Cyberwar nieuws 2023 oktober en november

Gepubliceerd op 5 december 2023 om 12:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen twee maanden, oktober en november, heeft het landschap van cyberoorlogsvoering en -conflicten een opmerkelijke activiteit getoond. Hieronder volgt een gedetailleerd overzicht van de belangrijkste gebeurtenissen op dit gebied. Het begon met Russische aanvallers, die met geavanceerde tactieken ambassades aanvielen en zich via diverse cybercriminele groepen zoals NoName057(16) richtten op websites in verschillende landen, waaronder België, Zweden en Nederland, vaak als vergelding voor de steun aan Oekraïne. Deze acties omvatten ook stroomuitval veroorzaakt door geavanceerde cyberaanvallen en compromittering van infrastructuur.

Daartegenover staat Oekraïne, dat als aanvaller optrad door de Russische luchtvaartautoriteit te hacken en gegevens te lekken. Dit wijst op een toenemende bereidheid van Oekraïne om offensieve cyberoperaties uit te voeren als onderdeel van hun verdedigingsstrategie.

Tegelijkertijd werd de rol van Hamas als aanvaller benadrukt, met de adoptie van Tron-cryptocurrency voor financieringsdoeleinden en verschillende cyberdreigingen die gelinkt zijn aan hun hackers. Dit toont de groeiende trend van het gebruik van digitale middelen voor financiering en aanvallen door dergelijke groeperingen.

Israël, bekend om zijn geavanceerde cybercapaciteiten, ondervond internetstoringen in Gaza, wat wijst op de inzet van cybermiddelen als wapen in het conflict. Iran toonde ook zijn cyberkracht door aanvallen op de waterautoriteit in Pennsylvania en malware-aanvallen op de Israëlische technologiesector.

Chinese aanvallers waren actief in het beheren van nepnieuwsnetwerken, wat wijst op een andere dimensie van cyberoorlogsvoering: informatiemanipulatie en -verspreiding.

Anonymous Sudan, een andere prominente speler, was betrokken bij aanvallen op Cloudflare en ChatGPT, evenals het platleggen van Spotify via DDoS-aanvallen.

Interessant is dat Rusland, vaak gezien als een agressor, ook slachtoffer werd van krachtige DDoS-aanvallen en datalekken. Israël ondervond eveneens verschillende aanvallen, waaronder die op zijn raketwaarschuwingsapp Red Alert, wat de kwetsbaarheid van nationale infrastructuur voor cyberaanvallen benadrukt.

Het conflict tussen Hamas en Israël werd ook weerspiegeld in cyberspace, met aanvallen op Bahreinse overheidswebsites en de verspreiding van misinformatie in sociale media.

Tot slot werden er ontwikkelingen waargenomen in de verdedigingstechnieken, zoals AI-algoritmen die onbemande militaire voertuigen beschermen tegen 'man-in-the-middle'-aanvallen, en de dominantie van Rusland in het indienen van verwijderingsverzoeken bij Google.

Deze gebeurtenissen tonen een complex en dynamisch cyberoorlogslandschap, waarbij zowel statelijke als niet-statelijke actoren betrokken zijn en een scala aan tactieken en strategieën wordt ingezet.



Tron: De Nieuwe Cryptokeuze van Terreurgroepen zoals Hamas

In het artikel van Cybernews wordt de verschuiving in de voorkeur voor cryptovaluta door terreurgroepen zoals Hamas en Hezbollah onder de loep genomen. Bitcoin, ooit de favoriet onder deze groepen, wordt nu overtroffen door Tron, een snelgroeiend crypto-netwerk. Tron biedt snellere transactietijden en lagere kosten, waardoor het aantrekkelijker is voor deze organisaties, die door landen als Israël en de Verenigde Staten als terreurgroepen worden aangemerkt. Volgens een analyse van Reuters is er sinds 2021 een opvallende toename in de inbeslagname van Tron wallets door Israëlische veiligheidsdiensten, terwijl het aantal in beslag genomen Bitcoin wallets afneemt. De National Bureau for Counter Terror Financing (NBCTF) in Israël heeft tussen juli 2021 en oktober 2023 maar liefst 143 Tron wallets bevroren, waarvan wordt vermoed dat ze gelinkt zijn aan terroristische organisaties. Bijna twee derde van de inbeslagnames van Tron door Israël vond plaats in het afgelopen jaar. Deze omvatten wallets die toebehoorden aan Hezbollah in Libanon en de Palestijnse Islamitische Jihad, een bondgenoot van Hamas. Bovendien werden 56 Tron wallets die gelinkt waren aan Hamas in beslag genomen. Deze ontwikkeling weerspiegelt een bredere trend waarbij terreurgroepen hun financieringsopties diversifiëren en zich aanpassen aan de verhoogde inspanningen om dergelijke transacties te traceren. Het artikel benadrukt ook de uitdagingen die dit met zich meebrengt voor wetshandhavingsinstanties, gezien de complexiteit van het traceren van crypto-transacties en het identificeren van de betrokkenen. De populariteit van de stablecoin Tether binnen het Tron-netwerk wordt eveneens belicht. Dit illustreert de voorkeur van militante groepen voor stabielere cryptovaluta's op het Tron-platform, in tegenstelling tot de meer volatiele Bitcoin. De verschuiving naar Tron en Tether benadrukt de voortdurende strijd van overheden om de financiering van terreur via geavanceerde technologieën tegen te gaan. [1]


Cyberaanval op Waterautoriteit in Pennsylvania vermoedelijk gelinkt aan Pro-Iraanse Groep

Een waterautoriteit in Pennsylvania is getroffen door een cyberaanval, waarbij officiële instanties het publiek geruststellen dat het drinkwater niet is beïnvloed door dit incident. De Municipal Water Authority of Aliquippa, die duizenden klanten bedient ten noordwesten van Pittsburgh, heeft niet gereageerd op verzoeken om commentaar. Lokale nieuwsbron KDKA-TV meldde echter dat computerschermen in een faciliteit berichten toonden van de hackergroep Cyber Av3ngers. De getroffen post, verantwoordelijk voor het handhaven van de waterdruk en het reguleren van de waterstroom, stuurde een noodmelding naar het hoofdkwartier na de aanval. Werknemers schakelden de apparatuur offline en gebruikten back-uptools om de waterdruk te handhaven. Matthew Mottes, voorzitter van de raad van bestuur van de Aliquippa waterautoriteit, verklaarde dat er alarmen afgingen bij een station aan de rand van de stad. De lokale politie werd ingeschakeld om de situatie te onderzoeken. Mottes benadrukte dat de aanvallers geen toegang hadden tot de daadwerkelijke waterzuiveringsinstallatie of andere delen van het systeem, behalve een pomp die de druk regelt in verhoogde gebieden van het systeem. Deze pomp, op een eigen computernetwerk en fysiek mijlenver verwijderd van het hoofdnetwerk, maakt gebruik van software of componenten van het Israëlische technologiebedrijf Unitronics. De Cyber Av3ngers-groep heeft op social media verschillende verwijzingen naar Iraanse leiders gemaakt en beloofde aanvallen op entiteiten met producten of banden met Israël. De groep beweerde al tien waterzuiveringsinstallaties in Israël te hebben aangevallen. Congreslid Chris Deluzio (D-PA) volgt de aanval nauwlettend en benadrukt dat er geen onderbreking is geweest in de watervoorziening. Hij riep op tot een volledig onderzoek en verantwoordelijkheid voor de aanvallers, en benadrukte het belang van het versterken van de Amerikaanse verdediging tegen dergelijke aanvallen. Deze aanval volgt een maand na pogingen van Republikeinse wetgevers en waterindustriebedrijven om de U.S. Environmental Protection Agency (EPA) ervan te weerhouden cyberveiligheid toe te voegen aan de jaarlijkse door de staat geleide Sanitary Survey Programs, die waterstelsels in de VS evalueren. Ondanks hun inspanningen om de EPA-regels te ondermijnen, erkennen deze groepen dat cyberaanvallen op waterbedrijven alarmerend toenemen. Amerikaanse wetshandhavingsinstanties meldden dat ransomwarebendes tussen 2019 en 2021 vijf Amerikaanse water- en afvalwaterzuiveringsfaciliteiten hebben getroffen. [1]


Oekraïne Hackt Russische Luchtvaartautoriteit en Leakt Data

De Oekraïense inlichtingendienst, onder het Ministerie van Defensie, beweert succesvol de Russische Federale Luchtvaartautoriteit, Rosaviatsia, gehackt te hebben. Deze actie is gericht op het blootleggen van een vermeende instorting van de Russische luchtvaartsector. Rosaviatsia is verantwoordelijk voor het toezicht op de burgerluchtvaart in Rusland, inclusief het bijhouden van vlucht- en noodgevallen. Volgens Oekraïne heeft de inbraak in het systeem van de Russische autoriteit geleid tot de ontdekking dat de Russische luchtvaartsector lijdt onder sancties en het onvermogen om vliegtuigen adequaat te repareren. Westerse sancties op reserveonderdelen en software-updates hebben het onderhoud van Russische luchtvaartmaatschappijen ernstig belemmerd. Sinds vorig jaar zouden exploitanten genoodzaakt zijn oudere vliegtuigen te ontmantelen om hun vloot operationeel te houden. Deze cyberaanval is een ongekend geval waarbij een land openlijk toegeeft tot staatsniveau hacking. De Oekraïense regering beschrijft dit als een "complexe speciale operatie in cyberspace". De buitgemaakte data omvat een lijst van dagelijkse rapporten van Rosaviatsiya voor meer dan anderhalf jaar, waarvan de analyse zou aantonen dat "de burgerluchtvaartsector van terroristisch Rusland op de rand van instorting staat". Oekraïne heeft de gestolen data op een bestandsdelingsite gelekt, die inmiddels niet meer beschikbaar is. Uit de analyse van de vermeend gestolen documenten blijkt dat de Russische burgerluchtvaart in januari 2023 melding maakte van 185 ongevallen, waarvan een derde significante incidenten betrof, met de Sukhoi Superjet die 34 noodgevallen ervoer. Malfunctioneringen van Russische vliegtuigen zijn verdrievoudigd, van 50 in de eerste negen maanden van 2022 tot 150 in dezelfde periode in 2023. Kritieke problemen in de Russische luchtvaartsector omvatten motoren, landingsgestellen, hydraulica, flappen en software. Rusland, geconfronteerd met onderhoudsuitdagingen, besteedt werk uit aan Iran, waar het werk vaak niet gecertificeerd is. Van de 820 buitenlandse burgerluchtvaartuigen in Rusland heeft 70% in het midden van 2023 onderhoud ondergaan met niet-authentieke onderdelen, een stijging van 10% in maart 2022. Rusland grijpt naar "luchtvaartkannibalisme", door sommige vliegtuigen te ontmantelen voor onderdelen, wat meer dan 35% van zijn vloot halverwege 2023 beïnvloedde. De meeste Sovjet An-2 vliegtuigen werden aan de grond gehouden vanwege het stopzetten van Poolse motorleveringen. In januari 2023 ondervonden Ruslands 220 Airbus-vliegtuigen 19 storingen, waaronder 17 rookincidenten in de vloot van Aeroflot. Ruslands 230 Boeing-vliegtuigen hadden 33 technische storingen in verschillende systemen. Elk zevende Embraer-vliegtuig in Ruslands 21-koppige vloot faalde onder lokale bedrijfsomstandigheden. [1, 2]


