Backdoor-aanvallen op computers

Een achterdeur verwijst naar elke methode waarmee bevoegde en onbevoegde gebruikers de normale beveiligingsmaatregelen kunnen omzeilen en toegang op hoog niveau (ook wel root-toegang genoemd) kunnen krijgen op een computersysteem, netwerk of softwaretoepassing.

DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Wat is een backdoor?

Stel je voor dat je een inbreker bent die een huis in de gaten houdt voor een mogelijke overval. Je ziet een bordje "Beschermd door..." en een Ring-deurbelcamera op de voortuin. Als gewiekste inbreker spring je over het hek naar de achterkant van het huis. Je ziet een achterdeur, kruist je vingers en probeert de knop - hij is niet op slot. Voor een toevallige voorbijganger zijn er geen tekenen van inbraak. Sterker nog, er is geen reden waarom je dit huis niet weer via dezelfde achterdeur zou kunnen beroven, zolang je de boel maar niet overhoop haalt.

Backdoors op computers werken op vrijwel dezelfde manier.

In de wereld van cybersecurity verwijst een backdoor naar elke methode waarmee geautoriseerde en ongeautoriseerde gebruikers normale beveiligingsmaatregelen kunnen omzeilen en toegang op een hoog niveau (ook wel root access genoemd) kunnen krijgen tot een computersysteem, netwerk of softwareapplicatie. Eenmaal binnen kunnen cybercriminelen een backdoor gebruiken om persoonlijke en financiële gegevens te stelen, extra malware te installeren en apparaten te kapen.

Maar backdoors zijn niet alleen voor de bad guys. Backdoors kunnen ook door software- of hardwarefabrikanten worden geïnstalleerd als een opzettelijke manier om achteraf toegang tot hun technologie te krijgen. Backdoors van de niet-criminele soort zijn nuttig voor het helpen van klanten die hopeloos buitengesloten zijn van hun apparaten of voor het oplossen van softwareproblemen.

In tegenstelling tot andere cyberbedreigingen die zich aan de gebruiker kenbaar maken (hier kijken we naar jou, ransomware), staan backdoors bekend om hun discretie. Backdoors bestaan voor een selecte groep mensen die toegang willen krijgen tot een systeem of applicatie.

Als dreiging verdwijnen achterdeurtjes voorlopig niet. Volgens het Malwarebytes Labs State of Malware report waren achterdeurtjes de vierde meest voorkomende bedreigingsdetectie in 2018 voor zowel consumenten als bedrijven—met respectieve stijgingen van 34 en 173 procent ten opzichte van het voorgaande jaar.

Als je je zorgen maakt over backdoors, je hebt erover gehoord in het nieuws en wilt weten wat er aan de hand is, of je hebt een backdoor op je computer en moet er nu meteen vanaf, dan ben je hier op de juiste plek. Lees verder en maak je klaar om alles te leren wat je ooit wilde weten over backdoors.

"Een backdoor verwijst naar elke methode waarmee geautoriseerde en ongeautoriseerde gebruikers normale beveiligingsmaatregelen kunnen omzeilen en toegang op een hoog niveau (ook wel root access genoemd) kunnen krijgen tot een computersysteem, netwerk of softwareapplicatie."

Nieuws over backdoors

Hoe werken backdoors?

Laten we beginnen met te achterhalen hoe backdoors überhaupt op je computer terechtkomen. Dit kan op een paar verschillende manieren gebeuren. Ofwel komt de backdoor als gevolg van malware of door een opzettelijke productiebeslissing (hardware of software).

Backdoor-malware wordt over het algemeen geclassificeerd als een Trojaans paard. Een Trojan is een kwaadaardig computerprogramma dat zich voordoet als iets wat het niet is om malware af te leveren, gegevens te stelen of een achterdeur op uw systeem te openen. Net als het paard van Troje uit de oude Griekse literatuur, bevatten Trojaanse computerprogramma's altijd een onaangename verrassing.

Trojans zijn een ongelooflijk veelzijdig instrument in de toolkit van cybercriminelen. Ze komen in veel gedaanten, zoals een e-mailbijlage of bestand-download, en kunnen allerlei malware-bedreigingen leveren.

