Cyberoorlog nieuws

De Russische binnenlandse veiligheidsdienst FSB heeft dinsdag buitenlandse inlichtingendiensten beschuldigd van het uitvoeren van een spionageoperatie tegen hoge Russische functionarissen. De FSB beweert dat spionnen de infrastructuur en capaciteiten van grote internationale technologiebedrijven hebben gebruikt om gevoelige overheidsinformatie heimelijk te verzamelen.

In een verklaring meldde de FSB een "grootschalige operatie" te hebben ontdekt waarbij kwaadaardige software was geïnstalleerd op de mobiele apparaten van hoge Russische functionarissen. De dienst stelt dat de malware werd gebruikt om data te extraheren, communicatie te onderscheppen en onopgemerkt audio- en video-surveillance uit te voeren. De FSB beweerde dat buitenlandse inlichtingendiensten de operatie uitvoerden "met behulp van de technische mogelijkheden van grote internationale IT-corporaties en mobiele communicatietechnologieën."

De Russische autoriteiten hebben een strafrechtelijk onderzoek geopend en stellen dat er inspanningen gaande zijn om de daders te identificeren, de gebruikte infrastructuur in kaart te brengen en de omvang van de gecompromitteerde informatie vast te stellen. Volgens het Russische staatspersbureau TASS beschreef een FSB-functionaris de campagne als een van de grootste buitenlandse inlichtingenoperaties die de dienst ooit heeft ontdekt. De functionaris claimde dat het doel was om informatie over contacten, plannen en beoordelingen van functionarissen direct te verzamelen, in plaats van via tussenpersonen.

De FSB beweerde dat de operatie toegang mogelijk maakte tot correspondentie, telefoongesprekken, geolocatie-informatie, contactlijsten en audio- en videodata verzameld van de apparaten en hun omgeving. Ook werd gesteld dat sommige functionarissen die naar verluidt het doelwit waren van de campagne, later op sanctielijsten van de Verenigde Staten en de Europese Unie verschenen, wat suggereert dat de inlichtingen mogelijk werden gebruikt om drukcampagnes tegen hen te ondersteunen. De dienst maakte echter niet de naam bekend van de spyware die naar verluidt betrokken was, verklaarde niet hoe de malware apparaten infecteerde, noch leverde technische bewijzen ter ondersteuning van haar claims.

Naast het publiceren van een verklaring, verspreidde de FSB een video aan Russische media. Volgens TASS bevatte de beelden kantoren die gelinkt zijn aan internationale technologiebedrijven waarvan de infrastructuur naar verluidt in de operatie werd gebruikt, waaronder contentleveringsbedrijven en cybersecuritybedrijven Cloudflare en Fastly. Geen van beide bedrijven werd direct beschuldigd van deelname aan de vermeende spionageoperatie. Beide bedrijven exploiteren content delivery netwerken die websites helpen content wereldwijd te verspreiden en cybersecuritydiensten te leveren. Cloudflare en Fastly hebben geen publieke reactie gegeven.

De beschuldigingen doen denken aan een eerdere claim van de FSB uit 2023, toen de dienst Amerikaanse inlichtingendiensten ervan beschuldigde spyware te gebruiken om duizenden Apple iPhones van Russische functionarissen en diplomaten te compromitteren. Die campagne, door het Russische cybersecuritybedrijf Kaspersky aangeduid als Operation Triangulation, richtte zich op slachtoffers via kwaadaardige iMessages en zou meerdere jaren actief zijn geweest. Destijds beschuldigde de FSB Apple van het faciliteren van de operatie, een beschuldiging die het bedrijf verwierp. De FSB legde geen verband tussen de recente beschuldigingen en Operation Triangulation, en Kaspersky reageerde niet op een verzoek om commentaar over de nieuw beweerde spionagecampagne.

Bron: FSB | Bron 2: tass.ru | Bron 3: recordedfuture.com

De veiligheidsdiensten van de ‘Five Eyes’-alliantie, een samenwerkingsverband tussen de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, hebben een gezamenlijke waarschuwing uitgegeven. Deze waarschuwing richt zich op de activiteiten van Chinese inlichtingendiensten die proberen Britse ambtenaren en militairen te rekruteren. De methode die hiervoor wordt gebruikt, omvat het aanbieden van nepvacatures op professionele netwerksites zoals LinkedIn.

