Cyberhelden 68 - Claude, Coruna, Chips en Chinezen

Welkom bij alweer een nieuwe aflevering van Cyber Helm, de podcast waarin ik in gesprek ga met mensen die zich bezighouden met de digitale dreiging. Mijn naam is Ronald Prins en vandaag zit ik weer aan tafel met Marco Kuipers en Jelle van Haaster.

We hebben vandaag drie hele mooie verhalen voor jullie die we gaan doorlopen. En ik begin met een stukje toch wel weer over AI. Het Amerikaanse ministerie van Justitie heeft drie mensen opgepakt die voor honderden miljoenen dollars aan AI chips naar China probeerden te smokkelen. Maar het verhaal wordt nog groter. Of we ook gaan zien in de meest domme groepsapp die je daar ook voorbij komt. En het is onbegrijpelijk als er zulke bedragen in rondgaan dat mensen op deze manier met elkaar aan het appen zijn. Daarna hebben we Jelle die meeneemt in het verhaal achter Coruna, de spionage tool voor iPhones die nu ook gebruikt wordt om crypto te stelen.

En Marco sluit af met wat Rapids 7, de stilste digitale sleeper agents ooit genoemd Chinese hackers die al vijf jaar diep in de systemen van telefoonbedrijven zitten. Maar we beginnen allereerst met hoe het allemaal gaat met ons. En dan begin ik niet bij mezelf, maar bij Jelle. Godver, ik dacht dat jij zou beginnen. Oké, het begint weer lekker weer te worden. Dus ik heb dit weekend de drone weer opgeladen, racefiets schoongemaakt, klusguur ook weer opgeruimd en vervolgens, ach, fuck, ik heb geen tijd meer.

Dus het is maar een rondje hard gelopen. Dus te veel hobby's is een probleem wat we allemaal... Maar is het idee dat die drone achter je aanvliegt als je aan het fietsen bent dan? Nee, dat heb je tegenwoordig wel natuurlijk. Dat is heel vet, maar het is ook... Ja, nu zit ik ook duizend richtlijnen voor. Maar ik heb zo'n FPV drone, dus dan moet ik met die goggles op mijn hoofd en dan nog gaan nadenken over hoe ik op mijn fiets blijf zitten. Ja, dan gaat het goed. Marco? Ja, ik ben bezig met mijn pokebal. Ik heb vorige week over gehad. Mijn spulletjes waren binnengekomen. Een breadboardje gezocht, dus zo'n pankje waar je alles kan inprikken om te testen hoe het werkt.

En toen kwam ik... Wel je zootje ernaast gehouden, of heb je gedacht van ja? Zeker, alleen het is moeilijk om aan boord te houden in mijn gedachteproces. Want 2012 was ongeveer de laatste keer dat ik dit gedaan heb. Toen had ik bij de marine zo'n grote schakelboard om mee te spelen. En nu zat ik naar die dingen te kijken en toen dacht ik, oh ja, transistor. Welk pootje is wat ook alweer? Dus dat was weer even oefenen. En er blijkt pokebal niet helemaal de juiste fit te zijn. Dus dan kom je weer in het 3D-design-landschap. En ja, veel rabbit holes weer.

Maar leuk. En ja, Ronald? Ja, ik moet nog een beetje wakker worden. Je ziet dat mijn kleine oogjes... Luister als niet, han. Wij wel, wij wel, zeker. Een heel weekend ben ik met allemaal jeeps. Dus heb ik door naar de Zwartbergen gegaan. Dat is hier in Zürijen vandaan, waar een ultrathrill gaat plaatsvinden. Die Afrikaners zijn helemaal luip. Die vinden het heerlijk om 73 kilometer hard te lopen door de bergen. Heftig. Dus er zitten ook gewoon rustige 5-honderd hoogte meters in en zo.

En dan niet op een simpel trappetje, maar waar je eigenlijk bijna moet scramblen langs een muur naar boven. Maar goed, wij zijn naar een gade om te verkennen voor onze Search and Rescue-inzet. Want er gaan altijd een paar mensen die naar beneden glijden. Dus dan gingen we kijken waar we mastig aan deerzetten. En helie-extractiepunten zijn. En dan zeg ik, ja, maar het was net de dag ervoor heel slecht. Weer enorme buien en flats. En dan gaan die helies echt ook niet landen. Dus ik zeg, misschien moet je ook wel rekening houden dat ze de wedstrijd moeten afblazen als die helies niet kunnen vliegen. Want dan krijg je gewoon geen procent van die bergen op. Nou, dat is niet bespreekbaar, die trillrunners die moeten gaan lopen.

HISTORISCH, als je een wedstrijd kent, dan maakt het niet uit. Die mensen zijn helemaal opgeladen. Ze gaan gewoon. En ze laten wel een nacht op die berg liggen. Waar 2 graden wordt is vanavond nachts en overdag 40 is. En dit is de hel waar je langs de rivier loopt. Het is een waanzin wat die mensen doen. Maar supergaaf. Het was allemaal niet heel erg technisch. Nou, behalve misschien de radio netwerk opbouwen en zo. Maar echt ontzettend leuk om te doen. En zavond natuurlijk lekker dan een karoelammetje eten.

Iedereen even lekker maken voor de aanstaande cyberconferenties die in Kaapsaat gaan plaatsvinden. Dat hebben we net besproken. We zijn nog buiten de uitzending. Maar dat houden we nog eventjes voor ons. We hebben straks al 3 verhalen. Toch was er nog 1 nieuwtje wat Marco heel graag even zou delen, Marco. Ja, want wat wij opviel de afgelopen donderdag is dat er door Anthropic, de makers van cloud, ze hadden een conceptblog en eigenlijk allerlei andere documenten per ongeluk open staan aan het internet. En daarin werd gesproken over een nieuw model wat ze aan het lanceren zijn.

Cloud Mythos. En gebruikers van cloud kennen vaste termen als haiku, sonnet en opus. Dat zijn zeg maar de manieren waarop je met bepaalde modellen kan praten en communiceren. En Kapie Bara wordt dan dus aan die lijstjes toegevoegd. En als het waar is wat ze zeggen in die documenten, dan gaat het echt wel een game changer zijn. Want ze hebben het erover dat dit model nou nog beter is in software development. Dat was cloud al best wel goed en nog beter in academic research.

