Weblogbericht | 10-02-2025 | NCSC

Wat is deze ontwikkeling precies die cybersecurity-experts zorgen baart? Waar hebben we nu eigenlijk mee te maken? ORB-netwerken, oftewel obfuscatie-netwerken of covert-netwerken genoemd, zijn niet nieuw. Het verschijnsel bestaat al jaren en veel beveiligingsbedrijven hebben hier al artikelen over geschreven, zoals Google Mandiant (1) en Team Cymru (2). Ook het NCSC is uiteraard in dit fenomeen geïnteresseerd.

Ondanks dat het geen nieuwe ontwikkeling is, is het de moeite waard om je er verder in te verdiepen. Mijn CTI-collega’s en ik zijn ervan overtuigd dat dit geen voorbijgaande trend is, en dat digitale aanvallen met behulp van ORB-netwerken in de toekomst alleen maar zullen toenemen. Het zal dan ook aandacht vergen om organisaties tegen deze dreiging te beschermen, maar daarover later meer.

Wat is een ORB-netwerk?

Een ORB-netwerk (ORB staat voor ‘Operational Relay Box) is een aangestuurd netwerk van verschillende apparaten, zoals VPS-servers, gecompromitteerde routers en IoT-apparaten. Waarschijnlijk klinkt dit voor velen bekend, omdat het iets wegheeft van een botnet. Daarbij worden ook geïnfecteerde apparaten aangestuurd om digitale aanvallen uit te voeren. Hoewel er zeker overeenkomsten zijn tussen ORB-netwerken en botnets, zijn er echter belangrijke verschillen tussen de twee.

Apparaten die deel uitmaken van botnets worden vaak door een centrale partij (de ‘botnet-herder’) aangestuurd. Daarentegen bestaat een ORB-netwerk uit een decentraal aangestuurde infrastructuur van commercieel gehuurde VPS-servers of een netwerk van gecompromitteerde apparaten, die allen onderling met elkaar communiceren. Soms bestaat een netwerk uit zowel gehuurde infrastructuur als ook gecompromitteerde apparaten.

Dat maakt een ORB-netwerk tot een grootschalige en zeer flexibele infrastructuur van verbonden apparaten, waarvan uit digitale aanvallen uitgevoerd kunnen worden die lastig zijn om te detecteren en om te blokkeren. Soms kan een ORB-netwerk uit wel tienduizenden apparaten bestaan, die door de beheerders gemakkelijk uitgebreid kunnen worden door end-of-life en andere kwetsbare apparaten te compromitteren en uit te buiten. (3)

"ORB-netwerken zijn de moderne versie van botnets. Het principe bestaat al veel langer; het is geen revolutie, maar meer evolutie."

In tegenstelling tot botnets wordt de infrastructuur van de ORB-netwerken niet beheerd door de aanvaller zelf. Ze worden doorgaans door onafhankelijke partijen te huur aangeboden voor zowel commerciële als ook malafide doeleinden, en zijn zo aantrekkelijk voor aanvallers om zowel flexibel in te zetten, aan te passen en om hun sporen te verhullen. Een van mijn collega’s bij het NCSC bracht het als volgt: “ORB-netwerken zijn de moderne versie van botnets. Het principe bestaat al veel langer; het is geen revolutie, maar meer evolutie”

Digitale spionage en detectie

Volgens Google Mandiant zijn ORB-netwerken de afgelopen jaren sterk in populariteit toegenomen. Onderzoekers van het beveiligingsbedrijf brengen recent waargenomen ORB-netwerken in verband met geavanceerde digitale spionagecampagnes, met name vanuit China. Omdat deze netwerken door onafhankelijke partijen worden aangeboden, kan het zo zijn dat meerdere actoren tegelijkertijd (delen van) het netwerk huren of leasen, en zo vanaf hetzelfde ORB-netwerk (of zelfs vanaf hetzelfde IP-adres) hun eigen digitale aanval uitvoeren.(4) Dat maakt attributie nog lastiger dat het al was.

Een andere eigenschap van ORB-netwerken is de geografische spreiding. De, soms zeer omvangrijke, clusters van VPS-servers en gecompromitteerde apparaten zijn niet verbonden met een specifieke regio of aan bepaalde internet service providers. Hierdoor kunnen actoren zowel hun aanval inzetten vanuit een exit-node (het punt waarop het verkeer het ORB-netwerk verlaat) die zich in de nabijheid van het slachtoffer bevindt, als ook snel van exit-node wisselen. Dat maakt het natuurlijk extra ingewikkeld voor cybersecurity-specialisten om dit soort netwerkverkeer als malafide te herkennen, omdat het vaak legitiem verkeer lijkt. Het komt uit dezelfde regio en vanuit gewone VPS-servers. Als je dit soort verkeer zou willen blokkeren, dan blokkeer je automatisch ook ‘normaal’ netwerkverkeer.