Om het probleem nog groter te maken, vertonen Trojaanse paarden soms een wormachtig vermogen om zichzelf te repliceren en naar andere systemen te verspreiden zonder aanvullende opdrachten van de cybercriminelen die ze hebben gemaakt. Neem bijvoorbeeld de Emotet banking Trojan. Emotet begon in 2014 als een informatiedief, die zich verspreidde over apparaten en gevoelige financiële gegevens stal. Sindsdien is Emotet geëvolueerd naar een medium voor andere vormen van malware. Emotet heeft ertoe bijgedragen dat de Trojan de topdreigingsdetectie voor 2018 is geworden, volgens het State of Malware-rapport.

In één voorbeeld van backdoor-malware verstopten cybercriminelen malware in een gratis bestandsconverter. Het was geen verrassing dat er niets werd geconverteerd. In feite was de download alleen ontworpen om een achterdeur op het doelsysteem te openen. In een ander voorbeeld verstopten cybercriminelen backdoor-malware in een tool die werd gebruikt voor het illegaal kopiëren van Adobe-softwaretoepassingen (laat dat een les zijn over softwarepiraterij). En in een laatste voorbeeld werkte een ogenschijnlijk legitieme cryptocurrency ticker app genaamd CoinTicker zoals geadverteerd, met informatie over verschillende vormen van cryptocurrency en markten, maar het opende ook een achterdeur.

Als cybercriminelen eenmaal een voet tussen de deur hebben, kunnen ze een zogenaamde rootkit. A rootkit is een pakket malware dat is ontworpen om detectie te vermijden en internetactiviteiten te verbergen (voor u uw besturingssysteem). Rootkits bieden aanvallers continue toegang tot geïnfecteerde systemen. In wezen is de rootkit de deurstopper die de achterdeur openhoudt.

"Backdoors waren in 2018 de vierde meest voorkomende bedreigingsdetectie voor zowel consumenten als bedrijven - respectieve stijgingen van 34 en 173 procent ten opzichte van het voorgaande jaar."

Ingebouwde of eigen backdoors worden door de hardware- en softwaremakers zelf geplaatst. In tegenstelling tot backdoor-malware zijn ingebouwde backdoors niet noodzakelijkerwijs bedacht met een crimineel doel voor ogen. Vaker wel dan niet bestaan ingebouwde backdoors als artefacten van het software creatieproces.

Softwareontwikkelaars creëren deze backdoor-accounts zodat ze snel in en uit applicaties kunnen bewegen terwijl ze worden gecodeerd, hun toepassingen testen en softwarebugs (oftewel fouten) oplossen zonder een "echt" account te hoeven maken. Deze backdoors zijn niet bedoeld om met de uiteindelijke software die aan het publiek wordt vrijgegeven, te worden geleverd, maar soms gebeurt dat wel. Het is niet het einde van de wereld, maar er is altijd een kans dat een eigen backdoor in handen van cybercriminelen valt.

Hoewel de meeste ingebouwde backdoors die we kennen in de eerste categorie vallen (oftewel de "oeps, dat was niet de bedoeling" categorie), hebben de leden van het Five Eyes inlichtingen delen pact (de VS, het VK, Canada, Australië en Nieuw-Zeeland) Apple, Facebook en Google gevraagd om backdoors in hun technologie te installeren om te helpen bij het verzamelen van bewijsmateriaal tijdens strafrechtelijke onderzoeken. Hoewel alle drie de bedrijven hebben geweigerd, geven alle drie gegevens door in de mate die wettelijk vereist is.

De Five Eyes-landen hebben benadrukt dat deze backdoors in het belang van de wereldwijde veiligheid zijn, maar er is veel potentieel voor misbruik. CBS News vond tientallen politieagenten door het hele land die momenteel beschikbare criminele databases gebruikten om zichzelf en hun vrienden te helpen hun exen te lastig te vallen, vrouwen te stalken en journalisten die bezwaar maakten tegen hun intimidatie en stalking lastig te vallen.