Maar nog mooier, ze zijn heel sterk in cybersecurity skills. Voor vulnerability research en exploit ontwikkeling. Ja, dat is best spannend. Want ze zijn zelf ook een beetje bang voor dat als ze het dan los zouden laten, dat dan in een keer de hele wereld in fix staat. En de aanvallers gaan makkelijk veel bits vinden. En dan is het raar dat de defenders bijbenen. Dus het goede nieuws is wel, de uitrol gaat heel geleidelijk. En eerst met verdedigende partijen. Dus die krijgen eigenlijk zeg maar een head start. En waarnaar gaat dat beginnen? Dat is niet helemaal duidelijk, want ik zeg ook niet terug. Het leek erop alsof het zo zou zijn.

Een beetje vage, want het is natuurlijk allemaal van die soort geruchtermolen. Maar toen ik het las, dacht ik wel van oké vet, ik ben wel echt heel benieuwd. Ik zou ook graag toegang hebben. En wat ook wel interessant was om te waarnemen, is dat de beurzen best wel even weer een dipje kenden door dit nieuws. Dus dan zie je toch wel wat voor invloed zo'n groot bedrijf met nou, ook eigenlijk een soort geruchte. Het is een conceptblog of zo. Allemaal short op cybersecurity, jongens. Ja, dat was wel interessant. Het is wel veel AI nieuws, maar goed, dat hangt ook steeds meer samen. Het heeft ook gelijk wel een hele grote directe impact op cybersecurity.

Ja, dat is dan misschien ook weer een bruggetje naar mijn verhaal. Over hoe belangrijk AI is in de geopolitieke wereld. Amerika heeft natuurlijk allerlei exportbeperkingen al opgelegd. Dat is hier soms wel rondom ASML machines die we niet zomaar overal heen mogen sturen. Maar ook heel nadrukkelijk op de chips van de Nvidia, de eigen grafische processors, maar die nog belangrijker blijken te zijn voor de AI-wereld. En ja, we zien ook dat die AI-spulletjes allemaal goed gebruikt worden in de militaire setting.

Als je terugkijkt naar de discussies tussen Anthropic en OpenAI en de Amerikaanse Defensie en hoe AI al ingezet is bij de plannenmakerijen om Irantoon aan te vallen. Dus logisch dat dat allemaal gebeurt. En wat we nu boven komen is dat er afgelopen week, van woensdag, drie personen zijn aangehouden. Een man uit Hong Kong en twee mensen uit Amerika. Maar toch wel wat Chinese achternamen. En die bezig zijn geweest om een smokkel op te zetten van de Company 1 en de VIA Company 2 en dan naar China.

Ik vind het ook heel grappig hoe dat in zo'n Amerikaanse... Dit zie je ook gewoon op de website van de FBI staan. En die proberen dat dan anoniem te houden. Maar dan wel gewoon de type nummers van de chips noemen. Dus Company 2 is Nvidia en Company 1 is Supermicro als leeswijzer. Vetter. Nice. Ik vind dat verhaal. Maar goed, wat is er nou gebeurd? In oktober 2023 gebeurt dat al. Dat is een bestelling van 750 servers bij een Californisch bedrijf. Dat was dus Supermicro.

En waarvan de 600 dan gevuld moeten worden met chips die export controlled zijn van Company 2. Dat zijn dus de chips van Nvidia. Alleen die chips, daar heb je niet veel aan. Die moeten op bordjes zitten. En mooie rekjes zodat je ze ook echt kan aanspreken. En dat is dus wat Supermicro doet. Nou ja, en als je zo'n bestelling doet, dan moet je ook netjes aangeven dat je dat spel niet naar verkeerde landen stuurt. Dus expliciet dat het niet naar China gaat. Wat heel grappig is, de FBI is hier achter gekomen. Waarschijnlijk omdat Nvidia of Supermicro of misschien wel beide op een gegeven moment iets dachten.

Dit klopt niet. In alle mailwisseling die ze met de rondende bestellingen hadden, die eigenlijk naar Thailand moest gaan, zat geen enkel Thais mailadres, maar wel Chinese mailadressen. Hoe dom kan je al zijn? En die bedrijven reageerden ook terug. Maar jongens, dit kan toch niet? We kunnen niet zomaar aan jullie gaan verkopen. Dus die order was cancelled, maar er was wel al 20 miljoen over gemaakt. En moet je voorstellen, 20 miljoen is echt gewoon veel geld. Wat je niet als standaardcrimeel zo even hebt liggen. En dat is een beetje zoals het ook met voorfinanciering werkt.

Als je drugs gaat exporteren, dan moet je ook eerst geld hebben. En dat kan je dus alleen maar hebben. Of omdat je dat heel vaak doet en daardoor steeds groter groeit en ook de cash hebt om te voorfinancieren. Of omdat er gewoon een land achter zit die zegt hier heb je 20 miljoen. Als je die aanbetaling moet doen, dan is dat prima. Uiteindelijk heeft de FBH ze gevonden. En dat telefoon is in beslag genomen en dan zie je ook de chatgesprekken waarin we zo'n groepje hebben. Waar dan ook heel indrukkelijk in staat van nee, niet meer over China praten.

En eigenlijk merk je ook dat ze in staat zijn om dit lijntje op te zetten via Thailand. En dat ze eigenlijk nog meer klanten zoeken die geïnteresseerd zijn om die chips te kopen. Dus ze werven ook in de teksten van ga eens kijken of je andere kopers kan vinden. Het is best wel lijpt hoor. Want dan tekenen ze een document dat ze zeggen is niet voor China. Ze appen over China. En dan hebben ze een thais cover bedrijf maar niet alle technische maatregelen genomen om dat een beetje echter te laten lijken. Het is echt een hele crappy opzek.

Mijn beeld erbij is dat dit mensen die standaard niet crimineel zijn maar nu gewoon een kans zien. En die worden opeens benaderd vanuit China. Kunnen jullie toch niet wat regelen? En dan een beetje witte moordencriminele die hebben helemaal geen opzek. Ik denk dat ze dan niet een beetje trainen vanuit hun inlichting en diensten. Dat ze dan die mensen op bronnen gaan en trainen ofzo weet ik voor wat. Ja, misschien heeft een van die drie personen wel contact. Maar de andere twee niet en die doen hele domme dingen. Pernaal.