Volgens de Britse veiligheidsdienst, die deel uitmaakt van de Five Eyes-alliantie, zetten Chinese inlichtingendiensten valse profielen en fictieve bedrijven in om contact te leggen met potentiële doelwitten. Via deze weg worden individuen benaderd met aantrekkelijke, maar frauduleuze, vacatures. Het uiteindelijke doel is om deze personen te rekruteren voor spionagedoeleinden en zo toegang te krijgen tot gevoelige informatie.

Deze officiële waarschuwing volgt op een eerdere melding van België in maart, waarin het land reeds aan de alarmbel trok over mogelijke Chinese spionageactiviteiten op Belgisch grondgebied. De herhaalde waarschuwingen van verschillende westerse inlichtingendiensten onderstrepen de aanhoudende dreiging van statelijke actoren die professionele platforms misbruiken voor inlichtingenvergaring. Het incident benadrukt het belang van verhoogde waakzaamheid bij het screenen van online contacten en vacatures, met name voor personen werkzaam in gevoelige overheids- en defensiesectoren.

Bron: Britse veiligheidsdienst

Het Russische Hooggerechtshof overweegt twee hackergroepen, Belarusian Cyber Partisans en Silent Crow, aan te merken als extremistische organisaties, wat hun activiteiten in Rusland effectief zou verbieden. Deze stap volgt op diverse cyberaanvallen die de groepen hebben opgeëist, gericht op kritieke infrastructuur en overheidsinstellingen in zowel Rusland als Belarus. De rechtbank heeft een besloten hoorzitting gepland om het verzoek te behandelen, zonder verdere toelichting op de motivering voor de extremistische aanduiding.

In reactie op de aankondiging liet Belarusian Cyber Partisans via een Telegram-bericht weten: "Hier is de erkenning van Ruslands Z-dictatuur van de effectiviteit van ons werk en dat van Silent Crow. We gaan ermee door." Silent Crow heeft geen publieke verklaring afgelegd.

De juridische procedure komt minder dan een jaar nadat beide groepen de verantwoordelijkheid opeisten voor een omvangrijke cyberaanval op de Russische nationale luchtvaartmaatschappij Aeroflot in juli 2025. Dit incident leidde tot de annulering van meer dan 100 vluchten, waardoor ongeveer 20.000 passagiers hinder ondervonden. De hackers beweerden destijds de IT infrastructuur van de luchtvaartmaatschappij te hebben vernietigd en een aanzienlijke hoeveelheid gevoelige data te hebben geëxfiltreerd. Deze data omvatte onder meer vluchtgegevens, interne gespreksopnames en informatie uit systemen voor werknemersmonitoring. Later publiceerden de groepen wat zij presenteerden als vluchtgegevens van de chief executive van Aeroflot.

In Rusland resulteert de aanwijzing als extremistische organisatie in een feitelijk verbod. Activiteiten worden verboden, websites en publicaties kunnen worden geblokkeerd, en personen die met de groepen in verband worden gebracht, riskeren administratieve of strafrechtelijke sancties. Het is echter onduidelijk welke concrete impact deze aanwijzing zal hebben op de twee hackergroepen, die voornamelijk online opereren. Beide groepen onderhouden openbare Telegram-kanalen, terwijl Belarusian Cyber Partisans tevens een website en een YouTube-kanaal beheert.

De Belarusian Cyber Partisans ontstonden na de massale protesten in Belarus in 2020 tegen president Alexander Lukashenko, volgend op verkiezingen die door westerse landen als gemanipuleerd werden beschouwd. Sindsdien heeft de groep diverse spraakmakende cyberoperaties uitgevoerd, waaronder aanvallen op Belarussische staatsinstellingen en het spoorwegnetwerk van het land. De groep stelde dat deze aanvallen gericht waren op het verstoren van de Russische militaire logistiek. In een interview in 2024 met Recorded Future News gaven leden van de groep aan dat zij informatie, verkregen uit gehackte Russische entiteiten, deelden met Oekraïense inlichtingendiensten en westerse organisaties.