Dat gezegd hebbende, wat als overheidsinstanties besluiten dat ze geen nee willen accepteren?

Dit brengt ons bij de supply chain backdoor. Zoals de naam al suggereert, wordt een supply chain backdoor heimelijk ingevoegd in de software of hardware op een bepaald punt in de supply chain. Dit zou kunnen gebeuren terwijl de grondstoffen van leverancier naar fabrikant worden verzonden of als het eindproduct van fabrikant naar consument gaat.

Een voorbeeld: een overheidsinstantie zou complete routers, servers en andere netwerkapparatuur kunnen onderscheppen op weg naar een klant, en dan een achterdeurtje in de firmware installeren. En trouwens, de Amerikaanse National Security Agency (NSA) heeft dat daadwerkelijk gedaan, zoals onthuld in de wereldwijde surveillance onthullingen van Edward Snowden in 2013.

Supply chain-infiltraties zouden ook in software kunnen gebeuren. Neem open source-code, bijvoorbeeld. Open source-codebibliotheken zijn gratis opslagplaatsen van code, applicaties en ontwikkelingstools waar elke organisatie uit kan putten in plaats van alles helemaal opnieuw te coderen. Klinkt geweldig, toch? Iedereen die samenwerkt voor het algemeen welzijn, de vruchten van hun arbeid met elkaar delend. Voor het grootste deel is het geweldig. Elke bijdrage aan de broncode staat open voor controle, maar er zijn momenten geweest waarop kwaadaardige code het tot de eindgebruiker heeft gemaakt.

Tot dat punt, in juli 2018 werd cryptomining malware gevonden in een app (of "snap" zoals ze dat noemen in de wereld van Linux) voor Ubuntu en andere Linux-gebaseerde besturingssystemen. Canonical, de ontwikkelaars van Ubuntu, gaf toe: "Het is onmogelijk voor een grootschalige repository om alleen software te accepteren nadat elk individueel bestand tot in detail is bekeken."

Zijn backdoors en exploits hetzelfde?

Malwarebytes Labs definieert exploits als, "bekende kwetsbaarheden in software die kunnen worden misbruikt om op een bepaalde manier controle te krijgen over de systemen waarop de aangetaste software draait". En we weten dat een backdoor werkt als een geheime ingang in uw computer. Dus zijn backdoors en exploits hetzelfde?

Hoewel backdoors en exploits op het eerste gezicht erg op elkaar lijken, zijn ze niet hetzelfde.

Exploits zijn toevallige softwarekwetsbaarheden die worden gebruikt om toegang tot je computer te krijgen en potentieel malware te implementeren. Om het anders te zeggen, exploits zijn gewoon softwarefouten waarvan onderzoekers of cybercriminelen een manier hebben gevonden om er misbruik van te maken. Backdoors, aan de andere kant, worden opzettelijk geplaatst door fabrikanten of cybercriminelen om naar believen een systeem in en uit te gaan.

"Exploits zijn toevallige softwarekwetsbaarheden die worden gebruikt om toegang tot je computer te krijgen en potentieel malware te implementeren.... Backdoors, aan de andere kant, worden opzettelijk geplaatst door fabrikanten of cybercriminelen om naar believen een systeem in en uit te gaan."

Wat kunnen hackers doen met een backdoor?

Hackers kunnen een backdoor gebruiken om allerlei soorten malware op je computer te installeren.