Dus die gaan wel goed de bak in. Maar al zoeken naar dit verhaal en dat uit te werken voor deze podcast. Kom ik opeens achter dat de week daarvoor nog een veel groter zaak is geweest. En daar ging het om voor 2,5 miljard dollar aan Nvidia servers die naar China moesten gaan. En wat daar dan ook blij is, is dat gewoon de persoon die opgericht is, is een mede-oprichter van Supermicro computer. Gewoon een bedrijf dat in California zit. Die meneer heet Wally, dat is zijn bijnaam.

Maar eigenlijk heeft zijn achternaam Wally jou. Ik weet niet hoe dat uitspreekt. Maar hij heeft een Chinese achtergrond. En die is ook aangehouden. Supermicro heeft ook gelijk een dikke aandeel op de beurs verloren. 33 procent in de vier handelsdagen. En dat staat gelijk aan een waarde van 6,5 miljard dollar. En dat trekt alweer eventjes bij. Maar je ziet wel dat dit echt heel groot is. En dat China echt enorm veel om te doen is om nog aan die chips te komen.

En aan de andere kant wordt een hoop geprutsd in dat smokkelen. Want het is blijkbaar misschien nog niet zo makkelijk. Maar ik ben eigenlijk bang dat we alleen maar de prutsers zien. En dat er uiteindelijk stiekem toch heel veel chips op de Chinese markt uiteindelijk kan komen. Ik denk uiteindelijk wel dat we wat meer ter regelschering gaan krijgen. Die end-user-certificate is heel erg van belang. Dat je ook echt weer revierd waar gaat het heen. En ik kan me voorstellen met dit soort orders dat je dus nood iemand van zo'n exportbureau, gewoon een ambtenaar,

zet die maar op een vliegtuig, laat die maar ergens heen vliegen dan naar die zogenaamde eitklant. Waar mensen die dus naar Taiwan toe mag het wel. Naar Taiwan toe mag het wel. Dan ga je dan maar kijken bij zo'n bedrijf. Komt het daar ook echt wel uit? En weten die mensen wel dat zij zogenaamd dan een bestelling geplaatst hebben? En de bedragen zijn groot genoeg om het te doen. En het is natuurlijk ook wel van belang nog steeds dat Amerika handel kan drijven. Je kan ook niet alles op slot gooien. Amerika moet ook doorleven. Zeker in deze zware tijden. Ik ben benieuwd hoe lang het nog zin heeft.

Omdat je uiteindelijk ook, het was laatst een nieuwsartikel over dat China claimt dat ze 2028 tot 2030 verwacht te live te gaan met hun eigen EUV-machine. Dan hebben ze straks genoeg chips in potentie om die design van te kopen. Ik weet niet hoe makkelijk dat is. Ik ben een beetje aan het speculeren hier. Maar als je een EUV-machine kan klonen, dan ben je best lekker bezig. Dan kun je vast wel een chip zelf gaan ontwerpen en printen. Dus hoe essentieel is die export dan nog? Ergens gaat het om het huis te voorkomen dat ze het ook zelf kunnen. Het is best wel vaak gelukt dat ze met hoogwaardige technologie van China dat ook weet over te nemen.

Het zou ook voor A.S.M.L. niet zo heel prettig zijn, dan ben ik bang. En dus daarmee over Nederland als best verdienend bedrijf van Nederland. Dan ga je toch ook een beetje naar een nucleaire regime toe met de breakout time van landen. De breakout time naar een hoogwaardige B200-achtige chip bijvoorbeeld of naar de superchips. Het is wel ook over als je zoveel rekenkracht hebt en over wat dat dan doet met je inlichting en economisch vermogen. Het is geen nucleair wapen, maar het is wel interessant om dit te zien dat we dit actief proberen te reguleren.

Om de breakout time van andere landen wat uit te stellen. Zodat wij denk ik een competitief voordeel hebben of proberen te hebben op de markt. En de reactie van die landen is, we gaan het wel zelf bouwen. Dus Rusland die bezig is met eigen chipset en China dus al een tijdje ook. Toch zie ik die Russen dat uiteindelijk niet echt hoe het staat om het allemaal zelf te kunnen. Nee, er zijn ook hele leuke blogs over hoe Russen dat aanpakken met chips. Dus je hebt van die ruggedized militaire chips die dan helemaal tegen trillingen kunnen. En weet ik wel wat een westerse aanpak is. We gaan die chips zo overengineerden dat dit gewoon goed gaat als het in een kruisvluchtwapen zit.

Terwijl die Russen die pakken het gewoon echt in, nou nog net niet in bubbeltjes plastic zeg maar. Maar dat ding gewoon helemaal inbakken in een enorm dik plastic blok zeg maar. Om maar diezelfde chip te kunnen gebruiken die ook in je magnetron zit. Dit doet mij denken aan zo'n verhaal over schrijven in de ruimte. Dat NASA heel veel geld heeft stuk geslagen waarin op zijn kop kunnen schrijven. Omdat er natuurlijk geen zwaartekracht is om die ink naar beneden te drukken. En wat was Rusland's oplossing? Een potlood. Een potlood. We blijven nog even bij telefoons en chips.

Jij hebt wel wat over iets dat is afspeeld binnen in de chips of eigenlijk in je iPhone. Een spionage tool die nu ook voor andere doeleinden wordt ingezet. Ja zeker. Dus je hebt dat er recent aandacht is voor corona of coruña of ik doe het gewoon corona noemen. En dat is onderzoek van het Great Team. Dus dat is het research team van Kaspersky. Kaspersky is een van die bedrijven die gesanctioneerd is in Europa. Want het is een Russisch antivirus en EDR solution en eigenlijk antiviruspartij klassiek.

Maar die doen nog steeds wel heel interessant onderzoek. Maar iedereen moet het wel even deinstalleren nu? Van die het nog steeds gebruiken? Het is alleen maar de overheid toch verboden nu om Kaspersky te gebruiken? Dat wist ik niet. Dan heb je een heel interessant risicoafweegingskader. Dat jouw antivirusproduct telemetrie verstuurt naar Rasia. Dus naar het moederland. Ja wat heeft Kaspersky? Die hebben wel echt een ontzettend innovatief research team ooit opgezet. Waar echt hele grote uit hele industrie hebben gewerkt.

