 'watering hole'-aanval.
- Bepaal de omvang van de aanval en welke middelen zijn buitgemaakt.
- Bewaak nieuwe accounts of wijzigingen in systemen om te helpen vaststellen wanneer een account is gecompromitteerd en om toekomstige 'island hopping'-aanvallen tegen te gaan. Zorg ervoor dat vertrouwde derde partijen die toegang hebben tot het bedrijfsnetwerk of tot clouddiensten, bij de controle worden betrokken. Also, include the service provider so it can check its logs and systems.