Gevaarlijke Cyberdreiging Gelinkt aan Hamas Hackers

Een nieuwe versie van de SysJoker malware is ontdekt, volledig herschreven in de Rust-programmeertaal. SysJoker, een veelzijdige malware voor Windows, Linux en macOS, werd eerst geïdentificeerd door Intezer in begin 2022. Deze malware kenmerkt zich door in-memory payload laden, diverse persistentiemechanismen, 'living off the land' commando's en bleef ongedetecteerd op alle OS-varianten in VirusTotal. Check Point's onderzoek naar de nieuwe Rust-gebaseerde varianten heeft een verband gelegd tussen de voorheen niet toegeschreven backdoor en 'Operatie Electric Powder', daterend uit 2016-2017. Deze operatie omvatte een reeks cyberaanvallen gericht op Israël, vermoedelijk georkestreerd door een met Hamas verbonden dreigingsactor genaamd 'Gaza Cybergang.' De Rust-gebaseerde SysJoker werd voor het eerst gedetecteerd op VirusTotal op 12 oktober 2023, gelijktijdig met de escalatie van het conflict tussen Israël en Hamas. De malware gebruikt willekeurige slaapintervallen en complexe aangepaste encryptie om detectie en analyse te omzeilen. Bij de eerste lancering wijzigt het het register voor persistentie via PowerShell en stopt vervolgens. Bij latere uitvoeringen maakt het verbinding met de C2-server, waarvan het het adres ophaalt van een OneDrive URL. SysJoker's primaire functie is het ophalen en laden van aanvullende payloads op het gecompromitteerde systeem, gestuurd via JSON-gecodeerde commando's. Hoewel de malware nog steeds systeeminformatie verzamelt en doorstuurt naar de C2, mist het de commando-uitvoeringsmogelijkheden van eerdere versies. Dit kan in een toekomstige release terugkeren of is mogelijk verwijderd om de backdoor lichter en onopvallender te maken. Check Point ontdekte nog twee SysJoker-samples genaamd 'DMADevice' en 'AppMessagingRegistrar', elk met specifieke kenmerken, maar ze volgen allemaal vergelijkbare operationele patronen. De specifieke elementen die Check Point in staat stelden om SysJoker mogelijk te koppelen aan de Gaza Cybergang, is het gebruik van de 'StdRegProv' WMI-klasse in de PowerShell-commando's voor persistentie. Deze methode werd eerder gezien in aanvallen op de Israël Electric Company, onderdeel van de 'Operatie Electric Powder' campagne. Andere overeenkomsten omvatten het gebruik van bepaalde scriptcommando's, dataverzamelmethodes en het gebruik van API-thematische URL's. Echter, gezien het bestaande bewijs, is de toewijzing niet met zekerheid vast te stellen.


Dominantie van Rusland in Verwijderingsverzoeken aan Google

Over de afgelopen tien jaar heeft Rusland tweederde van de 355.000 verzoeken tot verwijdering van inhoud bij Google ingediend. Dit komt neer op ongeveer 215.000 verzoeken, wat gemiddeld uitkomt op 59 per dag. Dit is gebleken uit onderzoek van Surfshark. Zes landen, waaronder Rusland, Zuid-Korea, India, Turkije, Brazilië en de Verenigde Staten, zijn samen verantwoordelijk voor meer dan 85% van alle verzoeken. Zuid-Korea staat op de tweede plaats met 27.000 verzoeken. Opvallend is dat Google geblokkeerd is in landen met strenge censuur, zoals China, Iran en Noord-Korea, wat het lage aantal verzoeken uit deze landen verklaart. YouTube, onderdeel van Google, is het meest getarget voor het verwijderen van inhoud met 175.000 verzoeken. Google Zoeken en Blogger volgen met respectievelijk 104.000 en 17.000 verzoeken. De meeste verzoeken zijn afkomstig van landen die minder dan 100 verzoeken in tien jaar hebben ingediend. Verzoeken worden vaak ingediend op grond van schending van lokale wetgeving of op basis van gerechtelijke bevelen. Veelvoorkomende redenen zijn ook politieke content, laster, privacy of auteursrecht. Nationale veiligheid is de meest aangehaalde reden, goed voor 27% van alle verzoeken. Russische verzoeken op basis van nationale veiligheid vormen de meerderheid in deze categorie. Rusland is sinds 2014, het jaar van de annexatie van het Krim-schiereiland door Oekraïne, dominant in deze lijst. Voor 2014 stond Rusland niet eens in de top drie. In 2022 heeft Rusland onder andere verzocht om een site te verwijderen die burgerlijke slachtoffers in Oekraïne documenteerde en YouTube-video's en -commentaren over de gedeeltelijke militaire mobilisatie in Rusland. Ook heeft de Russische overheid geprobeerd de perceptie over haar partnerland China te beheersen, met verzoeken tot verwijdering van URL's naar Wikipedia-artikelen over Xi Jinping.[1]


Cyberaanval op Bahreinse Overheidswebsites als Vergelding tegen Israël-Hamas Standpunt

Websites van twee Bahreinse overheidsministeries werden onlangs tijdelijk ontoegankelijk na een cyberaanval. Deze actie, die toegeschreven wordt aan een groep genaamd Al-Toufan ("De Vloed" in het Arabisch), richtte zich op de websites van het Ministerie van Buitenlandse Zaken en het Ministerie van Informatiezaken. Volgens een verklaring van de groep was de aanval een vergelding voor "abnormale uitspraken" van de Al Khalifa heersende familie van Bahrein, zonder verdere toelichting. Deze aanval wordt gezien als een reactie op de houding van Bahrein ten aanzien van de voortdurende oorlog tussen Israël en Hamas. De regering van Bahrein erkende later dat haar agentschappen doelwit waren van een kwaadaardige cyberaanval. In een verklaring benadrukte de regering dat haar cybersecuritystrategie en -raamwerk zijn ingezet om dergelijke dreigingen aan te pakken. De regeringsoperaties werden niet beïnvloed door de aanvallen, en er werd gewerkt aan het herstellen van de toegang tot de getroffen websites. Dezelfde groep eiste in februari de verantwoordelijkheid op voor het offline halen van de websites van de internationale luchthaven van Bahrein, het staatsnieuwsagentschap en de Kamer van Koophandel, ter gelegenheid van de 12-jarige herdenking van een Arabische Lente-opstand in het kleine Golfstaatje. Dezelfde groep had ook eerder overheidswebsites aangevallen tijdens de verkiezingen vorig jaar, die werden geboycot door een verboden sjiitische oppositiegroep en anderen. In 2020 bereikte Bahrein, samen met de Verenigde Arabische Emiraten, een diplomatieke erkenningsovereenkomst met Israël. Bahrein, de thuisbasis van de Amerikaanse marine's 5e Vloot, heeft herhaaldelijk kritiek gekregen van Iran, haar regionale aartsvijand, vanwege deze overeenkomst. [1]


Cyberoorlog: Russische Hackers Vallen Ambassades Aan met Geavanceerde Tactieken

In een recente golf van cyberaanvallen richten Russische hackers, bekend als APT29, hun pijlen op ambassades, waarbij ze gebruikmaken van een kwetsbaarheid in WinRAR (CVE-2023-38831) en de Ngrok-dienst. APT29, ook geïdentificeerd onder diverse namen zoals Cozy Bear en Dark Halo, creëert misleidende .RAR- en .ZIP-bestanden die op de achtergrond kwaadaardige code uitvoeren. Hun methode omvat een lokmiddel van een BMW-autoverkoop in een PDF-bestand, gericht op meerdere Europese landen. Door een nieuw kenmerk van Ngrok, een gratis statisch domein, kunnen ze onopgemerkt communiceren met hun commando- en controlecentra. Deze aanpak markeert een evolutie in cyberoorlogsvoering, waarbij oude phishingtactieken worden gecombineerd met nieuwe technieken om onopgemerkt te blijven en hun aanvallen te versterken. Dit benadrukt het voortdurende risico van staatsgesponsorde cyberaanvallen en de noodzaak voor verhoogde waakzaamheid en beveiliging in diplomatieke kringen.  [12pdf]


Internetstoringen in Gaza: Een Dodelijk Wapen in Conflict

In het artikel "Israel unplugged Gaza: Human rights watchdog says 'Internet shutdowns are fatal'" van Cybernews wordt de kritieke situatie in Gaza belicht, waar een totale internetblack-out dreigt. Dit wordt veroorzaakt door het opraken van brandstof, essentieel voor de werking van communicatietorens. De Palestijnse Communicatieminister Yitzhak Sidr waarschuwde dat tegen donderdag alle communicatie- en internetservices in de Gazastrook zullen stoppen, een scenario dat zich een dag eerder lijkt te voltrekken. Marwa Fatafta, beleids- en belangenbehartigingsmanager van MENA bij Access Now, stelt dat Israëlische autoriteiten internettoegang als oorlogswapen gebruiken in Gaza. Er zijn meerdere gevallen van volledige ontkoppeling van Gaza van de buitenwereld door Israël, waarbij de langste ongeveer 36 uur duurde. Dit veroorzaakte chaos in Gaza en wereldwijde schokgolven, aangezien humanitaire organisaties, noodlijnen en artsen het contact verloren met mensen en elkaar. Internetstoringen zijn volgens Fatafta dodelijk in tijden van crisis. Mensen hebben internet en telecommunicatietoegang nodig voor levensreddende informatie en diensten. Deze verstoringen hebben ook geleid tot een broeinest van desinformatie in afwezigheid van journalisten die feitelijk kunnen rapporteren over de gebeurtenissen. Tijdens een volledige internetblack-out op 27 oktober verloren belangrijke humanitaire organisaties zoals het Palestijnse Rode Kruis en de Wereldgezondheidsorganisatie het contact met hun personeel en gezondheidswerkers ter plaatse. Mensen konden geen ambulances of civiele verdediging bellen om hun geliefden te redden en gewonden naar ziekenhuizen te vervoeren. Fatafta benadrukt de emotionele tol van internetstoringen op individuen binnen en buiten Gaza. Met meer dan 1,5 miljoen ontheemde mensen hebben velen dagen of weken geen contact kunnen leggen met hun familieleden, wat leidt tot ondraaglijke onzekerheid. Felicia Anthonio, campagnemanager van #KeepItOn bij Access Now, stelt dat de inzet van internetblack-outs als wapen in conflicten wereldwijd toeneemt. Access Now en de #KeepItOn-coalitie documenteerden vorig jaar ten minste 33 incidenten van shutdowns tijdens actieve conflicten. Vooral autoritaire regimes zijn dol op internetblack-outs, omdat ze hiermee een bevolking kunnen isoleren en beroven van hun mensenrechten. Het artikel roept op tot een onmiddellijk fysiek en digitaal staakt-het-vuren om de kritieke situatie te verbeteren en voor de internationale gemeenschap, waaronder overheden, VN-organen en techbedrijven, om dringend op te roepen tot de onmiddellijke en onvoorwaardelijke toegang van essentiële goederen zoals brandstof om de hervatting van internet- en telecommunicatiediensten mogelijk te maken.