Die nu steeds meer naar andere bedrijven zijn gegaan want het was wel erg Russisch. Maar wat ze dus ooit hebben ontdekt. Dat was Operation Triangulation 2023. Dat op een wifi netwerk, op een kantoor wifi netwerk, op de iPhone zat er allerlei gek verkeer verstuurd werd naar bepaalde servers toe. En nou, zij ze wat research gaan doen. Want het zijn researchers natuurlijk. En volgens uit alle TCP-doms, uit al het netwerkverkeer, blijkt dat er verkeer gaat naar een aantal command control domeinen. Om zeg maar data uit die telefoons door te sturen.

Die research gaan we verder graven. En komen we erachter dat hier een hele exploit chain, dus een keten van allerlei kwetsbereiden in zit. Die met een zero click getriggerd werd. Naar zero click betekent in de malware, de mobile malware markt. Dat je dus een vector hebt. Een berichtje krijg je een iMessage of in je Safari browser dingen aan doen bent. En dat je zonder gebruikers interactie, dus zonder te klikken dat dat ding afgetrapt wordt en jouw telefoon infecteert. Dit zijn op de markt de duurste vulnerabilities die er zijn. Dus je slachtoffer alleen maar te lokken om naar een bepaalde website te gaan of zo?

Ja, zeker. Of als je bijvoorbeeld een telefoonnummer hebt of een iMessage account of iets te sturen waarmee het getriggerd wordt. I-Message is vaak zo'n zero click mogelijkheid. En als het goed gaat, dan kan je ook als hacker het berichtje ook weer weghalen. Dus gebruikers zien daar duidelijk een manier mee dan? Ik denk dat als je inderdaad die totale access hebt tot apparaten, kun je inderdaad het bericht ook gewoon weer wissen. En zorgen dat je sporen weg zijn. Ja, mooi zeg. Ja, zeker. En ook die killchains of exploitchains die hier gebruikt worden, die zijn ook gewoon interessant als concept.

En Kaspersky heeft het gewoon heel mooi uitgeschreven. Mooie plaatjes, mooie visuals. Niet AI generated, echt gewoon door een researcher echt hard werk gedaan of door de graafjesontwerper. Ze worden zeker geen westerse modellen gebruikt? Precies. Ik weet niet of het goede Russische modellen zijn. Ja, ze zijn hele mooie zijn dat. Nee, ik hoor de Russische modellen. Die mooie Russische modellen die ze niet hebben gebruikt, die laten wel zien. Zo'n iPhone heeft natuurlijk meerdere beveiligingslagen.

Je bent gelijk met een gebouw, je komt binnen, je hebt de hal, trappetje, beveiligde verdieping. Daar de dure spullen staan, de kroonjubile. En er is dus die gelagetheid, die zie je dus in producten. En zo'n aanvaller moet door al die lagen heenbreken, wil die op een telefoon zeg maar de toegang hebben waarmee hij iets kan. Dus zo'n app zoals Safari of iMessage die zit natuurlijk in de buitenste ring. En alles op je Apple device, dat leeft in de sandbox. Dus een kleine beveiligde opgeving waar het in principe niet naar buiten kan. Maar dat zie je dus bij al die exploitchains dat ze capabilities bouwen, bepaalde capaciteit te bouwen,

om door die sandboxes heen te breken. En die loepen ze dan allemaal aan elkaar, dus die meerdere kwetsbaarheden, om eerst maar eens binnen te komen, dus via Safari of via iMessage, om vervolgens uit te kunnen breken uit die sandbox, dan weer een volgende sandbox uit te breken, om uiteindelijk in de buurt te komen van je kernel, dus eigenlijk het meest waardevolle of het beschermde stukje van je besturingssysteem. En dan vervolgens kunnen ze erbij van alles en nog wat, dus microfoonfoto's, berichten, of je locatie, of je bestandjes van webverkeer bijvoorbeeld. En dus dat terwijl het slachtoffer in principe niks zou moeten merken.

Het is een best complexe chain als je het zo beschrijft. Er zitten aardig wat stappen hierin die en waarschijnlijk tussen verschillende devices anders zijn. Ja, er kan zoveel mis gaan. Ja, en het is ook wel vet dat voor het eerst dat ik dat zo duidelijk ook heb gezien weergegeven in het Kaspersky rapport, is over de hoeveelheid tussenstapjes. Ze zeggen dat dit een simplified tussenstapje is, dat het niet gaat over vijf tussenstapjes, dat het afhankelijk van de versie, zeg maar, versienummer, dat het ook over tientallen tussenstappen gaat, exploits, chains aan elkaar,

aan allerlei protocolen die aangeroepen worden. Het is een heel warrige en complex geheel. En dat die chain ook per apparaat anders is, zeg maar. Dus dat is wel vergrotendeels anders. Maar dit is dan... Kijk, mensen denken altijd dat iPhones veiliger zijn dan Androids, en dat Apple goed zijn best doet om alles veilig te maken. Maar zoals je nu beschrijft, zou ik eigenlijk denken van, ja, er zit wel wat variatie in het hardware, dus af en toe zou de exploits net iets anders moeten zijn. Toch is het wel een goed beschreven set aan apparaten en iOS-versies die in het algemeen gebruikt zijn.

Dus dat is nog wel doable, je aanvalspakketje op te bouwen. Moet je voorstellen hoe je dat met Androids zou moeten doen? Met al die verschillende hardware en verschillende versies. Daar gaat dat dus niet zo makkelijk bij denken. Ga je erin mee in mijn stelling dat een Android misschien wel veiliger kan zijn dan een Apple device, als je een serieus target bent? Ik verwacht ten aanzien van de hardware dat het wel meevalt, want uiteindelijk biedt Android ook zo'n hardware abstraction layer, waardoor je eigenlijk niet zoveel merkt dat er verschillende hardwarecomponenten in zitten,

tenzij een van de onderdelen van de exploit chain echt een hardwarecomponent uit buiten is. Dus het is vooral gewoon een andere OS, maar er zijn van Android natuurlijk wel veel meer versies in de omloop, denk ik, dan van Apple. Apple... Lijkt toch dat mensen... Lijkt, hè? Ik heb de cijfers niet, maar dat lifecycle management wel iets meer een ding is. Mensen willen steeds de nieuwste model hebben. Bij Android kun je ergens tussen 8 en... Wat is de nieuwste? 12 of 13 of 14? Ik weet geen idee. Oké. Maar daar zit meer spreiding in, wat ik kan herinneren uit al die berichten.

