Verbeterd Digitaal Wapen Rusland Bedreigt Veiligheid

Gepubliceerd op 1 februari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

En dat baart directeur Dave Maasland van ESET Nederland zorgen. 'Rusland is de laatste maanden een soort verbeterd digitaal wapenarsenaal aan het inzetten. Daarbij lijken ze een bepaald ritme te hebben gevonden, en beter te zijn geworden in het ontwikkelen van die wapens', zegt de directeur van de internetbeveiligingsorganisatie.

Wapens die data uitwissen

Rusland zet daarbij zogeheten wipers in. Dat zijn wapens die data uitwissen, waardoor systemen kapotgaan. 'Ze doen twee dingen: enerzijds zetten ze oude wipers in die ze tijdens de invasie hebben ingezet. Die passen ze dan aan in de hoop dat ze effectiever zijn. Anderzijds hebben we twee nieuwe wipers gezien, waarvan één in een soort nieuwe programmeertaal. Dat is verontrustend, want die is makkelijker aan te passen aan verschillende systemen', legt Maasland uit. Ook lijken de Russen hun fysieke aanvallen te coördineren met cyberaanvallen. Maasland: 'In oktober werd een digitale aanval ingezet op een Oekraïens energiebedrijf, exact op hetzelfde tijdstip dat men ook fysiek die energiecentrales aan het aanvallen was. Of daar echt coördinatie tussen is weten we niet, maar wel dat het militaire doel hetzelfde is.'

Aanval van binnenuit

Rusland probeert al sinds 2014 vitale infrastructuur digitaal aan te vallen. Volgens de ESET-directeur komt dat doordat die infrastructuur fysiek vrij weerbaar is. Daarom, beweert hij, proberen de Russen die vitale gebouwen nu van binnenuit aan te vallen. 'Als zo'n aanval eenmaal succesvol is, is de impact meteen voelbaar in de maatschappij. Dat is ook de reden dat we dit soort aanvallen in de gaten houden.' Maasland onderschat de Russen niet op cybergebied. 'In de afgelopen zes jaar voor de oorlog hebben we acht wiper-incidenten gezien. In deze oorlog heeft Rusland al 56 wiperaanvallen uitgevoerd. Wat de Russen laten zien is best indrukwekkend. Als deze ontwikkeling verder gaat is dat een reden tot zorg voor westerse organisaties.'

Sandworm

Eén van de groeperingen die Maasland zorgen baart is Sandworm. 'Ik durf wel te zeggen dat dat de meest beruchte is. Die wordt rechtstreeks gelinkt aan militaire inlichtingen- en veiligheidsdiensten, de special forces onder de beveiligingstroepen. Dus ja, als je die op je gericht krijgt, word je daar niet vrolijk van.' Toch kunnen we ons hier volgens Maasland tegen wapenen. Daarbij is internationale samenwerking cruciaal. 'Je moet je verdediging opbouwen in lagen. We zien in Oekraïne dat dat wel kan. Maar de Oekraïners zeggen ook: zonder hulp van onze partners zou dit nooit kunnen. Dus voor westerse vitale infrastructuur is er echt nog wel werk aan de winkel.'

Russische geassocieerde APT-groepen blijven actief bij cyberaanvallen op Oekraïne, waarbij ze destructieve wipers en ransomware gebruiken. Naast Russische groepen zijn ook groepen gelieerd aan China (Goblin Panda) en Iran actief.

Dit blijkt uit het APT Activity Report van ESET Research. Het rapport geeft een update over de aanvallen van APT-groepen op Oekraïne en geeft een overzicht van alle waarnemingen, onderzoeken en analyses van onderzoekers tussen september en eind december 2022.

Cyberaanval Oekraïne: Sandworm's NikoWiper en SwiftSlicer

Onderzoekers ontdekten in Oekraïne meerdere nieuwe wipers die in werden gezet door APT-groep Sandworm. Eén daarvan was NikoWiper. Deze wiper werd in oktober 2022 gebruikt tegen een bedrijf in de energiesector in Oekraïne. NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma van Microsoft dat wordt gebruikt voor het veilig wissen van bestanden. De onderzoekers vermoeden dat de APT-groepen zijn aangestuurd door Statelijke, of door de staat gesponsorde, actoren. De aanval met NikoWiper vond plaats in oktober, in dezelfde periode waarin Russische strijdkrachten begonnen met raketaanvallen op energie-infrastructuur. Hoewel de onderzoekers niet konden aantonen dat die gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en het Russische leger verwante doelstellingen hebben.

Vorige week ontdekten onderzoekers opnieuw een nieuwe wiper gericht op Oekraïne. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. Deze wiper wordt net als NikoWiper, toegeschreven aan Sandworm.

