Cyberspionnen passen vermomming toe voor uitgaand verkeer via Tor-netwerk
Een groep van Russische cyberspionnen heeft aangegeven dat het reeds twee jaar een techniek gebruikt waarbij het uitgaand verkeer van besmette systemen via het Tor-netwerk wordt vermomd.
Deze werkwijze wordt ‘domain fronting’ genoemd. Het uitgaande verkeer lijkt in dit geval naar betrouwbare websites of diensten als met name Google te gaan, maar in werkelijkheid wordt je doorgestuurd naar de servers die onder het beheer vallen van de aanvallers. De groep cyberspionnen noemt zichzelf APT29 en maakt voor het toepassen van deze werkwijze gebruik van de TOR-plugin Meek.
Versleutelde netwerktunnel
De plugin Meek creëert een versleutelde netwerktunnel die het vermoeden schept naar Google te gaan. De tunnel biedt de aanvallers evenwel de mogelijkheid om door middel van Terminal Services, NetBIOS evenals Server Message Block toegang te krijgen tot het systeem waar gebruik van wordt gemaakt.
Dit alles gebeurt op het ogenblik dat de gebruiker denkt dat hij gewoon naar een correcte website wordt doorgestuurd. De aanvallers zouden bovendien eveneens gebruikmaken van een vaak voorkomend Windows-exploit. Deze exploit maakt het mogelijk om zonder in te loggen een command shell met verhoogde rechten te ontvangen.
Geen nieuwe techniek
Het Amerikaanse beveiligingsbedrijf FireEye heeft naar aanleiding van bovenstaand nieuws aangegeven dat de Russische staatshackersgroep APT29 reeds veel langer gebruikmaakt van de techniek, zelfs reeds vooraleer deze algemeen bekend werd.
Organisaties die zich tegen een dergelijke aanval willen wapenen moeten voor de detectie alleen reeds toegang krijgen tot versleutelde verbindingen evenals de endpoints. Bovendien moeten deze organisaties over effectieve netwerksignatures beschikken.