Maar mijn stelling klopt dus niet. Uiteindelijk hoeft het niet per se moeilijker te zijn op Android. En je hebt ook gewoon die verschillende tijden met Android, zeg maar. Op een gegeven moment had je natuurlijk de oude Androids, die waren gewoon crap beveiligd met een app store die voor 1 jaar duidelijk malware bestond. En nieuwe Android devices en ecosystem waarbij Samsung ook daadwerkelijk updates push, lifecycle management doet, ook omdat ze een aantal rechtszaken hebben gehad dat hun producten ondersteun moeten blijven als ze eenmaal in de gebruikse handen zijn. Dat er ook security-updates komen. Dus je ziet dat het ecosystemen een klein beetje naar elkaar toe bewegen, denk ik.

En dat als je een high-value target bent, je waarschijnlijk ook een van de meest recente modellen van die telefoon in je handen, Apple of naar iOS of Android, is. En dat je weet dat iedereen de meest dure vulnerabilities die je kunt verkopen zijn gericht op dat soort top-spec modellen. Dat is de reden dat die zo duur zijn. Als je daar een kwetsbaarheid in vindt, dan target je de meest welvarende gebruikerssegment die de nieuwste telefoons heeft. En waarschijnlijk ook de meest secrets in hun hoofd of op hun telefoon heeft. Dus je doet er verstandig aan om zodra een nieuw model uitkomt gelijk die te kopen, want daar zal nog niets voor klaar liggen.

En dan na drie maanden moet je weer wisselen. Ik vond het wel... Als je daarnaar kijkt, want dat is ook wel relatief nieuw, vind ik, in het blogje, is dat ze inderdaad heel specifiek de versienummers beschrijven. Dus de iOS-versie, dus het besturingssysteem van je iPhone, iPad of MacOS, die ook steeds meer iOS-capabilities krijgt. Dat best wel helder is. En dat staat niet bij welke telefoons, maar ik heb even gekeken naar hoe de iOS-versie die erbij staat en welke telefoon dat zou gaan. Dan heb je inderdaad wel een capability die van de iPhone 6S tot en met 11 en vervolgens upgrade naar van de iPhone 6S tot en met de 15 Pro.

En dus vanaf 2023 een van die capability chains ook je MacBook Pro M3 kan targetten, omdat die ook een deel van dezelfde chipset kan misbruiken, deze F-tab-chain. Dat vind ik dan wel interessant te zien. Want we willen op een MacBook tegenwoordig ook dat je de apps kunt installeren uit je App Store, zodat dat zo lekker werkt. Maar daardoor dat je dus de kwetsbaarheid uit de ecosysteem ook begint te vermengen. Dus dat als een iOS-capability uitgewerkt wordt, dat die ook misschien toepasbaar is op de MacBook.

Dus dat is wel een vette... En het zit sowieso op het brand nu, ook die nieuwe Macbox, die Mac Neo, zo heet het hier. Super gekookt. Eigenlijk is dat gewoon een iPhone toch van binnen met een groot display en een heel groot accupakket. Beetje wel. Ja die heeft ook die, wat is het, niet eens de M, maar volgens mij de Bionic chip. Maar die platform is allemaal naar elkaar toe. Dus voor de aanvallers lekker. Ja een beetje depressief ook, maar het is ook wel, ja natuurlijk heb je gebruiksgemak, het dwingt ergens heen en security dwingt ergens anders heen. Ja en wat ze dus ook verder hebben natuurlijk is waarom hebben ze deze twee campagnes aan elkaar kunnen linken?

Omdat ook de verkoper van dit aanvalsplatform, want dit is een aanvalsplatform dat verkocht wordt, een aantal kwetsbaarheden heeft hergebruikt of omgekat heeft naar iets zodat het ook nieuwe versies kan ondersteunen. Dat ging om specifiek de kernel exploit die gebruikt werd. Die zat in triangulation, die is wat omgeschreven qua code en wat geprogrammeerd. En vervolgens was hij ook toepasbaar in die nieuwe killchain. Je ziet wel dat de kleine onderdelen uit zo'n killchain wel herbruikt worden waarmee je dus deze campagnes aan elkaar kon linken.

Jelle even terug nog, Coruna heeft toch, dat had ik wel eerst gelezen, van Amerikaanse overheidsoorprong, wat er ongeluk gelekt is of zo? Waarop ze dit baseren is de mate van sophistication over hoe geavanceerd deze kit is. En dat geeft een indicatie over wat voor acteur hierachter zit. En ze zeggen dus dat allerlei statements over this is crazy, crazy advanced stuff en zo. Waardoor ze denken van oké, er is maar één partij in de wereld die dit type capability kan bouwen. En daardoor heb je heel veel vingers, ook de FSB en ook die wijzen naar de National Security Agency die dit type capability heeft.

Maar ik denk wel wat je ziet, ook in dit rapport over Coruna, is dat deze capability hier nu ingezet is om allerlei crypto wallets leeg te stelen. Dus de meest recente variant en de recente inzet hiervan, uit 3 maart dit jaar, is dat dit gebruikt wordt om van die cryptogurus te targetten en hun wallet leeg te stelen via Safari en allerlei andere capabilities. Dus daarmee zie je dus wat ooit ingezet werd om Kaspersky te targetten om te kijken wat voor research ze deden bijvoorbeeld. Dat je dat nu, deze capability klaarblijkelijk ook beschikbaar is, in dit aanvalsplatform, voor allerlei andere partijen die meer geïnteresseerd zijn in je geld te stelen.

En in mijn hoofd zijn dat twee verschillende typen organisaties. De ene is meer spionage of foreign intelligence en de andere is gewoon muntjesjatten van rijke mensen, zeg maar, wat meer crimineel is. Het laat wel zien en dat is natuurlijk, als ik dan terug denk aan alle debatten die we in Nederland gehad hebben, over ook het inzetten van zero days door Nederlandse overheid. En dat heeft zichzelf vertaald uiteindelijk in de tip bijvoorbeeld die ook moest kijken naar technische risico's en zo bij inzet van zero days. Dat er altijd gezegd wordt, ja we moeten verschrikkelijk meer oppassen dat we dat inzetten als overheid, want uiteindelijk komen die dingen op straat terecht.