Chinese Bedrijven Beheren Nepnieuwsnetwerk in Zuid-Korea

Het Zuid-Koreaanse spionageagentschap, de National Intelligence Service (NIS), heeft onlangs een netwerk van 38 nepnieuwssites ontdekt die worden beheerd door Chinese bedrijven. Deze websites zijn opgezet om de publieke opinie in Zuid-Korea te beïnvloeden. Twee Chinese PR-bedrijven, Haimai en Haixun, zijn geïdentificeerd als de drijvende krachten achter deze sites. Deze nepnieuwswebsites bootsten legitieme mediakanalen na, zowel in naam als domein, en publiceerden zonder toestemming inhoud van lokale nieuwszenders. Ze deden zich ook voor als onderdeel van de Korea Digital News Association. Het netwerk werd blootgelegd door samenwerking tussen de NIS en particuliere cyberbeveiligingsbedrijven. De NIS heeft aangekondigd dat het netwerk zal worden gesloten. Opvallend is dat de inhoud van deze nepwebsites veelvuldig werd gedeeld op sociale media. De NIS verklaarde dat ze nauwlettend toezien op pogingen van China om zijn cyberinvloed in Korea uit te breiden, vooral gezien de huidige verhoogde veiligheidssamenwerking van Zuid-Korea met de VS en Japan. In lijn met deze toegenomen veiligheidsmaatregelen heeft Zuid-Korea een overeenkomst gesloten met de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) om de samenwerking op het gebied van cyberbeveiliging te verbeteren. Daarnaast hebben Zuid-Korea, Japan en de VS overeenstemming bereikt over het delen van realtime gegevens betreffende Noord-Koreaanse raketlanceringen. Deze ontwikkelingen tonen de ernst waarmee Zuid-Korea en zijn bondgenoten de dreiging van cyberinvloeden en het belang van cyberbeveiliging benaderen. (bron)


Iraanse Hackers Voeren Malware Aanvallen uit op Israëls Technologie Sector

Iraanse hackers, bekend onder verschillende namen zoals Imperial Kitten, Tortoiseshell, TA456, Crimson Sandstorm, en Yellow Liderc, hebben recentelijk een nieuwe campagne gelanceerd gericht op de transport-, logistiek- en technologiesectoren in Israël. Deze hackersgroep wordt geassocieerd met de Islamitische Revolutionaire Garde Korps (IRGC) van Iran en is actief sinds ten minste 2017. Ze richten zich op organisaties in diverse sectoren, waaronder defensie, technologie, telecommunicatie, maritiem, energie, en advies- en professionele diensten. De recente aanvallen zijn ontdekt door onderzoekers van het cybersecuritybedrijf CrowdStrike. Zij identificeerden de campagne op basis van overlappende infrastructuur met eerdere campagnes, waargenomen tactieken, technieken en procedures, en het gebruik van de IMAPLoader-malware en phishing-lokkertjes. In oktober werden phishing-aanvallen gelanceerd met een 'job recruitment'-thema via e-mails met een kwaadaardige Microsoft Excel-bijlage. Het openen van dit document activeert een kwaadaardige macrocode die twee batchbestanden extraheert. Deze zorgen voor persistentie via registerwijzigingen en voeren Python-payloads uit voor toegang tot reverse shell. De aanvaller beweegt lateraal door het netwerk met behulp van tools als PAExec en NetScan en gebruikt ProcDump om inloggegevens uit het systeemgeheugen te halen. Communicatie met de command-and-control (C2) server gebeurt via de custom malware IMAPLoader en StandardKeyboard, die beiden afhankelijk zijn van e-mail voor informatie-uitwisseling. In eerdere activiteiten zette Imperial Kitten watering hole-aanvallen in door Israëlische websites te compromitteren en informatie te verzamelen over bezoekers. Deze campagnes, die plaatsvonden tussen 2022 en 2023, waren gericht op de maritieme, verzend- en logistieke sectoren. CrowdStrike en PricewaterhouseCoopers hebben indicatoren van compromittering (IoCs) voor de malware en de infrastructuur van de tegenstander verstrekt die in de waargenomen aanvallen zijn gebruikt. (bron, bron2)


❗️Cybercriminelen NoName057(16) Richten Zich op Belgische Websites uit Protest tegen Oekraïne-Steun

In een recente ontwikkeling hebben cybercriminelen van de groep NoName057(16) verschillende Belgische websites aangevallen. Deze aanval komt als reactie op de beslissing van de Belgische overheid om financiële steun te verlenen aan Oekraïne. De hackersgroep heeft een bericht gepubliceerd waarin ze hun ongenoegen uiten over de manier waarop de Belgische autoriteiten handelen. Volgens de groep negeren de autoriteiten de binnenlandse problemen en economische crisis, terwijl ze een fonds opzetten om Oekraïne te ondersteunen. De Belgische regering heeft plannen om ongeveer 1,7 miljard euro over te maken uit belastingen op winsten afkomstig van in beslag genomen Russische activa in het land. Dit besluit, dat volgens de hackers in strijd is met het internationaal recht, is gericht op de periode 2022-2024. Het hoofd van het Belgische ministerie van Buitenlandse Zaken, Aja Lyabib, heeft toegelicht dat de helft van dit bedrag bestemd is voor militaire steun aan de aanhangers van de Oekraïense nationalist Bandera. De andere helft zou naar verluidt gebruikt worden voor civiele steun, waarbij de hackers suggereren dat dit geld uiteindelijk zou worden gestolen door de 'sluwe handlangers van Zelenski', de president van Oekraïne. Deze cyberaanval en het uitgesproken bericht van de hackersgroep benadrukken de complexiteit en gevoeligheid van internationale steunoperaties. Het roept ook vragen op over de veiligheid van overheidswebsites en de noodzaak van versterkte cyberbeveiliging om dergelijke aanvallen in de toekomst te voorkomen. De situatie blijft zich ontwikkelen, en de reacties van zowel de Belgische overheid als internationale gemeenschap worden met belangstelling gevolgd.


Cyberaanval op Cloudflare: Website Tijdelijk Platgelegd door Anonymous Sudan

Cloudflare bevestigde dat de storing werd veroorzaakt door een DDoS-aanval die alleen hun eigen website trof, zonder gevolgen voor andere producten of diensten. Een woordvoerder van Cloudflare verzekerde dat geen van hun klanten door dit incident werd beïnvloed, aangezien hun website op een afzonderlijke infrastructuur draait en geen invloed heeft op hun diensten. Anonymous Sudan, ook bekend als Storm-1359, eiste verantwoordelijkheid op voor de aanval op Cloudflare en eerdere aanvallen op OpenAI's ChatGPT bot, evenals op diensten van Microsoft zoals Outlook.com, OneDrive en Azure Portal. Hoewel de groep beweert acties te ondernemen tegen landen en organisaties die zich mengen in de Soedanese politiek, denken sommige analisten dat deze claims een valse vlag zijn en linken de groep aan Rusland. De storing op de Cloudflare-website werd gemeld met een foutmelding die wees op automatische queries vanuit een netwerk of computer. Hoewel de belangrijkste Cloudflare-diensten zoals het dashboard en API's functioneel bleven, hadden klanten eerder problemen ondervonden bij het inloggen en het raadplegen van de dashboard van Cloudflare. Er waren ook andere storingen in de afgelopen week bij Cloudflare, waaronder een uitval van hun dashboard en API's door een stroomstoring in een Noord-Amerikaans datacenter en een andere uitval van meerdere producten veroorzaakt door een configuratiefout. De aanval en de daaropvolgende storing benadrukken de kwetsbaarheid van grote internetdienstverleners zoals Cloudflare, die een centrale rol spelen in de infrastructuur van het internet en daardoor aantrekkelijke doelwitten vormen voor cyberaanvallen.


Russische Hackers Gebruiken LOTL-Technieken voor Stroomuitval

Russische staatshackers hebben hun methoden voor het inbreken in industriële controlesystemen geëvolueerd door de inzet van 'living-off-the-land' (LOTL) technieken. Deze technieken stellen hen in staat om sneller en met minder middelen de laatste fase van een aanval te bereiken. Beveiligingsonderzoekers benadrukken dat deze verandering leidt tot aanvallen die moeilijker te detecteren zijn en die niet noodzakelijk geavanceerde malware vereisen voor industriële controlesystemen (ICS). In 2022 heeft de Sandworm-groep, die sinds 2009 actief is en gelinkt wordt aan de Russische militaire inlichtingendienst GRU, een Oekraïense kritieke infrastructuurorganisatie aangevallen. Dit leidde binnen vier maanden tot een stroomstoring, verergerd door raketinslagen op cruciale faciliteiten in het land. Het incident werd onderzocht door Mandiant, een onderdeel van Google, die de tactieken, technieken en procedures van Sandworm analyseerde. Sandworm verkreeg toegang tot de operationele technologie (OT) omgeving via een hypervisor die een MicroSCADA-server hostte. Deze server staat centraal in de controle en automatisering van het gehele stroomdistributiesysteem. De aanval culmineerde in twee verstorende gebeurtenissen: een stroomuitval op 10 oktober 2022, waarbij Sandworm een ISO CD-ROM beeldbestand gebruikte om kwaadaardige commando's uit te voeren, en een tweede verstoring op 12 oktober met de inzet van de CADDYWIPER data-vernietigende malware. Deze aanvallen duiden op een verschuiving naar LOTL-technieken die vertrouwen op lichtere en generieke hulpmiddelen, waardoor het moeilijker wordt om dreigingen te detecteren. Belangrijk is dat Sandworm geen aangepaste malware gebruikte voor het OT-gedeelte van de aanval, maar een native binary (LoLBin), wat expertise in OT en inzicht in de industriële processen vereist. Mandiant's rapport benadrukt de groeiende volwassenheid van Rusland's offensieve OT-arsenaal, wat wijst op een toegenomen vermogen om nieuwe OT-dreigingsvectoren te herkennen, nieuwe capaciteiten te ontwikkelen en verschillende soorten OT-infrastructuur voor hun aanvallen te benutten. Het rapport bevat indicatoren van compromittering, YARA-regels, richtlijnen voor het versterken van SCADA-beheerhosts en aanbevelingen om de activiteit van Sandworm in ICS-omgevingen te detecteren en de dreiging te verminderen. (bron, bron2, bron3)