  • Spyware is een soort malware die, eenmaal geïnstalleerd op uw systeem, informatie verzamelt over u, de sites u op het internet, de dingen die u , de bestanden u , gebruikersnamen, wachtwoorden en alles wat nog meer van waarde is. Een mindere vorm van spyware, keyloggers genaamd, volgt specifiek elke toetsaanslag en klik u . Bedrijven kunnen spyware/keyloggers gebruiken als een legitiem en legaal middel om werknemers op het werk te controleren.
  • Ransomware is een type malware dat is ontworpen om je bestanden te versleutelen en je computer te vergrendelen. Om die kostbare foto's, documenten, enz. terug te krijgen (of welk bestandstype de aanvallers ook kiezen), moet je de aanvallers betalen via een vorm van cryptocurrency, meestal Bitcoin.
  • uw computer gebruiken in een DDoS-aanval. Door gebruik te maken van de achterdeur om supergebruikerstoegang te krijgen op uw systeem, kunnen cybercriminelen op afstand de controle over uw computer overnemen en deze opnemen in een netwerk van gehackte computers, ook wel een botnet genoemd. Met dit botnet van zombiecomputers kunnen criminelen vervolgens een website of netwerk overspoelen met verkeer van het botnet in wat bekend staat als eenDDoS-aanval (Distributed Denial of Service). De stortvloed aan verkeer zorgt ervoor dat de website of het netwerk niet kan reageren op legitieme verzoeken, waardoor de site effectief buiten werking wordt gesteld.
  • Cryptojacking-malware is ontworpen om de bronnen van uw systeem te gebruiken om cryptocurrency te delven. Kortom, elke keer dat iemand cryptocurrency uitwisselt, wordt de transactie vastgelegd in een versleuteld virtueel grootboek dat bekend staat als de blockchain. Cryptomining is het proces van het valideren van deze online transacties in ruil voor meer cryptocurrency en het vergt een enorme hoeveelheid rekenkracht. In plaats van de dure hardware te kopen die nodig is voor cryptomining, hebben criminelen ontdekt dat ze gehackte computers eenvoudig kunnen inzetten in een botnet dat hetzelfde werkt als dure cryptomining farms.

Wat is de geschiedenis van backdoors?

Hier is een blik op enkele van de meest (on)bekende backdoors, zowel echt als fictief sinds het ontstaan van computers.

Je zou kunnen stellen dat backdoors het publieke bewustzijn zijn binnengedrongen in de sciencefictionfilm uit 1983 WarGamesmet Matthew Broderick in de hoofdrol (in wat aanvoelt als een test voor Ferris Bueller). Broderick als ondeugende tiener hacker David Lightman gebruikt een ingebouwde achterdeur om toegang te krijgen tot een militaire supercomputer die is ontworpen om simulaties van een nucleaire oorlog uit te voeren. Lightman weet niet dat de schizofrene computer werkelijkheid en simulatie niet van elkaar kan onderscheiden. En ook heeft een genie besloten om de computer toegang te geven tot het hele nucleaire arsenaal van de Verenigde Staten. Er ontstaat hilariteit als de computer de hele wereld dreigt op te blazen.

In 1993 ontwikkelde de NSA een encryptiechip met een ingebouwde achterdeur voor gebruik in computers en telefoons. Er werd aangenomen dat de chip gevoelige communicatie veilig zou houden terwijl wetshandhavers en overheidsinstanties deze zouden kunnen ontsleutelen en meeluisteren met spraak- en datatransmissies wanneer dit gerechtvaardigd was. Hardwarematige achterdeurtjes hebben grote voordelen ten opzichte van softwarematige. Ze zijn namelijk moeilijker te verwijderen-jeu de hardware eruit rukken of de firmware opnieuw flashen om dat te doen. De chip is echter ontspoord vanwege zorgen over de privacy voordat deze enige vorm van adoptie heeft gezien.

In 2005 kreeg Sony BMG zich ermee bemoeid door miljoenen muziek-cd's te verzenden met een schadelijke kopieerbeveiligings-rootkit. Terwijl je niets vermoedend rockte op de laatste editie van Now That’s What I Call Music!, bevatte je cd een rootkit, die zich automatisch zou installeren zodra deze in je computer werd gestoken.

Ontworpen om je luistergewoonten te monitoren, voorkwam de Sony BMG-rootkit ook dat je cd's kon branden en liet een enorme beveiligingslek achter op je computer dat cybercriminelen konden misbruiken. Sony BMG betaalde miljoenen om rechtszaken in verband met de rootkit te schikken en riep nog vele miljoenen cd's terug.