En hebben die mensen dan nu toch gelijk gekregen dat dat hier ook gebeurd is, dat het waarschijnlijk een overheidskid is die nu door criminelen wordt ingezet? Ik denk dat je altijd, het hele idee van cyberoperaties doen is dat je een buitenland netwerk binnendrinkt of iemand anders zijn netwerk binnendrinkt. Daar laat je altijd sporen achter. Dat is een beetje dat forensische principe dat elke aanraking sporen achterlaat. En dat heb je hier ook dus. Maar het is ook voor de overheid, de partijen die dit soort kwetsbaarheden inzetten, die doen er alles aan om ervoor te zorgen dat dit soort kwetsbaarheden niet achterblijven en niet terug te recenseren zijn.

En toch is het wel eens mis. Ja en toch gaat dat wel eens missen. Dat is het hele idee van cyberoperaties. Je bent uiteindelijk in iemand anders zijn netwerk of op iemand anders zijn apparaat binnen Coruña bezig om daar te viespeuken. En soms gaat dat gewoon gevonden worden. Ja, maar kijk, als je in traditionele wapens, als je die hebt gemaakt, een raket die 4000 kilometer kan vliegen, als je die vindt kan je die niet gelijk kopiëren. Maar als je een Zero Day weet te vinden, dan denk je, oh mooi, die kan ik gebruiken. Dat schaalt lekker. Het is gewoon software, dus die kan je zelf weer keihard inzetten. En zelfs tegen de Russen, Casper script ontdekt, kan je keihard weer tegen Amerika inzetten.

Dus het is echt wel iets waar je goed mee moet oppassen. Ja, maar voor standaardwapens is het hetzelfde. Dus dat is ook de reden dat als er een chipset of een motherboard ergens op het slagveld ligt, dat dat natuurlijk ook geanalyseerd wordt van welke chipset erin, hoe werkt dit, hoe zit het met de modules die eraan hangen. Maar toch is dat niet zo makkelijk te kopiëren. Als je gewoon een tap hebt staan op je eigen telefoon en je ziet dat er een Zero Day is binnengekomen, dan ga je die tap uitpakken en dan haal je het zo uit. Je ziet het eruit, oh, hier zit-ie. Nou, en dan kan ik gebruiken. En dan kost je een weekje. En dat is natuurlijk met zo'n raket die op je hoofd land...

Met klot kost je dit een weekje, maar ik denk dat dit ook wel een lang proces kan zijn hoor. Dat is natuurlijk toch ook, al die aanvalsketens worden natuurlijk helemaal geopfascade, gecamoufleerd. Je moet het dan ook zo kunnen ombouwen en hercompileren, zodat het ook met jouw eigen infrastructuur gaat praten. Je moet natuurlijk niet hebben dat je het in gaat... Maar die heb je al staan. Je hebt alleen maar die Zero Day. Ja, maar dat zit vaak in de binary. Er is natuurlijk iets van slimmigheid ingebouwd om te weten waar je het mee moet communiceren. En als dat nog op Amerikaanse servers staat en jij gaat als Rusland dat inzetten, is het natuurlijk een beetje gek. Als jouw aanvalsvector dan begint te praten met Amerika. Je moet er wel wat slims mee doen, maar ik snap wel wat je zegt.

Het is misschien net iets anders dan de fysieke space en tegelijkertijd zijn er nog veel analogieën. Oké, Jelle, jij mag weer verder. Nu al ceert hoor. Lekker, makkelijk. Ja, zeker. Mooi. Die aanvalsketen hebben dan besproken hoe dat werkt, dus die verschillende lagen die die door moet. Dan lees je naar Karuna die attributie. Dat komt doordat er een deel van de kwetsperheden overeenkomen tussen beide, bij de killchains of attackchains. En dus wat doet het dan concreet? Het is eigenlijk gewoon dat hele aanvalsplatform. En in dit geval, de meest recente dingen, is dat Safari getarget wordt. Het is geen iMessage, maar Safari.

Dus dat ze kwetsperheden hebben in Safari, daar breken ze uit en vervolgens komen ze in de kernel uit. En wat die vervolgens doet is het vingerprinten. Dus kijken welke versie leeft jouw apparaat, welke chipset is er aan boord. Om de juiste exploits dan vervolgens te kiezen binnen dat framework. En op basis van jouw versie wordt de hele specifieke exploitketen afgetrapt. En dan vervolgens wordt er een heel framework geladen. En dan kunnen ze volgens lol hebben. Dus kunnen ze eigenlijk die op je telefoon kijken naar bepaalde dingen. En in de meest recente campagne, wat ik net zei, waar ze met name geïnteresseerd in crypto wallets.

Maar er was ook nog een tweede kit gevonden toch, een tweede exploitchain? Ja, er is ook een exploitchain waar ook nieuws over is, dat is Dark Sword. Daar waar zes CVE's, bekende kwetsperheden, in gebruikt worden door een Russische statelijk gelieerde groepering, Unq 6353. En door het commerciële spyware bedrijf Parse Defense. En dus dit bij elkaar is zeg maar ook de reden dat die Apple update, de laatste die security update gepusht werd. Om Dark Sword en Coruña te patchen.

Want Apple zegt ook van, de enige manier om deze capabilities te kunnen tegenhouden is je meuk updaten. En dus dat was Dark Sword. Zo vaste oproep om je spullen op de date te houden in onze podcast. En dus steeds nieuwe telefoons te kopen. Ja, precies. En ook trouwens, er staat ook iets in die rapport erover of dat lockdown nou een deel van deze exploitchains tegen gaat. Dus als je zorgen maakt dat je dan je iPhone in lockdown zet en dan alles nice and peachy?

Ja, wel deels. Want je hebt, dat is mijn analyse daarvan, is dat lockdown mode, want die triangular factor eerst was iets met Java, nog iets. En lockdown mode doet ook iMessage uitzetten. Een deel van iMessage, ja zeker. Ook de pre-rendering van de URLs en dat is vaak wordt allemaal uitgezet. Ja, en dat is voor triangulation was dat een van de eerste, eerder, factoren zeg maar. Dus dat lockdown mode je experience helemaal kapot maakt op je iPhone, kun je volgens mij een deel van dit tegenhouden.