Rusland Leidt Studenten op tot Cyberaanvallen op Oekraïne en Bondgenoten

Volgens inlichtingen van Oekraïne worden Russische studenten getraind om cyberaanvallen uit te voeren op infrastructuur in Oekraïne en landen van de westerse alliantie. Ilya Vityuk, hoofd van de Cybersecurity Afdeling bij de Oekraïense Veiligheidsdienst (SBU), onthult dat Moskou een nationaal systeem van cyberaanvallen opzet en lessen in hacking integreert in het onderwijscurriculum. Deze cursussen, die bij sommige onderwijsinstellingen worden gegeven, richten zich niet alleen op Oekraïense systemen, maar ook op die van geallieerde landen. De SBU heeft aanwijzingen dat Rusland duizenden hackers in dienst heeft, waaronder cybercriminelen, om actief te strijden tegen Oekraïne. Deze cyberleger zou gefinancierd worden door Russische speciale diensten, die ook een netwerk van onderzoekslaboratoria en instituten beheren voor de ontwikkeling van cyberoorlogsvoering. Volgens Vityuk zijn deze hackers niet gemotiveerd door financieel gewin, maar door de vernietiging van de Oekraïense staat, wat vervolgens andere landen zou schaden door Russische cyberagressie. Sinds het begin van de grootschalige invasie in februari 2022 heeft de SBU 76 botfarms en 3 miljoen valse accounts geblokkeerd die pro-Russische verhalen verspreidden in Oekraïne. Dit artikel is een weerspiegeling van de ernstige cyberrisico's die zich voordoen als gevolg van conflicten en de toenemende rol van cybersecurity en inlichtingendiensten in de moderne oorlogsvoering. Het benadrukt de noodzaak voor verhoogde waakzaamheid en verdediging tegen dergelijke cyberdreigingen. (bron)


Leden van Anonymous Sudan vallen ChatGPT aan

OpenAI heeft te kampen gehad met periodieke uitvallen van zijn ChatGPT en API-diensten in de laatste 24 uur als gevolg van DDoS-aanvallen. Hoewel er aanvankelijk geen details werden verstrekt over de oorzaak van deze incidenten, bevestigde OpenAI vandaag dat ze verband houden met de aanhoudende distributed denial-of-service (DDoS) aanvallen. Gebruikers die getroffen werden door deze problemen kregen foutmeldingen te zien wanneer ze probeerden te communiceren met ChatGPT. Deze storingen volgen op een eerdere grote uitval van ChatGPT die ook zijn Application Programming Interface (API) trof op woensdag, naast gedeeltelijke ChatGPT-uitvallen op dinsdag en verhoogde foutpercentages bij Dall-E op maandag. Tijdens het incident van gisteren waarschuwde een banner gebruikers voor uitzonderlijk hoge vraag en verzocht om geduld terwijl OpenAI werkte aan het opschalen van zijn systemen. De DDoS-aanvallen zijn opgeëist door een dreigingsactor bekend als Anonymous Sudan, die de aanvallen motiveerde met beschuldigingen van vooringenomenheid van OpenAI ten opzichte van Israël en tegen Palestina. De groep heeft ook bevestigd dat ze gebruikmaakten van het SkyNet botnet voor deze aanvallen, welke sinds oktober stresserdiensten levert en onlangs ondersteuning heeft toegevoegd voor applicatielaagaanvallen, of Layer 7 (L7) DDoS-aanvallen. Deze aanvallen richten zich op de applicatielaag om diensten te overweldigen met een massaal volume aan verzoeken, waardoor de diensten vastlopen omdat ze deze niet allemaal kunnen verwerken. In juni heeft Anonymous Sudan ook succesvol Microsoft-diensten zoals Outlook.com, OneDrive, en Azure Portal neergehaald met Layer 7 DDoS-aanvallen. Microsoft bevestigde deze claims en volgt hun activiteiten onder de naam Storm-1359. Volgens sommige cyberbeveiligingsonderzoekers zou dit echter een valse vlag kunnen zijn en zou de groep mogelijk gelinkt zijn aan Rusland. OpenAI heeft nog niet gereageerd op verzoeken om commentaar van BleepingComputer over de aanhoudende uitvallen en DDoS-aanvallen. (bron, bron2)


Russische bank aangevallen met krachtigste DDoS-aanval in zijn geschiedenis

Ongeveer twee weken geleden heeft de Russische financiële instelling Sberbank, een meerderheid staatsbedrijf en de grootste bank in Rusland, een verklaring uitgegeven over de meest krachtige Distributed Denial of Service (DDoS) aanval die het tot nu toe heeft ervaren. Deze aanval, waarbij de bank een miljoen verzoeken per seconde moest verwerken, was ongeveer vier keer zo groot als de grootste aanval die Sberbank tot dan toe had meegemaakt. De aanval komt te midden van internationale blokkades en sancties tegen de bank volgend op Ruslands invasie in Oekraïne, waarbij Sberbank al meerdere keren het doelwit is geweest van hacktivisten die het Westen steunen. De hoofd van Sberbank heeft aangegeven dat het om nieuwe hackers ging, wiens 'vingerafdruk' nog niet bekend was, wat wijst op de opkomst van zeer bekwame nieuwe criminelen die systematisch de grootste Russische bronnen aanvallen. Hoewel een miljoen RPS een aanzienlijk aantal is, is het niet te vergelijken met recordbrekende DDoS-aanvallen die de nieuwe 'HTTP/2 Rapid Reset'-techniek gebruiken en een impact kunnen hebben die honderd keer groter is. Andere grote DDoS-aanvallen die recentelijk hebben plaatsgevonden, omvatten een aanval op Amazon die piekte op 155 miljoen RPS, een door Cloudflare gematigde aanval van 201 miljoen RPS, en Google die een piek van 398 miljoen verzoeken per seconde verwerkte. In mei 2022 meldde Sberbank ook doelwit te zijn geweest van ongekende aanvallen, inclusief massale DDoS-golven gericht op zijn online klantenservices. Een recentere tegenslag voor het Russische financiële systeem was de aanval op de National Payment Card System (NSPK), waarbij de website niet alleen onbereikbaar werd maar later ook werd gedefaceerd met berichten over een datalek dat klanten zou beïnvloeden. NSPK verzekerde echter dat er geen gevoelige klantgegevens gestolen konden zijn omdat de website deze informatie niet opslaat, en dat het betalingssysteem niet was beïnvloed door de cyberaanval. Hacktivisten van de groep 'DumpForums' en de Oekraïense Cyber Alliance hebben de verantwoordelijkheid opgeëist voor de aanval op NSPK en beweerden 31 GB aan data te hebben gestolen. (bron, bron2)


Cyberaanvallen Bedreigen Israëlische Kennissector

De Israëlische onderwijs- en technologiesector is recentelijk het doelwit geworden van een serie destructieve cyberaanvallen, uitgevoerd door de aan Iran gelieerde APT-groep Agonizing Serpens. Volgens Unit 42 van Palo Alto Networks, begonnen deze aanvallen in januari 2023 en duurden voort tot oktober 2023. Agonizing Serpens staat bekend om het uitvoeren van wiper- en nep-ransomware-aanvallen sinds 2020, met als doel het stelen en vernietigen van gegevens binnen Israëlische instellingen. De aanvallers richten zich op het ontvreemden van persoonlijk identificeerbare informatie (PII) en intellectueel eigendom, met als waarschijnlijke doelen intimidatie en reputatieschade. De aanvallen onderscheiden zich door het gebruik van nieuwe wipers en een database extractor tool, specifiek ontworpen om detectie door beveiligingssystemen zoals EDR-technologieën te ontwijken. Unit 42 identificeerde drie nieuwe wipers — MultiLayer wiper, PartialWasher wiper en BFG Agonizer wiper — en een tool genaamd Sqlextractor, die gebruikt wordt om informatie uit databases te extraheren. Deze ontwikkelingen duiden op een geavanceerder en meer gerichte aanpak van cyberaanvallen, waarbij de nadruk ligt op stealth en ontwijkingstechnieken. De gevolgen voor de getroffen organisaties zijn aanzienlijk, met potentieel langdurige effecten op zowel de veiligheid van informatie als de operationele integriteit. De details van deze bevindingen benadrukken de noodzaak voor verhoogde waakzaamheid en verbeterde cyberverdediging binnen kwetsbare sectoren. (bron)


NoName057(16) Cybercriminelen Richten Zich op Zweedse Websites als Vergelding voor Wapensteun

In een recente verklaring hebben de cybercriminelen van NoName057(16) aangegeven meerdere Zweedse websites te hebben aangevallen. Deze actie komt als directe reactie op de aankondiging van het Zweedse Ministerie van Defensie dat zij 8 Archer-gemotoriseerde kanonnen naar Kiev zullen overdragen. De groep bekritiseerde deze beslissing en beweerde dat de kanonnen weliswaar snel en met grote reikwijdte kunnen vuren, maar dat ze onvoldoende zijn om de dynamiek aan het front te veranderen. Bovendien lopen de installaties het risico in handen te vallen van het Russische leger of vernietigd te worden. NoName057(16) beweert een serie Distributed Denial of Service (DDoS) aanvallen te hebben gelanceerd, beschreven als 'DDoS-raketten', met het doel de Zweedse autoriteiten te waarschuwen en hen aan te sporen hun binnenlandse problemen te overwegen alvorens internationale acties te ondernemen. De groep heeft links gepubliceerd naar rapporten van hun vermeende aanvallen op verschillende Zweedse entiteiten, waaronder het Zweedse privacybureau, de Inspectie voor Strategische Producten (ISP), een exportkredietadviesbureau, het gerechtshof, een Zweeds transportbedrijf, een online bank, de haven van Hargshamn en de website van het Technisch Onderzoeksinstituut van Zweden.


NoName057(16) richt pijlen op Italiaanse websites: Een nieuwe golf van cyberaanvallen

In een recente ontwikkeling hebben cybercriminelen van de groepering NoName057(16) verschillende Italiaanse websites aangevallen. Deze acties benadrukken de voortdurende dreiging die cybercriminaliteit vormt voor zowel de financiële sector als overheidsinstanties. De aanvallen omvatten prominente doelwitten zoals de Italiaanse vereniging van effectenmakelaars en de Kredietcoöperatie van Italië. Verontrustend genoeg is de website van het Italiaanse Ministerie van Defensie ook gecompromitteerd, wat wijst op de ernst van deze cyberoffensieven. Zelfs lokale diensten zoals de Palermo-busmaatschappij AMAT Palermo werden niet gespaard, wat de brede reikwijdte van deze aanvallen illustreert. De cybercriminelen hebben hun sporen achtergelaten via check-host.net, een website die wordt gebruikt om de status en kwetsbaarheden van gehoste servers te rapporteren. Deze links bieden een gedetailleerd beeld van de aangerichte schade en zijn een zorgwekkende getuigenis van de slagkracht van deze groepering.


❗️Cyberaanvallen op Nederlandse Ticketdiensten door NoName057(16): Reizigers Gedupeerd

In het huidige digitale tijdperk, waarbij cyberveiligheid steeds crucialer wordt, hebben we opnieuw een verontrustende ontwikkeling waargenomen die direct invloed heeft op het dagelijks leven in Nederland. De cybercriminele groep bekend als NoName057(16) heeft aangekondigd dat zij voor de tweede opeenvolgende dag de diensten voor het kopen van vervoersbewijzen in Nederland hebben gesaboteerd.