“They’re [ORB-networks] like a maze that is continually reconfiguring with the entrance and the exit disappearing from the maze every 60 to 90 days.”

Aanvallen vanuit ORB-netwerken zijn om bovenstaande reden lastig te detecteren. Wat bij botnets vaak werkt, namelijk netwerkdetectie op basis van IoC’s (Indicators of Compromise), werkt veel minder goed bij ORB-netwerken omdat deze met een hoog tempo van IP-adressen wisselen. Dat maakt eerder verzamelde IoC’s minder effectief bij het detecteren van dit soort malafide verkeer. Michael Raggi (ten tijde van de publicatie werkzaam als principal analyst bij Mandiant by Google Cloud) (5) beschreef het in een artikel als volgt: “They’re [ORB-networks] like a maze that is continually reconfiguring with the entrance and the exit disappearing from the maze every 60 to 90 days.” (6)

Dus wat nu?

En wat betekent dit voor de digitale veiligheid in Nederland? Hoewel botnets nog steeds volop in gebruik zijn (7), zullen we in de toekomst steeds meer te maken gaan krijgen met aanvallen die vanuit ORB-netwerken uitgevoerd worden. Juist door het gebruikersgemak, de anonimiteit en de veelzijdigheid van ORB-netwerken die het de aanvaller kan bieden. Het is daarom een realistische aanname dat ook andere actoren in de toekomst meer van deze mogelijkheid gebruik zullen maken, en deze ‘infrastructure-as-a-service’ (8) niet alleen voor cyberspionage in zullen zetten, maar ook bijvoorbeeld cybercrime.

Deze ontwikkeling vormt een extra complicerende factor voor cybersecurity-specialisten die zich bezig houden met detectie en preventie. Het beschermen van systemen en netwerken zal in het licht van deze trend nog moeilijker worden.

Betekent dit dat al onze IoC’s vanaf nu al hun waarde verloren hebben? Niet noodzakelijk. Volgens Team Cymru is het voor organisaties nog steeds van belang om proactief te scannen op IoC’s die aan ORB-netwerken gerelateerd worden, en hierbij onder andere alert te zijn op ongebruikelijke connecties, onregelmatigheden en patronen in het netwerkverkeer.(9) CTI-teams zullen zich in de toekomst dan ook meer richten op het in kaart brengen van ORB-netwerken, en zullen met elkaar moeten samenwerken om deze enorme uitdaging het hoofd te bieden.

Hoe kunnen organisaties met deze dreiging omgaan?

Voor het tegengaan van deze (en andere) geavanceerde dreigingen pleit het NCSC bij organisaties voor het implementeren van het ‘assume breach’-principe. Dit principe hanteert dat een succesvolle digitale aanval al heeft plaatsgevonden of binnenkort gaat plaatsvinden. Op basis hiervan worden maatregelen genomen om de schade en impact te beperken. Denk hierbij aan het nemen van mitigerende maatregelen op het gebied van segmentering, detectie, incident response plannen en forensic readiness. (10)

Daarnaast is het specifiek in relatie tot ORB-netwerken van belang om actiever te monitoren op endpoints zoals edge devices (apparaten die zich aan de rand van het IT-netwerk bevinden). Het is noodzakelijk om hierbij alert te zijn op afwijkend netwerkverkeer. Het NCSC en de Nederlandse inlichtingendiensten zien al langer een trend dat kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers, routers en e-mailservers worden misbruikt. (11) Vanwege de uitdagingen op het gebied van beveiliging van edge devices zijn deze apparaten een geliefd doelwit voor kwaadwillenden. Zie onze factsheet ‘Omgaan met edge devices’, (12) voor aanbevelingen voor het beveiligen van deze edge devices.

Conclusie

Hoewel ORB-netwerken niet nieuw zijn, compliceert de opkomst en professionalisering van deze netwerken  de verdediging van organisaties tegen digitale aanvallen. Door de eigenschappen van ORB-netwerken wordt het voor de aanvaller veel makkelijker om anoniem en flexibel digitale aanvallen uit te voeren. Onderzoekers van dit soort netwerken rapporteren nu voornamelijk over geavanceerde digitale spionagecampagnes vanuit China. Naar mijn mening is het echter aannemelijk dat ook andere digitale aanvallers in de toekomst steeds meer gebruik zullen maken van dit middel.

Voor de cybersecurity-specialisten binnen het NCSC en andere (beveiligings)organisaties is het daarom des te noodzakelijker dat we met het oog op deze ontwikkeling elkaar op blijven zoeken voor samenwerking. Alleen gezamenlijk zal het ons lukken om meer inzicht te krijgen in deze zeer omvangrijke ORB-netwerken. Dit inzicht helpt ons digitale dreigingen beter te kunnen duiden, met als doel om de digitale veiligheid te verhogen. Voor dit doel blijven mijn team en ik ons iedere dag optimaal inzetten.