Ja, die lockdowns wacht dus vooral voor dat de allereerste initiële aanvalsfactor een stuk moeilijker gaat worden? Ja, exact. Alvast iemand weer gewoon WhatsApp installeert. Ja, zeker. Oké, we gaan door. We zitten erover telefoons en diep erin duiken. Marco, je had een mooi verhaal. Ja, kijk Rapid7 heeft een ontzettend interessant rapport gepubliceerd over Red Mansion. Of nog meer namen als Earth Blue Crow, Decisive Architect. Ik denk dat mensen zitten denk ik op alleen al de branding van de naam zeg maar.

Maar waar het op neer komt, het is gelinkt aan China, en daadwerkelijk ook aan de staat. Wat ze hebben gezien is dat diep in de backbone van telecombedrijven in het Midden-Oosten en Zuidoost-Azië, in ieder geval voor wat ze geobserveerd hebben. Al minimaal sinds 2021 zijn de actoren actief. En dat is eigenlijk al 5 jaar onopgemerkt en daar lekker een ding hebben kunnen doen. Wat bedoel je dan met zo'n backbone? Ja, als je het hebt over zo'n provider, volgens mij hebben we het met Salt Typhoon ook een beetje besproken. Je hebt aan de buitenkant wat de mensen zien, de gebruikers van de provider, namelijk de website, het klantportaal, dat soort dingen.

Maar de backbone, dat is dan echt de kern. Oftewel waar eigenlijk al het belverkeer doorheen gaat. Je pleegt een belletje, dat gaat via een mast. Die mast moet dan weer praten met de provider. De provider moet dan weten waar hij naartoe moet verbinden om de andere telefoon te vinden. Zo zorgt die backbone eigenlijk voor dat jij met elkaar in contact komt. En uiteindelijk dus dat deel, daar zaten ze. Dat is ook waarvan in Nederland gezegd is dat mogen wij geen wow-wow voor gebruiken bijvoorbeeld. Ja, inderdaad. Dus de verbod op Chinese apparatuur in de kritieke communicatieindustrie.

Gaat het dan ook over de routing van je IP-verkeer of netwerkverkeer? Is dat ook deze backbone of is dat een andere backbone dan? Nou, in specifiek deze campagne weet ik niet. Ze hebben het vooral over die telefonie backbone. En hoe de provider het eigenlijk met elkaar communiceren voor de telefonie. Dus het stukje IP is daar een beetje... Ik denk niet dat dat een ander deel is. Niet waar zij zaten. Wat hebben ze nou gedaan? Ze hadden een hele leuke implant gemaakt. BPF Door.

Nou, voor de mensen die niet helemaal weten, een implant is eigenlijk gewoon een stukje code dat een aanval op plaats van op een systeem om dan nog steeds mee te kunnen communiceren op afstand. Of er controle over te hebben. Bijvoorbeeld ook mannen uitvoeren of systeem informatie op te vragen. Dus eigenlijk is dat een stukje code wat een aanvaller dan achterlaat om hun ding te kunnen doen. Een reguliere implant daar maakt dan zo'n aanvaller verbinding mee. Of die maakt verbinding terug met de aanvaller. Dus dan zegt hij van zijn mooie zijn er nog instructies. Als je zo'n implant hebt, dat verkeer verhullen, dat is altijd best wel een uitdaging.

Want je wil dus periodiek verbinding maar verbinding hebben. Dus zo'n implant gaat bijvoorbeeld periodiek terugbellen. En in theorie valt dat op bij security teams. Goede socks zijn goede security teams die detecteren vreemd verkeer. Want er is een vreemde server ergens. En dan zie je de heetheid daar verkeer naartoe vliegen. Dit is een beetje een kat-en-muis spel. Volgens mij heb ik vorige keer heel even over gehad met het gebruik van telegram in communicatiekanalen. Dat is een stukje moeilijker om te detecteren dan allemaal moeilijke servers ergens zelf neerzetten. Dus je wil geen rare porten gebruiken, maar gewoon meeliften op protocoletjes die toch al rondgaan.

Ja, dat zou dus inderdaad een van de tactieken kunnen zijn om het nog beter te verhullen inderdaad. Maar wat doet BPF door dan? Die belt helemaal niet terug in de basis. Dat ding is gewoon passief. Dat is aan het wachten. Kijk naar al het netwerkverkeer wat op het systeem voorbij komt. Dus even voor de duidelijkheid, dit wordt dan op het systeem geplaatst. Kijk naar al het netwerkverkeer. En zoek dan op specifieke plek in het verkeer naar wat we noemen dan een triggerpatroon. Oftewel een aantal bytes, zeg maar het bewijsbrekend woord hoi. En als hij dat dan ziet en herkent, dan wordt hij actief.

Het is natuurlijk mooi in een telecomomgeving. Daar kan je allerlei manieren, kan je ook data genereren. Als je gewoon dit bij een bank zou doen, of waar dan ook, dan heb je normaal niet een pad waar je zelf als hacker control over kan hebben. Maar bij een telco wel. Je koopt een telefoon van het netwerk en je gaat gewoon bepaalde nummers draaien of bepaalde sms'en suuren. Ja, en helaas vertelt het rapport dan dus niet exact hoe dat ze er uiteindelijk ervoor zorgden dat dit verkeer er voorbij kwam. Maar inderdaad, want jouw verkeer gaat snel daarover heen en dat is bij een bank inderdaad niet het geval.

Nou ja, je zou op een andere manier geld overmaken. Ja, precies ja, daarom. Maar ja, je gaat niet allemaal transacties doen. Oh ja, transacties met een bepaalde onschrijving die opeens alles gaat wiperen. Dat is ook wel grappig, zo. Zij hebben twee kanalen voor één cent transacties. Maar goed. Dit is best wel cool, want ze hebben in normaal verkeer specifieke bytes verstopt. En dan heb je dus eigenlijk niet in de gaten dat er iets draait. Tenzij je natuurlijk heel actief aan threat hunting dit in de gaten hebt.

Daar gaan we zo nog iets meer over vertellen. Maar goed, laten we eerst even inzoomen op dat ding zelf. Dus BPF, dat staat voor Berkeley Packet Filter en dat is een feature van, nou, hier zit het meestal op Linux terug. Dat is een manier om in het systeem netwerkverkeer te kunnen, ik noem het ook even een beetje manager. Je kunt het inzien, aftakken, monitoren. Je kunt eigenlijk voordat het systeem met netwerkverkeer aan de houd gaat, kun je dus bijvoorbeeld op hoge snelheid pakken. Wat niet voor het besturingssysteem zelf bedoeld zijn, maar bijvoorbeeld voor een virtueel systeem wat er draait om die dan daar naartoe te roteren.