Analyse van de Aanval

Volgens de informatie die de cybercriminelen zelf hebben verspreid, hebben zij specifieke aanvallen uitgevoerd op websites die tickets verkopen voor het Nederlandse openbaar vervoer. Met een bijgevoegde link naar een check-host.net rapport bieden zij een blik op de resultaten van hun kwaadaardige handelingen.

Het is belangrijk om op te merken dat deze acties niet alleen een directe impact hebben op de bedrijfsvoering van de vervoersbedrijven, maar ook grote overlast veroorzaken voor dagelijkse reizigers. Het vermogen om online vervoersbewijzen aan te schaffen wordt hierdoor ernstig verstoord, wat wijst op een tactiek die zowel ontwrichtend als demoraliserend werkt.

Wat te Doen bij Dergelijke Cyberaanvallen

Het is essentieel voor gebruikers en bedrijven om zich bewust te zijn van dergelijke dreigingen en gepaste maatregelen te nemen. Enkele aanbevelingen zijn:

  • Blijf Informatie Volgen: Blijf op de hoogte van de officiële communicatiekanalen van de vervoersdiensten voor updates en instructies.
    Alternatieve Aankoopmethoden: Overweeg tijdelijk gebruik te maken van alternatieve methoden om tickets te kopen, zoals fysieke loketten of automaten.
  • Verhoogde Cyberbeveiliging:  Vervoersbedrijven dienen hun cyberbeveiliging te versterken en te zorgen voor adequate bescherming tegen DDoS-aanvallen en andere cyberdreigingen.
  • Rapporteer Verdachte Activiteiten: Als u ongewone activiteiten waarneemt, meld dit dan direct bij de betreffende instanties.

De Rol van Cyberveiligheidsdeskundigen

De aanvallen benadrukkende voortdurende noodzaak voor cyberveiligheidsexpertise binnen alle sectoren, met name in infrastructuur en openbare diensten. Deskundigen spelen een vitale rol bij het voorkomen en mitigeren van de schade veroorzaakt door dergelijke criminele acties.

In de komende dagen zal er meer informatie beschikbaar komen over de volle omvang en de eventuele vervolgstappen die genomen worden tegen deze verstoringen. Het is een herinnering aan ons allen over de voortdurende dreigingen die cybercriminelen vormen en het belang van waakzaamheid en proactieve beveiligingsmaatregelen.


❗️NoName057(16) Cybercriminelen Richten Zich op Nederlandse Doelwitten na Oekraïense Diplomatieke Ontmoeting

In de schaduw van diplomatieke ontmoetingen tussen Oekraïne en Nederland, hebben cybercriminelen van de groep NoName057(16) hun pijlen gericht op Nederlandse websites. De aanvallen lijken een directe reactie te zijn op de recente gesprekken tussen de Oekraïense president Zelensky en de Nederlandse minister van Defensie, Kaisa Ollongren. In een provocerende verklaring suggereren de cybercriminelen dat de ontmoeting tussen Zelensky en Ollongren, waarbij de nadruk lag op verdere Nederlandse steun voor Oekraïne, mogelijk een verzoek om financiële middelen inhield. Met een spottende toon impliceren ze dat de ontmoeting weinig substantie had. De cyberaanvallen, die zijn bevestigd via de rapportagelinks van check-host.net, hebben specifieke Nederlandse infrastructuur en diensten als doelwit gehad:

- De Haven van Den Helder, een cruciaal punt voor maritieme logistiek en defensie.
- Een transportbedrijf dat een belangrijke rol speelt in de Nederlandse logistieke keten.
- Arriva, een prominente vervoerder die het openbaar vervoer in Nederland verzorgt.

Deze digitale aanvallen benadrukken de kwetsbaarheid van nationale infrastructuren voor cybercriminaliteit, vooral in tijden van internationale spanningen. Het is een herinnering aan de noodzaak voor constante waakzaamheid en verbetering van cyberdefensie mechanismen.

Het is van cruciaal belang dat organisaties en de overheid samenwerken om hun netwerken te beveiligen tegen dergelijke dreigingen. Dit incident dient als een waarschuwing voor de mogelijke gevolgen van internationale diplomatie op het digitale front en de noodzaak voor een gecoördineerde aanpak om de cyberveiligheid te waarborgen.


Russische Hackers Vallen Website van Manchester Airport Aan

In een recente ontwikkeling in de wereld van de cyberoorlog heeft een Russische hackersgroep genaamd UserSec de verantwoordelijkheid opgeëist voor een aanval op de website van Manchester Airport. Op 30 oktober 2023 werd de site onverwachts offline gehaald. Volgens de hackers was dit de eerste stap in een groter plan om Britse luchthavens te ontregelen. Hoewel de groep aankondigde dat de website tot 17:30 uur Britse tijd onbereikbaar zou zijn, was het systeem tegen 16:15 uur alweer hersteld. Ondanks deze cyberaanval bleven de dagelijkse operaties van de luchthaven, inclusief alle vluchten, gewoon doorgaan. Dit roept de vraag op hoe effectief dergelijke aanvallen zijn als ze geen directe impact hebben op kritieke infrastructuur. Het is opmerkelijk dat Manchester Airport nog niet heeft kunnen bevestigen of de aanval daadwerkelijk van deze specifieke Russische groep afkomstig was. Het National Cyber Security Centre (NCSC) is inmiddels een grondig onderzoek gestart. De situatie wordt nog complexer als we in ogenschouw nemen dat UserSec en een andere groep, Anonymous Russia, eerder dit jaar al beweerden achter aanvallen op andere Britse luchthavens te zitten. Deze aanvallen, uitgevoerd via zogenaamde DDOS-technieken, lijken toe te nemen en vormen een groeiend probleem in de hedendaagse cyberoorlog. De aanval op Manchester Airport zet niet alleen de kwetsbaarheid van luchthavenwebsites in de schijnwerpers, maar ook de groeiende zorg over internationale cyberconflicten. Hoewel er geen langdurige schade is aangericht, onderstreept het incident het belang van continue waakzaamheid en verbetering van cybersecuritymaatregelen. (bron)


Cyberoorlog: BiBi-Linux Wiper Malware Vormt Nieuwe Dreiging voor Israëlische Infrastructuur

In het steeds escalerende landschap van de cyberoorlog is een nieuwe, destructieve malware opgedoken die zich specifiek richt op Israëlische bedrijven. BiBi-Linux, een geavanceerde wiper malware, is ontworpen om Linux-systemen onbruikbaar te maken door zowel data als het besturingssysteem te vernietigen. Dit wapen in de cyberoorlog werd ontdekt door het Security Joes' Incident Response team, dat het aantrof tijdens een onderzoek naar een netwerkinbraak bij een Israëlische organisatie. Deze malware onderscheidt zich van traditionele ransomware door het ontbreken van losgeld eisen of communicatie met Command & Control servers voor datadiefstal. In plaats daarvan is de primaire functie het overschrijven van bestanden met nutteloze data, wat zowel de gegevens als het besturingssysteem corrumpeert. Deze methode duidt op een doelbewuste strategie van maximale disruptie. De aanval maakt gebruik van een x64 ELF uitvoerbaar bestand, genaamd bibi-linux.out, dat aanvallers de mogelijkheid geeft om specifieke mappen te kiezen voor encryptie. Indien uitgevoerd met rootrechten, kan het de gehele root directory van het slachtoffersysteem wissen, wat een verwoestende impact kan hebben op de getroffen infrastructuur. BiBi-Linux maakt gebruik van meerdere threads en een wachtrijsysteem om de snelheid en effectiviteit van de aanval te optimaliseren. Het toont ook een verrassende minachting voor detectie, aangezien er geen pogingen zijn om de code te obfusceren of te beschermen. Deze nieuwe dreiging komt te midden van een alarmerende toename van destructieve cyberaanvallen wereldwijd, zoals die door Russische groepen tegen Oekraïense systemen. Het markeert een zorgwekkende ontwikkeling in de cyberoorlog, waarbij de focus verschuift van financieel gewin naar pure destructie. (bron)


Spotify Platgelegd door DDoS-aanval; Anonymous Sudan Eist Verantwoordelijkheid

Op 27 oktober 2023 werd Spotify, een van 's werelds populairste muziekstreamingplatforms, getroffen door een DDoS-aanval (Distributed Denial of Service), waardoor de website niet meer bereikbaar was. Bijna 2000 gebruikers meldden problemen rond 7 uur 's ochtends op DownDetector.com. Van deze meldingen had 67% betrekking op de website, 20% op de app van Spotify, en 13% op problemen met het streamen van audio. Ten tijde van het schrijven van het artikel was de website nog steeds onbereikbaar. DDoS-aanvallen zijn bedoeld om een server te overweldigen met een enorme hoeveelheid internetverkeer vanuit meerdere bronnen. Dit kan de server vertragen en in sommige gevallen zelfs volledig offline halen. Hoewel er nog geen officiële informatie is over de oorzaak van de storing, heeft de hackersgroep Anonymous Sudan de verantwoordelijkheid opgeëist via hun Telegram-kanaal. Volgens experts is Anonymous Sudan een pro-Russische hackersgroep, die eerder succesvolle DDoS-aanvallen heeft uitgevoerd op onder andere de website van Scandinavian Airlines (SAS) en de Microsoft 365-software suite, inclusief Teams en Outlook. Dit incident toont opnieuw het toenemende belang aan van robuuste cybersecuritymaatregelen voor online platforms, vooral voor diensten met een groot gebruikersbestand zoals Spotify. Het benadrukt ook het voortdurende risico van DDoS-aanvallen als een effectief middel voor hackersgroepen om een breed scala aan online diensten te verstoren.