Silent Crow, een pro-Oekraïense hackergroep, heeft de verantwoordelijkheid opgeëist voor meerdere cyberaanvallen op Russische doelwitten. Eerder vorig jaar claimde de groep te zijn ingebroken bij Rosreestr, het Russische staatseigendomsregister. Sinds de aanval op Aeroflot heeft Silent Crow geen updates meer geplaatst op zijn Telegram-kanaal.

Bron: Russisch Hooggerechtshof | Bron 2: recordedfuture.com

Westerse inlichtingendiensten waarschuwen voor een toenemende trend waarbij door China gelinkte staatsactoren vacaturesites misbruiken om overheidsmedewerkers en militairen te verleiden tot het delen van gevoelige informatie. Deze waarschuwing is afkomstig van de Five Eyes (FVEY), een internationaal inlichtenpartnerschap bestaande uit agentschappen uit het Verenigd Koninkrijk, de Verenigde Staten, Canada, Australië en Nieuw-Zeeland. Vijf agentschappen, waaronder de Britse MI5 en de Amerikaanse FBI, hebben een gezamenlijk rapport uitgebracht over de werkwijze van deze spionageoperaties.

De werkwijze van de spionnen omvat een gedetailleerde inspectie van cv's van sollicitanten, om te beoordelen welke geheimen zij mogelijk kunnen prijsgeven. Geselecteerde kandidaten worden vervolgens online geïnterviewd via videogesprekken, waarbij de spionnen hun ware identiteit en intenties verborgen houden. Na het interviewproces wordt de sollicitanten gevraagd een proefrapport te schrijven over onderwerpen als handel, defensie of politiek.

De communicatie wordt daarna verplaatst naar geheime, versleutelde berichtenapps, waar de kandidaten onder druk worden gezet om niet-openbare details te verstrekken. Zelfs als een sollicitant geen topgeheimen bezit, kan het combineren van kleine stukjes normale informatie de Chinese overheid van dienst zijn. De spionnen vergoeden deze rapporten via platforms als PayPal, Wise en cryptocurrency, met bedragen variërend van enkele honderden tot duizenden dollars.

De dreigingsactoren richten zich naar verluidt op personen met een speciale veiligheidsmachtiging. Hun voorkeursdoelwitten zijn militairen, in het bijzonder degenen die werkzaam zijn in de Indo-Pacifische regio. Echter, ook academici, journalisten en freelance schrijvers met connecties in de overheids- of handelssectoren kunnen het doelwit zijn.

Dit soort activiteiten is al geruime tijd gaande. Er zijn eerder meldingen geweest van dergelijke zwendelpraktijken, waaronder de spionagezaak met grote impact op de economie rond de Chinese universiteitsprofessor Hao Zhang. Hij werd in 2020 veroordeeld voor samenzwering met de Universiteit van Tianjin om gevoelige draadloze filtertechnologie te stelen van de Amerikaanse bedrijven Avago en Skyworks. Eerder heeft de directeur-generaal van MI5 in het Verenigd Koninkrijk, Ken McCallum, verklaard dat Chinese agenten LinkedIn gebruikten om Britse politici te benaderen, en merkte hij op dat zij hebben geprobeerd ten minste 20.000 Britten te lokken met deze nep-vacatures.

In reactie op de waarschuwing heeft de Britse minister van Veiligheid, Dan Jarvis, aangegeven dat het land deze vijandige acties van andere landen zal blijven bestrijden. Hij wees er ook op dat Noord-Korea een belangrijke dreiging vormt, aangezien het land nep-IT-werknemers op afstand heeft ingezet om toegang te krijgen tot prominente bedrijven voor financiële en staatsdoelen. Jarvis voegde eraan toe dat het Verenigd Koninkrijk politiek in gesprek zal blijven met China, maar dat de regering dergelijk gedrag niet zal tolereren. Het rapport waarschuwt tevens dat iedereen die geheime details deelt, op grond van spionagewetten gevangenisstraf riskeert.

Dit is niet de eerste keer dat de Five Eyes-alliantie een waarschuwing heeft afgegeven over hackers gevestigd in China die kritieke infrastructuur in het Westen aanvallen. In juli 2024 onthulde de alliantie dat China's APT40, ook bekend als GADOLINIUM, BRONZE of TEMP.Periscope, overheidsnetwerken had gehackt door misbruik te maken van bekende kritieke kwetsbaarheden.

Bron: Five Eyes