Dat zorgt voor een hogere snelheid, een hogere packet throughput. Dit betekent ook dat je dus voordat het hele systeem eigenlijk verder met netwerkverkeer naar gaten hebt, voor de firewall, voor beveiligingssoftware, kun je dus al dat verkeer inzien. Oké, maar waarom kan dan zo'n BPF, dus dat Berkeley Packet Filter, waarom bestaat deze feature dat je voor de firewall en voordat je beveiligingssoftware dan naar gaten gaat? Dat je dan ook al een beetje van de gaten gaat, maar ook van de gaten gaat, maar ook van de gaten gaat. Dus dat is eigenlijk wat ik net al een beetje aangaf. Uiteindelijk is het een hele legitieme feature om op zo'n hoog mogelijke throughput mogelijk pakketjes slim te kunnen schakelen binnen je systeem.

Als je met zo'n telecomorganisatie gewoon op hele hoge snelheid pakketjes er heen wilt duwen, dan moet je niet hebben dat er eerst nog 600 firewalls en beveiligingslagen en weet ik het allemaal zitten. Dat wil je gewoon op hele hoge snelheid naar de plekken krijgen waar het relevant is, bijvoorbeeld in je container of je tweede omgeving. Wat is dan wel weer lekker? In die backbone, onontdekt, wat kan je dan eigenlijk precies?

Ja, laat even duidelijk zijn, ik vind het vet vanuit de technologie op zich, de hele actie zelf. Even het disclaimer daar gelaten, maar wat wel heel tof is, wat ze hebben gedaan, ze ondersteunen ook SCTP. En SCTP, dat is een protocol dat reis binnen het telco-landschap. Je moet je voorstellen, je moet al die zenmasten met elkaar communiceren. Dat moet superbetrouwbaar gebeuren, want al die pakketjes moeten daar gewoon goed doorheen vliegen. Daar gebruik je onder andere SCTP voor. Dus zij zitten in het stuk van de telco backbone waar zenmasten met elkaar praten.

Je moet je voorstellen, jouw telefoon die gebruikt bijvoorbeeld locatiedaten om met de juiste zenmasten te verbinden. En dan weet die zenmasten dus ongeveer waar jij zit. Dus je kunt best wel bijvoorbeeld locaties bijhouden en zien met wie iemand belt. Je zit gewoon echt in het zenuwstelsel van het mobiele netwerk, waar je bijvoorbeeld vanuit de inlichtingendoel dan kijkt, dus interessante personen best wel goed kan tracken. Op allerlei manieren bewegingspatronen, maar ook zien wie ze bellen. Het lijkt in de hoofdsector ook wel een beetje op Salt Typhoon in de VS waar we het eerder over hebben gehad.

Die zaten dan wel meer op die level intercept, waar het allemaal met een soort monitoring doel lijkt. Dat lijkt het dan in ieder geval. Je moet natuurlijk een beetje schissen naar een daadwerkelijke doel, maar dit kun je wel uit afleiden. Kan ik me voorstellen als je dan één keer in zo'n backbone zit en de achterkant zijn al die tailcoys met elkaar verbonden en deze protocollen gaan gewoon door firewalls heen, want die moeten er ook doorheen. Kan je daar gewoon ook wel van provider naar provider hoppen en zal je je monitoring netwerk steeds meer uitbreiden?

Ja, hier bij dit onderzoek hebben ze daar niet expliciet over gesproken, maar bij Salt Typhoon zag je dat dat kon, dat ze ook gebruik maakte van die vertrouwensband tussen verschillende telecom-organisaties en dus over die protocollen heen meehopte. Ik beeld mij in dat dat hier ook kan, maar ik weet dus niet exact of ze het gedaan hebben. Je hebt in principe toch die routing op hoog niveau tussen tailcoys, als het gaat over de backbone. Dat is die SS7-lagen met zo'n proprietary protocol.

Dit SZTP ligt daar bovenop of daarnaast. Ik kan me voorstellen dat als zo'n Salt Typhoon daar overheen kan springen en dus naar andere tailcoys kan bewegen, dan zal dat hier misschien ook wel kunnen. Want je zit in die backbone-communicatie. Maar je hebt wel een factor nodig om het apparaat toch binnen te komen. Uiteindelijk moet je ergens op een router staan met je shootersysteem. Dat gaat triggered worden door zo'n pakketje. Ja, 100%. Het gaat dus ook niet zomaar. Het is niet alsof je opeens op de hele wereld binnen zit. Maar het ligt wel in de theorie binnenhand bereik.

Nou, dat is wel een interessante hub. Want volgens mij zei in het begin dat dit allemaal in Azië en het Midden-Oosten was. Ja. Dat was de Salt Typhoon eerder gezien. Die zaten toen in de VS. Hoe staat het er nu voor dan in Europa? Ja, dat is een hele goede vraag. Dat weten we niet, want daar zien we natuurlijk publiek tot nu toe niet zoveel nieuwsberichten over. Het beeld mij in dat er ergens in de komende tijd ook zoiets zomaar een keer over Europees tailcoys naar buiten zou komen. Je ziet wat nu de trend is met al deze operaties die in coverage zijn. Ja, maar dan beeld je ook in dat al die tailcoys, de securityafdelingen, daar deze rapporten ook gelezen hebben.

En dat dit zit vol met IOC's, Indicators of Compromise. Dat ze nu heel hard aan het zoeken zijn of dat hier ook gebeurd is. Ik hoop het. Hey jongens, ik krijg wel een beetje het gevoel dat we die telefoons... Dat zijn wel enge dingen uiteindelijk. Nee, dat is gevaarlijk. Mensen durven niet meer te bellen, maar blijf alsjeblieft wel naar onze podcast luisteren. Mochten jullie vragen hebben, opmerkingen hebben en over andere onderwerpen suggesties hebben, stuur ze alsjeblieft naar vragen. Het Cyberhelden.nl. Elke week kan je weer naar een nieuwe aflevering van Cyber Helden Luistering.

Onze gesprekken met de Cyber Helden kan je terug luisteren via Spotify of je eigen favoriete podcast app. En vergeet ook niet te subscribeen om te krijgen een notificatie als er een nieuwe aflevering klaarstaat. Heel veel dank voor het luisteren en graag weer tot de volgende keer. Tot ziens! Pas op!