Misinformatie in Sociale Media omtrent het Israël-Hamas Conflict: Een Analyse

In een recent artikel op Cybernews waarschuwt Dr. Roberto Mazza, een professor in Global Affairs en Geschiedenis, voor de vloedgolf aan misinformatie omtrent het Israël-Hamas conflict die sociale media overspoelt. Mazza benadrukt dat de complexiteit van het conflict niet adequaat kan worden uitgelegd in korte video's of tweets, en stelt dat propaganda en valse verhalen van beide zijden komen. Mazza maakt zich grote zorgen over hoe snel mensen conclusies trekken op basis van nepnieuws. Hij merkt op dat valse verhalen variëren van overdreven of vervalste aantallen slachtoffers tot incorrecte interpretaties van de ideologieën en historie van betrokken organisaties, zoals Hamas. De aard van het conflict wordt ook vaakverkeerd voorgesteld, soms door politieke figuren, wat de situatie nog gecompliceerder maakt. De uitdaging voor technologiebedrijven ligt in het handhaven van de grenzen van vrije meningsuiting terwijl ze proberen misinformatie in te dammen. Volgens Mazza is dit een bijna onmogelijke taak. Hij benadrukt dat het voor de gemiddelde socialemediagebruiker bijna onmogelijk is om betrouwbare van onbetrouwbare informatie te onderscheiden. Desondanks adviseert hij gebruikers om bronnen zorgvuldig na te gaan en mensen te volgen die hun beweringen grondig controleren. Mazza concludeert dat er geen eenvoudige oplossingen zijn voor vrede in het conflict. Hij wijst erop dat een meerderheid van de Palestijnen in de Gazastrook niet achter Hamas staat, en dat het belangrijk is dit te overwegen in elke toekomstige vredesstrategie. Hoewel Mazza gelooft dat enige vorm van regulering noodzakelijk is om de verspreiding van misinformatie te beperken, geeft hij toe dat er momenteel geen pasklare oplossingen zijn. (bron, bron2)


Opkomst van Cryptocurrency Donatie Fraude te Midden van het Israël-Hamas Conflict

Tijdens het tragische conflict tussen Israël en Hamas hebben oplichters een kans gezien om in te spelen op de bereidheid van mensen om humanitaire hulp te bieden. Volgens een artikel van BleepingComputer worden er talrijke valse accounts en e-mails verspreid die zich voordoen als legitieme liefdadigheidsinstellingen. Deze valse entiteiten, actief op sociale media platformen zoals X (voorheen Twitter), Telegram en Instagram, lokken slachtoffers door te vragen om donaties in de vorm van cryptocurrency. De bijbehorende crypto-walletadressen zijn onbetrouwbaar en worden niet gesteund door enige erkende liefdadigheidsorganisatie. Opmerkelijk is dat deze vorm van oplichting niet alleen specifiek is voor dit conflict; soortgelijke tactieken zijn ook toegepast tijdens de Russisch-Oekraïense oorlog en na de aardbevingen in Turkije. Deze oplichters gebruiken emotionele taal en beelden om de aandacht van het publiek te trekken. Naast valse accounts voor Palestijnse hulp zijn er ook accounts die beweren Israëlische slachtoffers te ondersteunen. De walletgeschiedenis laat echter zien dat er tot nu toe geen donaties naar deze adressen zijn verzonden. Cyberbeveiligingsbedrijf Kaspersky heeft ook meer dan 500 scam e-mails en frauduleuze websites ontdekt die dezelfde tactiek toepassen. Het bedrijf waarschuwt dat deze oplichtingspagina's zich gemakkelijk kunnen vermenigvuldigen door hun ontwerp aan te passen en zich op specifieke doelgroepen te richten. Het is daarom van essentieel belang om grondig onderzoek te doen alvorens een donatie te maken. Dit omvat het controleren van de legitimiteit van de liefdadigheidsinstelling en het nalezen van tips over hoe veilig te doneren van betrouwbare bronnen zoals de Amerikaanse Federal Trade Commission (FTC) en de Britse Rode Kruis.

Help Gaza Twitter-account

'AidGaza'-website en sociale media-accounts beweren dat het humanitaire hulp biedt

'Aid Gaza'-ondersteuningspagina bevat Bitcoin, Ethereum, USDT-portemonneeadressen


❗️Russische Hacktivisten 'NOName057(16)' Vallen 'opnieuw' Nederlandse Diensten Aan


❗️Russische Hacktivisten 'NOName057(16)' Vallen Nederlandse Diensten Aan

De Russische hacktivistengroep ‘NOName057(16)’ heeft recentelijk (17 oktober) een reeks cyberaanvallen uitgevoerd op verschillende prominente Nederlandse websites. Onder de getroffen sites bevinden zich ov-chipkaart.nl, het centrale platform voor het openbaar vervoer in Nederland; 9292.nl, een essentiële dienst voor reisplanning; a-bike.nl, een fietsverhuurservice; en rederij-doeksen.nl, een belangrijke veerdienst. 


Propaganda en Gewelddadige Beelden Duiken op in Kinderapps

In een zorgwekkende ontwikkeling zijn beelden en teksten die geweld in Israël en door Hamas verheerlijken, opgedoken in reclames binnen kinderspelletjes op mobiele telefoons. Justine Pardoen, oprichter van Bureau Jeugd en Media, en politieke partijen zoals GroenLinks-PvdA waarschuwen ouders om hun kinderen tijdelijk geen toegang te geven tot dergelijke apps. De VVD pleit voor ingrijpen door een toezichthouder. Deze propaganda-inhoud is niet alleen in bekende spellen zoals Angry Birds te vinden, maar ook in andere eenvoudige games zonder leeftijdsbeperkingen. Volgens Pardoen zijn dergelijke beelden zeer schadelijk voor kinderen omdat ze onrust en een onveilig gevoel veroorzaken. Lies Aris van de Stichting Reclame Code wijst erop dat het lastig is om in te grijpen zolang niet duidelijk is wie verantwoordelijk is voor de advertenties. Techgiganten zoals Google en Apple zijn nog aan het onderzoeken of hun platforms zijn getroffen. Op basis van de Digital Services Act (DSA) hebben online platforms de plicht om illegale online inhoud te verwijderen. De Europese Unie heeft ook grote techbedrijven opgeroepen om strenger te handhaven op dit soort beelden. Het is nog onduidelijk hoeveel mensen de gewelddadige reclames hebben gezien en wie er precies achter zit. Dit maakt het lastig om effectieve maatregelen te nemen en het probleem bij de wortel aan te pakken.


Russische Sandworm Hackers Compromitteren 11 Oekraïense Telecomproviders

Tussen mei en september 2023 heeft de door de Russische staat gesponsorde hackergroep 'Sandworm' elf telecommunicatieproviders in Oekraïne gecompromitteerd. Dit blijkt uit een nieuw rapport van het Oekraïense Computer Emergency Response Team (CERT-UA), dat publieke bronnen en informatie van sommige getroffen providers citeert. De Russische hackers hebben de communicatiesystemen van deze providers verstoord, wat heeft geleid tot serviceonderbrekingen en mogelijke datalekken. Sandworm, dat actief gelinkt is aan Rusland's GRU (militaire inlichtingendienst), heeft zich gedurende 2023 vooral gericht op Oekraïne. De groep maakte gebruik van phishing-pogingen, Android-malware en data-wissers om de aanvallen uit te voeren. De initiële aanvallen begonnen met verkennende scans van de netwerken van de telecombedrijven, waarbij diverse tools werden ingezet zoals 'masscan', 'ffuf', 'dirbuster', 'gowitness' en 'nmap'. Daarnaast wisten ze binnen te dringen via VPN-accounts die niet met meerfactorauthenticatie waren beveiligd. Om hun activiteiten te verbergen, maakten de hackers gebruik van verschillende proxy-servers om hun kwaadaardige handelingen via eerder gecompromitteerde Oekraïense servers te routeren. CERT-UA meldt ook het ontdekken van twee soorten achterdeurtjes in de gecompromitteerde systemen: 'Poemgate', die beheerderscredentials vastlegt, en 'Poseidon', een Linux-achterdeur met uitgebreide besturingsmogelijkheden. Sandworm verwijderde tenslotte alle sporen van hun activiteiten en schakelde back-upsystemen uit om herstel te bemoeilijken. CERT-UA adviseert alle serviceproviders in Oekraïne om hun beveiligingsmaatregelen aan te scherpen om toekomstige inbreuken te voorkomen. (bron)


Nepversie van 'RedAlert' raketwaarschuwing-app installeert spionagesoftware op Android-toestellen in Israël

Israëlische Android-gebruikers zijn het doelwit van een malafide versie van de populaire app 'RedAlert – Rocket Alerts'. Deze app wordt normaal gesproken gebruikt om waarschuwingen te ontvangen voor inkomende raketten gericht op Israël. Hoewel de vervalste versie van de app de beloofde functionaliteiten biedt, installeert deze ook spionagesoftware op de achtergrond. Deze nepversie is in opkomst sinds Hamas vorige week een aanval lanceerde in Zuid-Israël. De toegenomen interesse in de app wordt door hackers misbruikt om de vervalste versie te verspreiden, waarin spionagesoftware is ingebouwd. Het APK-bestand van deze versie wordt aangeboden op een valse website, genaamd "redalerts[.]me", die recentelijk op 12 oktober 2023 is aangemaakt. De iOS-downloadlink op deze website leidtnaar de legitieme versie in de Apple App Store, terwijl de Android-knop direct het kwaadaardige APK-bestand downloadt. Onderzoek door Cloudflare heeft aangetoond dat deze malafide versie aanvullende permissies vraagt, zoals toegang tot contacten, SMS-content, geïnstalleerde software, belgeschiedenis en meer. Zodra de app is geïnstalleerd en geopend, start er een achtergrondservice die misbruik maakt van deze permissies om data te verzamelen en te uploaden naar een vooraf ingesteld IP-adres. Om jezelf te beschermen tegen deze spionagesoftware, is het belangrijk om de gevraagde app-permissies te controleren bij installatie. De valse website is op het moment van schrijven offline, maar het is waarschijnlijk dat de bedreigingsactoren naar een nieuwe domeinnaam zullen overschakelen. (bron, bron2, bron3)


Cybercriminelen Bieden Gecompromitteerde Israëlische Veiligheidsgegevens Te Koop aan voor $15.000

Een dreigingsactor genaamd "blackfield" heeft geprobeerd om gecompromitteerde informatie van Israëlische beveiligingsorganisaties te verkopen op een Russischtalig cybercrimineel forum genaamd RAMP. De aangeboden dataset bevat persoonlijk identificeerbare informatie (PII), foto's en sociale media links van leden van de Israëlische Defensiekracht en de Israëlische Veiligheidsdienst. Het cybersecuritybedrijf ZeroFox rapporteert dat de prijs voor deze databundel is vastgesteld op $15.000. De transactie zou plaatsvinden via een escrow-service om te zorgen dat aan specifieke voorwaarden wordt voldaan. ZeroFox suggereert dat het zeer waarschijnlijk is dat "blackfield" vooral financieel gewin zoekt, eerder dan ideologische redenen, vooral omdat de data te koop wordt aangeboden in plaats van gratis te delen. De waarde van deze gecompromitteerde informatie wordt naar verwachting verhoogd door de recente vijandelijkheden tussen Israël en Hamas. Volgens onderzoekers is de vraagprijs voor deze hoeveelheid data hoger dan gemiddeld. ZeroFox geeft aan dat de data waarschijnlijk is verkregen via credential stuffing aanvallen tegen sociale media profielen. Ze merken ook op dat het aannemelijk is dat de dreigingsactor over aanvullende informatie beschikt waarmee leden van de Israëlische Defensiekracht en de Israëlische Veiligheidsdienst geïdentificeerd kunnen worden. Een andere dreigingsactor op het forum, bekend als "achillesec", heeft interesse getoond in de gecompromitteerde data. "Achillesec" wordt vermoedelijk in verband gebracht met ransomware-aanvallen.


