De cyberhuurlingen komen eraan: het is tijd om uw leidinggevenden te beschermen tegen nieuwsgierige blikken

Door Phil Muncaster • 7 November 2023

Medio september maakte de Amerikaanse veiligheidsdienst CISA bekend bestelde alle federale instanties gaan twee zero-day-kwetsbaarheden in OS-, iPadOS- en macOS-apparaten patchen. Dit waren slechts de nieuwste, nog nooit eerder ontdekte softwarefouten die werden uitgebuit om de beruchte Pegasus-spyware af te leveren, waarvan de ontwikkelaar, NSO Group, centraal staat in meerdere rechtszaken.

Het Israëlische bedrijf is een van de vele commerciële spywarebedrijven die door westerse overheden en technologiebedrijven ‘cyberhuurlingen’ worden genoemd. Zij en een meer schimmige groep ingehuurde hackers vormen een groeiende bedreiging voor organisaties van elke omvang en in elke sector, waarbij ze industriële spionage, overheidsspionage en andere snode activiteiten faciliteren.

Als zelfs de telefoon van Jeff Bezos door deze groepen kan worden gehackt, is het tijd om de dreiging serieus te nemen.

Wie zijn de cyberhuurlingen?

Cyberhuurling is een term die door verschillende partijen op verschillende manieren wordt gebruikt. In grote lijnen kunnen we deze opsplitsen in twee soorten bedreigingsactoren:

Commerciële spywaremakers: Deze bedrijven opereren in een juridisch grijs gebied en beweren dat ze spyware en exploits alleen aan overheden verkopen voor legitieme doeleinden van wetshandhaving en het verzamelen van inlichtingen. In werkelijkheid zijn hun instrumenten vaak gericht tegen journalisten, dissidenten, rechtenactivisten en andere tegenstanders van doorgaans autocratische regimes. Citizen Lab ontdekte de twee bovengenoemde zero-days aan de telefoon van een medewerker van een in Washington gevestigde maatschappelijke organisatie.

Voorbeelden van deze bedrijven zijn NSO Group, Circles, Intellexa, Cytrox en BellTroX InfoTech Services.

Hackers te huur: Dit zijn duidelijker criminele groepen die niet de pretentie hebben als semi-legitieme commerciële organisaties te opereren. Net als commerciële spywaremakers wordt hun werk met klanten echter strikt vertrouwelijk gehouden. Hoewel ze zich ook richten op journalisten, activisten en andere individuen met een hoog risico, kunnen dergelijke groepen hun diensten ook aanbieden voor industriële spionage, waardoor anderszins gerenommeerde organisaties een plausibele ontkenning kunnen handhaven.

Groepen omvatten de Deceptikons, Dark Basin en Void Balaur.

In beide gevallen vermoeden cyberhuurlingen dat er banden zijn met verschillende inlichtingendiensten. Drie voormalige Amerikaanse inlichtingenofficieren werden in 2021 blootgesteld voor het werken als ingehuurde hackers voor de overheid van de VAE en vervolgens aangeklaagd naast commerciële spywaremaker DarkMatter. Intellexa zou worden gerund door een voormalige Israëlische spion. En een aparte rapport onthuld een “unieke en kortstondige verbinding” tussen de aanvalsinfrastructuur die wordt gebruikt door Void Balaur en de Russische Federale Beschermingsdienst (FSO).

Hoe werken aanvallen?

Hackers-for-hire beschikken over een breed scala aan technieken, tactieken en procedures (TTP’s) tot hun beschikking. Maar net als de meeste dreigingsactoren zullen zij, waar ze daartoe in staat zijn, kiezen voor de snelste en gemakkelijkste manier om hun doelen te bereiken. Dat zou kunnen betekenen dat er phishing en informatiestelende malware en de belangrijkste tools ervan worden gebruikt om de slachtoffers in gevaar te brengen, en dat legitieme tools zoals PowerShell worden gebruikt voor post-inbraakactiviteiten. Ze kunnen zich richten op commerciële e-mail-, sociale media- en berichtenaccounts, maar ook op hun bedrijfsequivalenten en back-end IT-systemen.

“De grootste bedreiging die deze huurlingengroepen vormen, is dat ze zich niets aantrekken van het doelwit. Voor de juiste hoeveelheid geld zullen huurlingen per definitie een contract uitvoeren ten koste van de ethiek. Dit plaatst kritieke infrastructuur, gezondheidszorg en andere vitale sectoren in het vizier van wie ooit bereid is te betalen”, vertelt Morgan Wright, hoofdveiligheidsadviseur van SentinelOne, aan ISMS.online.

“De mensen en organisaties die het meeste risico lopen, zijn degenen die het minst doen om zichzelf te beschermen. Werknemers brengen zichzelf in gevaar als ze te veel informatie over zichzelf delen op sites als LinkedIn of verschillende sociale mediaplatforms.”