In 2014 werden er ingebouwde achterdeurtjes gevonden in verschillende Netgear- en Linksys-routers. SerComm, de externe fabrikant die de routers in elkaar zette, ontkende de achterdeuren opzettelijk in hun hardware te hebben ingebouwd. Maar toen de patch die SerComm uitbracht het achterdeurtje verborg in plaats van het te repareren, werd het duidelijk dat het bedrijf geen goede bedoelingen had.

Datzelfde jaar werkten softwareontwikkelaars aan een spin-off van Google's Android besturingssysteem van Google (Replicant genaamd) een achterdeur ontdekt op mobiele apparaten van Samsung, waaronder de Samsung Galaxy-serie telefoons. De achterdeur zou Samsung of iemand anders die ervan wist op afstand toegang geven tot alle bestanden die zijn opgeslagen op de betreffende apparaten. In reactie op de ontdekking noemde Samsung de achterdeur een "functie" die "geen veiligheidsrisico" met zich meebracht.

De andere beroemde telefoonfabrikant, Apple, weigert achterdeuren in zijn producten in te bouwen, ondanks herhaalde verzoeken van de FBI en het Amerikaanse ministerie van Justitie. De druk nam toe na de terroristische aanslagen in San Bernardino in 2015, waarbij de FBI een iPhone in beslag nam die eigendom was van een van de schutters. In plaats van de beveiliging van hun iOS-apparaten in gevaar te brengen, zette Apple extra in op privacy en maakte hun iPhones en iPads nog moeilijker te kraken. De FBI trok uiteindelijk hun verzoek in toen ze erin slaagden de oudere, minder veilige iPhone te hacken met de hulp van een mysterieuze derde partij.

Plugins met verborgen kwaadaardige code voor WordPress, Joomla, Drupal en andere contentmanagementsystemen blijven een aanhoudend probleem. In 2017 ontdekten beveiligingsonderzoekers een SEO-zwendel die meer dan 300.000 WordPress-websites trof. De zwendel draaide om een WordPress CAPTCHA-plugin genaamd Simply WordPress. Eenmaal geïnstalleerd opende Simply WordPress een achterdeurtje, dat toegang op beheerdersniveau gaf tot de getroffen websites. Vanaf daar plaatste de verantwoordelijke hacker verborgen links naar zijn dubieuze website voor kortlopende leningen (andere websites die naar jouw website linken zijn geweldig voor SEO).

2017 was ook het jaar van de destructieve NotPetya ransomware. De ogenschijnlijke patiënt was in dit geval een Trojaanse backdoor vermomd als een software-update voor een Oekraïense boekhoudapplicatie genaamd MeDoc. Bij navraag ontkende MeDoc de bron van NotPetya te zijn. De echte vraag is waarom iemand zou kiezen voor een zeer verdachte Oekraïense boekhoudapplicatie met de naam MeDoc.

In een nieuwsbericht uit 2018 dat klinkt als het plot voor een rechtstreekse B-filmthriller, meldde Bloomberg Businessweek dat door de staat gesponsorde Chinese spionnen de serverfabrikant Supermicro hadden geïnfiltreerd. De spionnen zouden spionagechips met hardware-achterdeurtjes hebben geïnstalleerd op servercomponenten die bestemd waren voor tientallen Amerikaanse technologiebedrijven en overheidsorganisaties—waaronder Amazon, Apple en de CIA.

Eenmaal geïnstalleerd in een datacentrum zouden de spionagechips communiceren met Chinese command and control (C&C) servers, waardoor Chinese agenten onbeperkte toegang kregen tot gegevens op het netwerk. Amazon, Apple en verschillende Amerikaanse overheidsfunctionarissen hebben allemaal de claims in het Bloomberg-verhaal tegengesproken. Supermicro verdedigde zich door het verhaal 'virtueel onmogelijk' te noemen, en geen andere nieuwsorganisatie heeft het opgepikt.