❗️Belgische Senaat opnieuw Getroffen door DDoS-aanval; Russische Groep Claimt Verantwoordelijkheid

De website van de Belgische Senaat is deze zondag opnieuw offline gegaan door een DDoS-aanval. De Russische groepering 'NOName057' zegt verantwoordelijk te zijn. Experts en autoriteiten zijn bezig met onderzoek en werken aan herstel. (bron)

Op 15 oktober 2023 meldde het Belgische nieuwsmedium Le Soir dat verschillende websites van openbare diensten in België zijn getroffen door cyberaanvallen. De SPF Finance was een van de belangrijkste getroffen diensten en communiceerde hierover via social media. Ook de website van het Koninklijk Paleis was niet toegankelijk. Eerder die week, op donderdag, hadden al meerdere websites van Belgische instellingen last van een DDoS (Distributed Denial of Service) aanval. Hierbij waren ook websites van de premier en de senaat tijdelijk niet bereikbaar. Interessant was het bericht in het Engels dat op de homepage van een van de websites verscheen. Dit bericht verwees naar een belofte die België aan Oekraïne had gedaan om in 2025 F-16's te sturen. Dit suggereert mogelijk een politieke motivatie achter de aanvallen. De aanvallen lijken sindsdien te zijn afgenomen en de getroffen websites werken weer naar behoren. De incidenten roepen echter vragen op over de digitale veiligheid van overheidswebsites en instellingen. Hoewel er geen verdere details werden gegeven over de oorzaak of de daders van deze cyberaanvallen, onderstreept het de groeiende kwetsbaarheid van online infrastructuren en het belang van robuuste cyberveiligheidsmaatregelen. (bron)


AI-algoritme beschermt onbemande militaire voertuigen tegen 'man-in-the-middle' aanvallen

Onderzoekers van de Universiteit van Zuid-Australië en de Charles Sturt University hebben een algoritme ontwikkeld om zogenaamde 'man-in-the-middle' (MitM) cyberaanvallen op onbemande militaire robots te detecteren en onderscheppen. Een MitM-aanval vindt plaats wanneer de dataverkeer tussen twee partijen, zoals de robot en zijn legitieme bestuurders, wordt onderschept met het doel om te spioneren of valse data te injecteren. Dit soort aanvallen kan de werking van onbemande voertuigen verstoren, de verzonden instructies wijzigen en in sommige gevallen zelfs de controle overnemen om gevaarlijke acties uit te voeren. Het Robot Operating System (ROS), dat deze voertuigen gebruiken, is uitermate kwetsbaar voor cyberaanvallen vanwege zijn sterk genetwerkte aard. De onderzoekers hebben een machine learning-gebaseerdalgoritme ontwikkeld dat deze aanvallen in enkele seconden kan detecteren en neutraliseren. In tests met een replica van de GVR-BOT, die door het Amerikaanse leger wordt gebruikt, bleek het algoritme in 99% van de gevallen succesvol met een vals-positief ratio van minder dan 2%. Het algoritme maakt gebruik van een reeks methoden, waaronder het analyseren van netwerkverkeer en packet metadata, en is gebaseerd op een diepgaand convolutioneel neuraal netwerk (CNN). De onderzoekers zijn van plan om de effectiviteit van hun intrusion detection systeem verder te onderzoeken op verschillende soorten robotische platforms, zoals onbemande luchtvoertuigen. Het algoritme biedt mogelijkheden voor toekomstige toepassingen in vergelijkbare, maar meer veeleisende robotische systemen. (bron)

Trusted Operations Of A Military Ground Robot In The Face Of Man In The Middle Cyber Attacks Using Deep Learning Convolutional Neural Networks Real Time Experimental Outcomes
PDF – 3,6 MB 15 downloads

Russische Hackers Vallen 13 EU-Luchthavens Aan; Diensten Verstoord

Russische hackers, bekend onder de naam Killnet, hebben 13 EU-luchthavens getroffen met een cyberaanval. De aanval heeft geleid tot het offline gaan van verschillende diensten, waaronder vluchtschema's en -statusupdates. Reizigers en luchthavenpersoneel ondervinden hinder en worden aangeraden extra waakzaam te zijn. De groep maakte hun actie bekend op het darkweb en Telegram, onderstrepend de ernst van de situatie.


❗️Belgische Overheidswebsites Getroffen door Gecoördineerde Cyberaanval

Meerdere Belgische overheidswebsites, waaronder die van het Koninklijk Paleis, de premier en de Senaat, zijn recentelijk het doelwit geworden van een cyberaanval. Het Centrum voor Cybersecurity België (CCB) bevestigde de aanval en meldde dat het tijdens de voormiddag een aanstaande aanval had ontdekt. Hierdoor kon het de relevante autoriteiten op tijd waarschuwen. De Kanselarij van de premier nam preventieve maatregelen die effectief bleken in het beperken van ernstige schade. Bezoekers van de getroffen websites zagen een boodschap in het Engels, die verwees naar de Belgische steun aan Oekraïne en een belofte om F-16's te leveren in 2025. De boodschap vermeldde ook de intentie om "Rusland-hatende sites" in België te vernietigen. Hoewel er gespeculeerd wordt dat de aanval uit Rusland afkomstig kan zijn, is dit niet officieel bevestigd. Het CCB heeft aangegeven tevreden te zijn over de werking van de genomen preventiemaatregelen. Er is echter nog geen bevestiging over de daadwerkelijke herkomst van de aanval. De situatie legt de kwetsbaarheid van kritieke infrastructuur en overheidsinstellingen bloot en onderstreept het belang van constante waakzaamheid en preventieve maatregelen op het gebied van cybersecurity. (bron)


❗️Russische Cyberaanval Viseert Belgische Websites als Vergelding voor Steun aan Oekraïne

Donderdagnamiddag hebben verschillende belangrijke Belgische websites te maken gehad met een cyberaanval. De websites van onder andere het Koninklijk Paleis, premier De Croo en de Belgische Senaat waren hierdoor onbereikbaar. De aanval wordt toegeschreven aan Russische hackers, die volgens een boodschap op de getroffen websites, wraak nemen voor de steun die België heeft beloofd aan Oekraïne. Deze steun omvat onder meer een financiële bijdrage van 1,7 miljard euro en de belofte om F-16's te leveren in 2025. De boodschap van de hackers, die zichzelf NoName057 noemen, was duidelijk. Ze beweren naar België te zijn gekomen om "Rusland-hatende sites te vernietigen". De aankondiging dat België aanzienlijke steun zou verlenen aan wat de hackers "Oekraïense neonazi’s" noemen, was voor hen de aanleiding om tot deze vergeldingsactie over te gaan. De cyberaanvallen beperkten zich niet alleen tot Belgische instellingen. Eerder op de dag waren er ook aanvallen op Duitse en Roemeense websites. Op het moment van schrijven was de website van de Belgische Senaat nog steeds niet bereikbaar. Het is een zorgwekkende ontwikkeling die de kwetsbaarheid van digitale infrastructuur onderstreept, niet alleen in België maar ook in andere Europese landen. De aanval komt op een moment dat geopolitieke spanningen hoog oplopen, met onder meer de situatie in Oekraïne die aanleiding geeft tot internationale bezorgdheid. Het zet tevens vraagtekens bij de cyberveiligheid van overheidswebsites en roept op tot verhoogde waakzaamheid en beveiliging.


Billboards in Israël gehackt

In een recente ontwikkeling zijn twee slimme billboards in of nabij Tel Aviv gehackt om kortstondig pro-Hamas-berichten te vertonen. Dit gebeurt in een context waarin Israël te maken heeft met groeiende cyberbeveiligingsbedreigingen, aangewakkerd door het lopende conflict met Hamas. Volgens Gil Messing van Check Point Software Technologies werden de billboards een paar minuten overgenomen om "anti-Israëlische, pro-Hamas-beelden" te laten zien. De CEO van CTV Media Israel, het bedrijf dat eigenaar is van de billboards, meldde dat de netwerken tijdelijk open moesten worden gezet, wat het moment was waarop ze werden gecompromitteerd. Maar dat is niet alles. Eerder deze week werd Ono Academic College, een school nabij Tel Aviv, het slachtoffer van een omvangrijke cyberaanval. Een hackersgroep, die beweert uit Jordanië te komen, heeft ongeveer 250.000 persoonlijke records van werknemers, studenten en anderen gepubliceerd op Telegram. De school heeft haar systemen tijdelijk offline moeten halen en is bezig met het aanpakken van de situatie in samenwerking met nationale cyberautoriteiten. Het merendeel van de cyberaanvallen die Check Point sinds afgelopen zaterdag heeft geobserveerd, betreft ofwel het aanpassen van websites ofwel kortstondige DDoS-aanvallen. De firma houdt ook toezicht op groepen die dreigen met aanvallen op kritieke infrastructuur, zoals waterbeheerbedrijf Mekorot. Meer dan 40 groepen zijn momenteel bezig met, of beweren bezig te zijn met, cyberaanvallen. Deze dreigingen zijn vooral gericht op het creëren van angst en ongemak, en zijn niet per se uit op aanzienlijke schade, aldus Messing. Deze incidenten onderstrepen het groeiende belang van cyberbeveiliging in een tijd van geopolitieke spanningen en conflicten. (bron)


Inbreuk op Israël's Raketwaarschuwingsapp Red Alert

De Israëlische raketwaarschuwingsapp "Red Alert" is recentelijk het doelwit geworden van een cyberaanval, uitgevoerd door de pro-Palestijnse hacktivistische groep AnonGhost. Volgens onderzoekers van cybersecurityfirma Group-IB maakten de aanvallers gebruik van een kwetsbaarheid in de Application Programming Interface (API) van de app om valse meldingen te sturen naar de gebruikers. Ze verstuurden berichten die beweerden dat er een nucleaire aanval aanstaande was. De aanvallers deelden informatie over hun activiteiten op hun officiële Telegram-kanaal en claimden dat alle 10.000 tot 20.000 gebruikers van de app de valse berichten zouden hebben ontvangen. Hoewel de app-ontwikkelaars nog niet hebben gereageerd op de situatie, is de app inmiddels verwijderd uit de Google Play Store. Na deze eerste aanval kondigde AnonGhost aan dat zeook andere populaire raketwaarschuwingsapps hadden aangevallen, zoals RedAlert door Elad Nava en Red Alert door Cumta. Volgens ontwikkelaars van deze andere apps functioneren ze echter nog normaal. De aanval komt in een tijd van verhoogde cyberactiviteit rond het Israëlisch-Palestijnse conflict, waarbij verschillende hacktivistische groepen zich mengen in de situatie. Eerdere aanvallen op Israëlische overheidswebsites en andere cyberaanvallen hebben het conflict naar een nieuw digitaal front getild. Deze aanval roept ook ethische vragen op over het label 'hacktivisme', aangezien het gericht was op een app die ontworpen is om burgers te beschermen tegen raketaanvallen, wat meer lijkt op cyberterrorisme dan op politiek gemotiveerde hacktiviteit.