Het blootleggen van de spywaredreiging

In het geval van commerciële entiteiten kan TTPS echter aanzienlijk geavanceerder zijn. Zero-day-kwetsbaarheden worden nauwgezet onderzocht en richten zich vaak op Apple-apparaten met zero-click-inbraken waarmee de gebruiker niet eens interactie hoeft te hebben om geïnfecteerd te raken. Vervolgens wordt spyware ingezet om toegang te krijgen tot de berichten, e-mails, foto's, logins, adresboeken, app-gebruik, locatiegegevens en de microfoon en camera van het slachtoffer.

Corelight-cyberbeveiligingsspecialist Matt Ellison beschrijft dat de groepen achter dergelijke bedreigingen “het uiterlijk en het gedrag vertonen van een gewetenloze wapenhandelaar”. Niemand in een organisatie is veilig, hoewel senior managers een natuurlijk doelwit lijken gezien de mate van invloed en toegang die zij hebben.

“Het kan variëren en hangt af van de rol, de organisatie en het doel van de klant van de cyberhuurling”, vertelt Ellison aan ISMS.online. “Het is absoluut een extra dreigingsniveau bovenop de typische cyberdreigingen die door de meeste commerciële organisaties worden gezien.”

De VS slaan terug

Gelukkig heeft de Amerikaanse regering haar houding de laatste tijd aanzienlijk veranderd, door verschillende commerciële spywaremakers aan een ‘entiteitenlijst’ toe te voegen:waaronder Candiru, NSO-groep, Intellexa en Cytrox. Dit zal het voor deze bedrijven op papier moeilijker maken om onderdelen van Amerikaanse bedrijven te kopen. Een Presidential Executive Order wil ook voorkomen dat de federale overheid spyware aanschaft die buitenlandse landen hebben gebruikt om activisten en dissidenten te bespioneren. Dit zou de commerciële kansen voor dergelijke ontwikkelaars moeten verkleinen.

De VS proberen ook andere regeringen ertoe aan te zetten hun verantwoordelijkheid te nemen een even harde lijn. De technische industrie heeft de krachten gebundeld om de activiteiten van cyberhuurlingen te beteugelen, die zich niet alleen zorgen maken over de mensenrechten, maar ook over het aanleggen van voorraden kwetsbaarheden, wat de digitale wereld uiteindelijk tot een gevaarlijker plek.

Een ISMS en verder

Maar wat kunnen organisaties in de tussentijd doen om de bedreiging voor hun leidinggevenden en kritieke IT-/datamiddelen te beperken? Een informatiebeveiligingsbeheersysteem (ISMS) kan een goede basis voor beveiliging bieden, wat kan helpen om veel van de technieken die hackers gebruiken om doelen in gevaar te brengen, te beperken. Wright van SentinelOne waarschuwt echter voor zelfgenoegzaamheid.

“Niets is een garantie dat er geen compromissen worden gesloten. Het identificeren van zwakke punten en beleidsproblemen is het begin van een reis naar een robuust cyberbeveiligingsvermogen”, betoogt hij. “Compliance helpt het bewustzijn van de grote dingen te behouden.”

Organisaties moeten ook verder gaan dan de basis als ze geavanceerdere commerciële spyware-aanvallen willen afweren die gebruik maken van zero-day-kwetsbaarheden.

“De aard van deze tools en de manier waarop ze worden gebruikt en ingezet betekent doorgaans dat de moeilijkheidsgraad ervan aanzienlijk hoger is dan die van de gemiddelde malware of ransomware”, zegt Ellison van Corelight. “Als je in een organisatie zit waar de kans groter is dat deze tools worden bedreigd, is het belangrijk om deze afzonderlijk aan te pakken binnen het raamwerk dat je gebruikt om je organisatie te beveiligen.”

Kaspersky legt het uit dat gebruikers moeten worden getraind om de waarschuwingssignalen van spyware te herkennen: een snel leeglopende batterij en mogelijk een hoog datagebruik. Verdere stappen om de dreiging te beperken zijn onder meer het regelmatig patchen van het besturingssysteem van het apparaat en andere software, multi-factor authenticatie (MFA), anti-malware van het apparaat en het dagelijks opnieuw opstarten. Op iOS-apparaten worden gebruikers met een hoog risico dringend verzocht iMessage en FaceTime uit te schakelen. Voor de aanvallen die bovenaan dit artikel worden genoemd, helpt de Lockdown-modus ook.

Maar zelfs Kaspersky was gecompromitteerd door een geavanceerde spyware-operatie. Organisaties moeten de risico’s zo goed mogelijk beheersen, hun incidentresponsplannen regelmatig oefenen en cyberhuurlingen inbouwen in hun dreigingsprofilering.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster