Chinese en Russische cybercriminelen die proberen te spioneren, vallen steeds vaker software op edge-apparaten aan, zoals firewalls en vpn’s. Dat stelt beveiligingsbedrijf Mandiant in zijn jaarlijkse rapport.
Volgens Mandiant hanteerden spionerende cybercriminelen uit China en Rusland jarenlang dezelfde methode. Een werknemer kreeg malafide phishingmails met malware, waarmee een aanvaller binnen kan komen in een systeem. Bedrijven monitoren endpoint-apparaten echter steeds meer, als onderdeel van de beveiligingsstrategie, waardoor die methode lastiger wordt.
Diverse aanvallers zijn zich daarom gaan specialiseren in aanvallen op apparaten die niet op die manier in de gaten worden gehouden, aldus Mandiant in zijn rapport. Ze verleggen hun focus naar apparaten met edgesoftware, zoals firewalls, gateways en vpn’s. Die bieden vaak geen ondersteuning voor beveiligings- en monitoringssoftware. Voor cybercriminelen speelt bovendien mee dat er dan geen gebruikersinteractie nodig is voor een aanval, wat de kans op detectie verder verkleind. Aanvallers kunnen vervolgens vanaf het apparaat verdere toegang tot de omgeving van het bedrijf verkrijgen en meestal langere tijd in een omgeving blijven zitten, zegt Mandiant. Na een aanval is forensische analyse bovendien lastig, omdat het platform waar zo’n apparaat op gebouwd is, vaak door leveranciers is gemaakt en bovendien gesloten is.
Mandiant is niet de enige die waarschuwt voor toenemende aanvallen op apparaten met edgetools. Het Nederlandse Nationaal Cyber Security Centrum waarschuwde in februari voor misbruik van publiek benaderbare ‘edge devices’. De organisatie adviseert diverse beveiligingsmaatregelen, zoals het regelmatig uitvoeren van een risicoanalyse op edgeapparaten. Ook wordt aangeraden de toegang tot internet van dergelijke apparaten te beperken en de recentste beveiligingsupdates zo snel mogelijk te installeren.