Sandworm-aanvallen: Ransomware als wiper

Naast malware die gegevens wist, ontdekte onderzoekers ook Sandworm-aanvallen waarbij ransomware als wiper werd gebruikt. Bij deze aanvallen is weliswaar ransomware gebruikt, maar het einddoel was hetzelfde als bij de wipers: het vernietigen van gegevens. In tegenstelling tot traditionele ransomware-aanvallen zijn de Sandworm-operators niet van plan een decryptiesleutel te verstrekken.

In Oktober 2022 ontdekten onderzoekers de inzet van Prestige ransomware tegen logistieke bedrijven in Oekraïne en Polen. Een maand later werd een nieuwe .NET geschreven ransomware ontdekt, genaamd RansomBoggs. Naast Sandworm hebben Russische APT-groepen zoals Callisto en Gamaredon hun activiteiten in de oorlog in Oekraïne voortgezet. Deze groepen gebruiken spearphishingcampagnes om inloggegevens te stelen en systemen te infiltreren.

APT-dreigingen: China, Iran en Noord-Korea

Het APT-rapport geeft niet alleen inzicht in de activiteiten in verband met de oorlog in Oekraïne, maar richt zich ook op het bredere dreigingsbeeld, waarbij groeperingen uit China, Iran en Noord-Korea in het bijzonder worden besproken. De onderzoekers ontdekten bijvoorbeeld een spearphishingcampagne van MirrorFace gericht op politieke groepen in Japan, evenals een nieuwe backdoor van Goblin Panda bij een EU-overheid. Mustang Panda richt zich nog steeds op Europese organisaties, zoals in september toen een Korplug loader door de groep werd gebruikt bij een Zwitsers bedrijf in de energie- en engineeringsector.

Iran & Noord-Koreaanse bedreigingen: Groeperingen blijven actief

Ook groepen met banden met Iran blijven hun aanvallen uitvoeren. POLONIUM richt zich nu niet alleen op Israëlische bedrijven, maar ook op buitenlandse dochterondernemingen van deze bedrijven. MuddyWater lijkt tevens een managed security service provider te hebben gehackt.

Groepen verbonden met Noord-Korea compromitteerden cryptocurrency bedrijven en exchanges wereldwijd door oude exploits te gebruiken. Het opvallende feit is dat Konni zijn taalrepertoire in lokdocumenten uitbreidde met het Engels, wat erop duidt dat het zich wellicht niet langer op zijn gebruikelijke Russische en Zuid-Koreaanse doelen richt.

Eset Apt Activity Report T 32022
PDF – 3,9 MB 146 downloads

Bron: welivesecurity.com, bnr.nl

Meer info over cyberoorlog

Meer nieuws over cyberoorlog

“Deze onaanvaardbare cyberaanval is het zoveelste voorbeeld van het aanhoudende patroon van onverantwoordelijk gedrag van Rusland in cyberspace”

De Europese Unie beschuldigt Rusland ervan “kwaadaardige cyberactiviteiten” tegen Oekraïne te hebben uitgevoerd. Eén specifieke aanval, die tegen het satellietnetwerk KA-SAT, wordt scherp veroordeeld. De lidstaten beraden zich om verdere stappen te nemen om Rusland een halt toe te roepen. Dat staat in een persverklaring van de Europese Raad, waar de regeringsleiders van alle 27 EU-landen zitting in hebben.

Lees meer »

‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden’

De oorlog in Oekraïne bewijst dat oorlogsvoering verandert. De digitale ruimte wordt steeds belangrijker: als vehikel voor beïnvloedingsstrategieën en als strijdtoneel van cyberaanvallen. Die ontwikkeling vraagt volgens brigadegeneraal en hoogleraar cyber warfare Paul Ducheine om nieuwe manieren van aanvallen en verdedigen. ‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden.’

Lees meer »

AIVD: Sabotage “het grootste digitale risico” voor de Nederlandse samenleving

Nederlandse burgers, bedrijven en overheidsdiensten liepen in 2021 voortdurend het risico om getroffen te worden door cyberaanvallen. Landen als China en Rusland spelen daarin een belangrijke rol. Deze digitale dreiging vraagt om vergaande samenwerking met nationale en internationale partners. Om de goede inlichtingenpositie te houden zijn (technische) middelen nodig. Dat schrijft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in de nieuwste editie van het jaarverslag.

Lees meer »

Hackersgroep ‘Shuckworm’ slaan opnieuw toe in Oekraïne

De Russische staatshackers voeren de ene na de ander cyberaanval uit op Oekraïense doelwitten. Daarvoor maken ze gebruik van diverse varianten van de 'Pterodo malware'. Door een intensieve en aanhoudende aanvalscampagne hopen de daders zo veel mogelijk schade toe te brengen. Dat concludeert Threat Hunter Team van cybersecuritybedrijf Symantec in een analyse.

Lees meer »