Tot slot, als voorbeeld van een situatie waarin een bedrijf had gewild dat ze een achterdeurtje hadden, kwam de Canadese cryptocurrency-beurs QuadrigaCX begin 2019 in het nieuws toen de oprichter van het bedrijf abrupt stierf tijdens een vakantie in India, waarbij hij het wachtwoord voor alles meenam. QuadrigaCX beweert dat alle $190 miljoen aan klantcryptovaluta-onderhoud onherroepelijk zijn vergrendeld in 'cold storage', waar ze decennia zullen blijven liggen en uiteindelijk triljoenen waard zullen zijn—of niets, afhankelijk van hoe cryptocurrency evolueert.

Hoe kan ik me beschermen tegen achterdeurtjes?

Goed nieuws slecht nieuws. Het slechte nieuws is dat het moeilijk is om ingebouwde achterdeurtjes te identificeren en jezelf ertegen te beschermen. Vaker wel dan niet weten de fabrikanten niet eens dat het achterdeurtje er is. Het goede nieuws is dat er dingen zijn die je kunt doen om jezelf te beschermen tegen de andere soorten achterdeurtjes.

Verander je standaard wachtwoorden. De hardwerkende mensen van de IT-afdeling van je bedrijf hadden nooit de bedoeling dat 'gast' of '12345' je echte wachtwoord zou zijn. Als je dat standaard wachtwoord laat staan, heb je onbewust een achterdeurtje gecreëerd. Verander het zo snel mogelijk en schakel multi-factor authenticatie (MFA) in terwijl je toch bezig bent. Ja, het bijhouden van een uniek wachtwoord voor elke applicatie kan ontmoedigend zijn. Een Malwarebytes Labs rapport over gegevensprivacy ontdekte dat 29 procent van de respondenten hetzelfde wachtwoord gebruikte voor tal van apps en apparaten. Niet slecht, maar er is nog ruimte voor verbetering.

Monitor netwerkactiviteit. Elke vreemde datapieken kunnen betekenen dat iemand een achterdeurtje op je systeem gebruikt. Om dit te stoppen, gebruik firewalls om inkomende en uitgaande activiteiten van de verschillende toepassingen op je computer te volgen.

Kies applicaties en plugins zorgvuldig. Zoals we hebben besproken, verstoppen cybercriminelen graag achterdeurtjes in schijnbaar onschuldige gratis apps en plugins. De beste verdediging hier is ervoor te zorgen dat je apps en plugins kiest van een gerenommeerde bron.

Android- en Chromebook-gebruikers moeten zich houden aan apps uit de Google Play Store, terwijl Mac- en iOS-gebruikers de Apple App Store moeten gebruiken. Bonus gerelateerd technisch advies—wanneer een nieuw geïnstalleerde app vraagt om toestemming om toegang te krijgen tot gegevens of functies op je apparaat, denk er dan even over na. Verdachte apps zijn bekend om het Google- en Apple-goedkeuringsproces te doorstaan.

Met betrekking tot de gegevensprivacy-studie, deden de meeste respondenten het goed om app-machtigingen bij te houden, maar 26 procent zei: 'Ik weet het niet.' Neem even de tijd, misschien zelfs nu, om de app-machtigingen op je apparaten te beoordelen (Malwarebytes voor Android doet dit voor je). Wat betreft WordPress-plugins en dergelijke. Controleer gebruikersbeoordelingen en recensies en vermijd het installeren van alles met een minder dan geweldige score.

Gebruik een goede cybersecurity-oplossing. Elke goede anti-malware oplossing zou in staat moeten zijn om cybercriminelen te stoppen met het inzetten van de Trojans en rootkits die worden gebruikt om die vervelende achterdeurtjes te openen. Malwarebytes, bijvoorbeeld, heeft cybersecurity-oplossingen voor Windows, Mac, en Chromebook. Niet te vergeten Malwarebytes voor Android en Malwarebytes voor iOS, zodat je op al je apparaten beschermd kunt blijven. Zakelijke gebruikers—we hebben jullie ook gedekt. Bekijk alle Malwarebytes zakelijke oplossingen.

En als je interesse in achterdeurtjes verder gaat dan wat je hier hebt gelezen, zorg ervoor dat je leest en je abonneert op de Malwarebytes Labs blog. Daar vind je al het laatste nieuws over achterdeurtjes en alles wat belangrijk is in de wereld van cybersecurity.