Een logic bomb klinkt misschien als een feit dat je op je vrienden loslaat om je intelligentie te tonen, maar in de IT-wereld is het een cybersecurity-aanval. Logic bombs kunnen niet alleen je kostbare data wissen, maar ook je bedrijfsvoering stilleggen. Net als echte bommen kunnen deze dreigingen je organisatie treffen wanneer je ze het minst verwacht.
Wat is een logic bomb in eenvoudige woorden?
Een logic bomb is een set instructies in een programma met een kwaadaardige payload die een besturingssysteem, programma of netwerk kan aanvallen. Deze wordt pas geactiveerd nadat aan bepaalde voorwaarden is voldaan. Een eenvoudig voorbeeld van deze voorwaarden is een specifieke datum of tijd. Een complexer voorbeeld is wanneer een organisatie een werknemer ontslaat en het ontslag in hun systeem registreert.
Een logische bom bevat meestal een computervirus of een computerworm. Hoewel sommige mensen de twee termen door elkaar gebruiken, zijn het niet dezelfde soorten malware. Laten we het worm vs. virus debat beter begrijpen:
- Een computervirus is een kwaadaardig programma dat zich verspreidt door bestanden te infecteren en gegevens te beschadigen of te verwijderen. Computervirussen zijn handige onderdelen van logische bommen die kunnen worden ontworpen door ontevreden werknemers die uit zijn op wraak.
- Een computerworm lijkt op een computervirus, maar kan geavanceerder zijn. In tegenstelling tot een virus heeft een worm geen menselijke actie nodig om zich binnen een netwerk te verspreiden. Bovendien kan een worm bedreigendere malware droppen, zoals ransomware, rootkits en spyware.
Wat maakt logic bombs gevaarlijk?
De heimelijke aard van logic bombs maakt ze gevaarlijk. Ze liggen niet alleen als een slapende vulkaan te wachten op een uitbarsting, maar hun payloads vormen ook een onbekende dreiging. Doelwitten van deze aanvallen kunnen volkomen verrast worden. Daarnaast is het opsporen van de bedreigingsacteur achter de aanval geen gemakkelijke taak omdat bewijsmateriaal tijdens de afwerkingsfase van een logic bomb kan worden vernietigd. Bovendien kunnen aanvallers de extra tijd gebruiken om hun sporen te wissen.
Voorbeelden van logic bombs
Hoewel logic bombs een veelvoorkomend aanvalsmiddel zijn voor ontevreden werknemers, kunnen ook door de staat gesponsorde agenten ze gebruiken. Een van de vaakst vertelde voorbeelden van een logic bomb-incident vond plaats in 1982 en staat bekend als het Trans-Siberische Pijpleidingincident. Het verhaal van dit incident had de kenmerken van een spionagefilm, met de KGB en de CIA, geheime documenten en internationale intriges. Interessant is dat het als een spionageroman kan klinken omdat een deel van het verhaal een hoax zou kunnen zijn geweest. Als je op het web zoekt naar informatie over dit incident, vind je verschillende versies van het verhaal.
Aanvullende voorbeelden van logic bombs zijn:
2000: Een effectenhandelaar en programmeur bij Deutsche Morgan Grenfell werd aangeklaagd voor de grand jury. Gelukkig werd zijn logic bomb uit 1996 ontdekt voordat deze in 2000 zou afgaan.
2003: Een logic bomb van een Unix-beheerder bij Medco Health Solutions ging niet af door een programmeerfout. Het werd ontdekt en uitgeschakeld door een andere beheerder toen hij opnieuw probeerde. De schuldige werd veroordeeld tot een gevangenisstraf en een boete van $81.200.
2006: Een systeembeheerder voor de Zwitserse multinationale investeringsbank UBS Group AG voerde een logic bomb uit om hun netwerk te beschadigen en hun aandelen te devalueren. Hij werd veroordeeld tot meer dan acht jaar gevangenisstraf en een boete van meer dan $3 miljoen.
2008: Een IT-aannemer zette een logic bomb op om alle 4000 servers van hypothekenreus Fannie Mae te wissen, maar deze werd op tijd gestopt. De aannemer werd veroordeeld tot 41 maanden gevangenisstraf.
2013: Een logic bomb tegen Zuid-Korea wiste data bij meerdere banken en mediabedrijven.
2019: Een contractmedewerker van Siemens Corporation werd betrapt nadat hij logic bombs had geplaatst in de programma's die hij ontwierp. Zijn doel was om meer werk van het bedrijf te krijgen om de schade te herstellen.
Was Stuxnet een logic bomb?
Stuxnet was een zeer geavanceerd cyberwapen. Het had meerdere componenten zoals een rootkitu kunnen aanvoeren dat Stuxnet een logische bomcomponent had, omdat het wachtte tot aan een bepaalde set criteria was voldaan voordat het snel draaiende centrifuges saboteerde door hun frequentie en rotatiesnelheid te manipuleren.
Hoe kun je logic bomb-virussen en malware-aanvallen stoppen?
Om uw apparaten en gegevens te beschermen tegen aanvallen met logische bommen, u een aantal basisprincipes van cyberbeveiliging volgen. Begin met het downloaden van intelligente antivirus- en antimalwaresoftware die gebruikmaakt van kunstmatige intelligentie(AI) om een schadelijke payload met onbekende handtekeningen tegen te houden. Werk uw software regelmatig bij om kwetsbaarheden te dichten en uw netwerk af te schermen. En investeer in regelmatige back-ups om te herstellen van een ramp.
Maar het stoppen van logische bommen kan ingewikkelder zijn als het gevaar intern is. Om dergelijke bedreigingen te stoppen, moet u uw wervingspraktijken aanscherpen, uw beveiligingscontroles verbeteren en wettelijke middelen gebruiken om personeel en aannemers te controleren. Een goede Endpoint Detection and Response tool kan ook aanvalsvectoren blokkeren, schadelijke downloads voorkomen en malwareherstel vanuit de cloud bieden.