Russische Hacktivistengroep Richt Zich op Israëlische Industriële Controlesystemen

Het Russisch gelinkte hacktivistencollectief Anonymous Sudan heeft meerdere aanvallen uitgevoerd op Israël's Industriële Controle Systemen (ICS) in een poging om kritieke infrastructuur te verstoren. In een bericht op hun Telegram-kanaal kondigden de hackers aan dat ze het Global Navigational Satellite System (GNSS), Building Automation and Control Networks (BACNet), en Modbus Industrial Control Systems van Israël tot hun nieuwste doelwitten hebben gemaakt. Door het GNSS aan te vallen, kunnen verschillende GPS-systemen in het land offline gaan, wat invloed kan hebben op industriële systemen, kritieke infrastructuur en andere machines. Aanvallen op BACNet-systemen kunnen leiden tot energiepieken, evacuaties van gebouwen en computeruitval. Modbus Industrial Control Systems, die essentieel zijn voor het functioneren van kritieke infrastructuursystemen zoals elektriciteit, water, olie en gas, zijn ook doelwit van de groep. Onderzoek van Cybernews toonde aan dat honderden ICS-systemen, zowel in Israël als in Palestijnse gebieden, kwetsbaar zijn omdat ze online zijn blootgesteld. De behoefte aan real-time communicatie en monitoring van industriële systemen heeft ertoe geleid dat SCADA-software, die vroeger geïsoleerd was, nu netwerkgebonden en kwetsbaar is voor aanvallen. Mantas Sasnauskas, hoofd van Cybernews security research, stelt dat veel hacktivisten, zoals Anonymous Sudan, zich richten op diverse ICS-systemen om kritieke infrastructuur te verstoren en internationale aandacht te trekken. Anonymous Sudan, dat ook bekend staat om het aanvallen van 'zachtere' doelen, heeft de verantwoordelijkheid opgeëist voor het neerhalen van de grote Israëlische nieuwswebsite, The Jerusalem Post. Ze zijn een van de vele Russische hacktivistengroepen die zich richten op westerse en NAVO-landen als vergelding voor hun steun aan Oekraïne.


Scholen in Israël waarschuwen ouders voor gevaarlijke content op sociale media

Scholen in Israël hebben ouders gewaarschuwd om bepaalde sociale media apps, waaronder TikTok en Instagram, te verwijderen van de mobiele telefoons van hun kinderen. Deze waarschuwing komt in het licht van de recente aanvallen van Hamas, waarbij gruwelijke video's van gegijzelden worden gepost. Het verontrustende materiaal is niet alleen beperkt tot Israël; scholen in de VS en het VK hebben vergelijkbare waarschuwingen verspreid. Berichten afkomstig van Joodse scholen dringen er bij ouders op aan het gebruik van sociale media te beperken om eventueel psychologisch leed bij kinderen te voorkomen. "Verwijder TikTok en Instagram van de mobiele telefoons van uw kinderen," luidt een van de berichten. Lokale psychologen en zelfs de Israëlische overheid ondersteunen dit advies. Ook de Europese Unie heeft zich gemengd in de discussie en een brief gestuurd naar Elon Musk, de eigenaar van een niet-gespecificeerd social media platform, met de waarschuwing dat het platform illegale content en desinformatie mogelijk maakt. Er is enige kritiek op het massaal verwijderen van apps, omdat sommigen dit zien als censuur. Aan beide kanten van het spectrum wordt nu de roep om regulering van social media sterker. De waarschuwingen komen te midden van een gespannen situatie in het Midden-Oosten. Na verrassingsaanvallen door Hamas zijn naar schatting minstens 1.200 mensen gedood en duizenden gewond geraakt. Hamas houdt mogelijk zo'n 150 mensen gegijzeld in Gaza, terwijl ook bijna 1.200 Palestijnen zijn omgekomen door luchtaanvallen.


Palestijnse militanten financieren activiteiten via cryptocurrency

In een recente ontwikkeling hebben Palestijnse militante groepen zoals Hamas en de Palestijnse Islamitische Jihad (PIJ) cryptocurrency gebruikt om tientallen miljoenen dollars aan fondsen te verzamelen. Deze financiële transacties zijn gelinkt aan Hezbollah en een gesanctioneerde Russische crypto-exchange. Hoewel Israëlische autoriteiten actie hebben ondernomen om bekende Hamas-accounts te bevriezen, is het in beslag nemen van een crypto-wallet complexer dan het lijkt. De activiteiten kwamen aan het licht na de meest brutale aanval van Hamas in jaren op Zuid-Israël. De aanval leidde tot vragen over hoe de militante groepen hun operaties financierden. Uit nader onderzoek bleek dat deze groepen hun geld verplaatsen via verschillende blockchains en diensten om detectie door wetshandhavingsinstanties te ontwijken. Een totaal van 26 Tron-wallets en 67 klantaccounts bij virtuele activa-uitwisselingen die behoren tot PIJ werden op 4 juli in beslag genomen door het Israëlische Nationale Bureau voor Bestrijding van Terrorisme Financiering (NBCTF). Deze accounts bevatten crypto ter waarde van $94 miljoen. Bovendien zijn transacties binnen de in beslag genomen accounts gelinkt aan PIJ, Hamas en Hezbollah via illegale geldservices zoals de Russische exchange Garantex en de gedecentraliseerde exchange Sunswap. Ondanks samenwerking met crypto-exchange Binance om meer accounts te bevriezen, blijven sommige wallets actief. De mogelijkheid om terroristische financieringsactiviteiten op de blockchain op te sporen en te verstoren zal een cruciaal element zijn in toekomstige responsen. Tegelijkertijd zijn er bredere inspanningen van de internationale gemeenschap om het gebruik van crypto voor terroristische financiering aan banden te leggen. De complexiteit van het volgen en in beslag nemen van cryptocurrency maakt het een aantrekkelijke optie voor militante groepen, en het is duidelijk dat een meer gecoördineerde en technologisch geavanceerde aanpak vereist is om deze groeiende dreiging tegen te gaan. (bron)


Beperkingen van AI en High-Tech Surveillance Blootgelegd door Hamas-aanval op Israël

Op 27 september, een week voor de grootste verrassingsaanval van Hamas op Israël sinds de Jom Kippoeroorlog van 1973, demonstreerden Israëlische functionarissen hun gebruik van kunstmatige intelligentie (AI) en high-tech surveillance aan de militaire commissie van de NAVO. Deze technologieën, die ook in de Gaza-oorlog van 2021 werden ingezet, faalden echter om voorafgaande waarschuwing te geven voor de recente aanval van Hamas. Het resultaat is een tragische menselijke tol en een belangrijke mislukking van inlichtingen die naar verwachting jarenlang zal worden bestudeerd. De aanval resulteerde in honderden doden aan beide zijden en overliep verschillende voorwaartse Israëlische militaire posities en gemeenschappen nabij Gaza. Amerikaanse en bondgenootschappelijke inlichtingendiensten, die eerdersuccesvol waarschuwden voor de Russische invasie van Oekraïne in februari 2022, werden ook verrast. Een voormalige westerse inlichtingenfunctionaris suggereerde dat Hamas de aanval had kunnen uitvoeren zonder een dataspoor achter te laten of dat de aanwijzingen wel aanwezig waren maar niet werden geïnterpreteerd. Ondanks de intensieve en geavanceerde surveillance-inspanningen van Israël in Gaza, die variëren van drones die gezichtsherkenning gebruiken tot elektronische afluisterpraktijken, bleek menselijke activiteit in een dichtbevolkte stedelijke omgeving zoals Gaza zelden eenvoudig te interpreteren. Deze gebeurtenissen werpen vragen op over de overmoed van de Israëlische autoriteiten in hun technologische capaciteiten en dienen als een waarschuwing voor andere regeringen die steeds meer vertrouwen op AI voor inlichtingenanalyse.


EU Waarschuwt Elon Musk Over Misinformatie op Platform X Tijdens Israël-Hamas Conflict

De Europese Unie (EU) heeft een brief gestuurd naar Elon Musk, oprichter en eigenaar van het socialemediaplatform X, waarin wordt gewaarschuwd dat het platform illegale inhoud en desinformatie toestaat, met name in de nasleep van de aanvallen van Hamas op Israël. Thierry Breton, de EU-commissaris voor de Interne Markt, heeft Musk publiekelijk opgeroepen om de handhavingsbeleid van X te actualiseren in lijn met de Europese techwetgeving. De aanleiding voor de brief is de verspreiding van verkeerde informatie na recente aanvallen door Hamas, de Palestijnse militante groep. Breton benadrukt dat de Digital Services Act (DSA) van de EU specifieke verplichtingen stelt met betrekking tot contentmoderatie. Het platform X, voorheen bekend als Twitter, kreeg specifieke aandacht omdat de kwaliteit van informatie dramatisch is verslechterd sinds Musk de toegang tot blauwe vinkjes, oorspronkelijk bedoeld voor geverifieerde journalisten en experts, heeft opengesteld voor iedereen die betaalt voor een maandabonnement. Hierdoor kan nu een groot aantal mensen zich voordoen als media-outlet of objectieve analist. In zijn reactie vroeg Musk om een lijst van vermeende overtredingen, waarop Breton antwoordde dat Musk zich maar al te goed bewust zou moeten zijn van de meldingen van gebruikers en autoriteiten over valse inhoud en verheerlijking van geweld. Het algoritme van het platform zou bovendien de inhoud van betalende gebruikers boven die van anderen promoten, wat het probleem verergert. Het artikel benadrukt de noodzaak voor platforms zoals X om meer verantwoordelijkheid te nemen voor de inhoud die zij hosten, vooral gezien de potentieel ernstige gevolgen van het verspreiden van misinformatie.


Cyberaanval op Donatieplatform United Hatzalah Verstoort Inzameling Medische Benodigdheden

Het donatieplatform van United Hatzalah, een Israëlische organisatie die medische benodigdheden en hulp biedt, is onlangs getroffen door een cyberaanval. De aanval vond plaats op een moment dat meerdere Israëlische websites doelwit zijn van cyberaanvallen, sinds het begin van het conflict tussen Hamas en Israël. Hoewel de bron van de aanval nog niet bevestigd is, heeft de aanval geleid tot een verlies van honderdduizenden dollars aan donaties die bedoeld waren voor levensreddende medische apparatuur. Eli Beer, de president en oprichter van United Hatzalah, benadrukte de ernst van de situatie. Volgens hem verhindert de cyberaanval de organisatie om hun vrijwilligers in het veld te bevoorraden en om levens te redden. Hij verzekerde dat ze alles in het werk stellen om het probleem zo snel mogelijk op te lossen. Interessant is dat de aanval geen hack was in de traditionele zin. Het betrof een zogeheten 'overstromingsaanval' die het systeem overspoelde met tienduizenden verzoeken per seconde. Hierdoor werd de toegang tot de website en de mogelijkheid om te doneren geblokkeerd. De organisatie heeft een nieuwe website opgezet om geïnteresseerden alsnog de kans te geven om te doneren. Deze cyberaanval toont aan dat, naast directe militaire en humanitaire implicaties, ook indirecte kanalen zoals donatieplatforms kwetsbaar zijn in tijden van conflict. Het benadrukt het belang van cyberbeveiliging, niet alleen voor overheidsinstellingen maar ook voor non-profitorganisaties die in crisisgebieden werken. (bron)


Desinformatie Probleem op Social Media Belicht Tijdens Israel-Hamas Conflict

In de aanhoudende crisis tussen Israël en Hamas speelt desinformatie op sociale media, met name op het platform X (voorheen bekend als Twitter), een onmiskenbare rol. Het platform kampt met een bijna niet-bestaande inhoudsmoderatie, waardoor valse informatie en propaganda zich snel verspreiden. Justin Peden, een onderzoeker op het gebied van Open Source Intelligence (OSINT), en onafhankelijke onderzoekers merken op dat deze desinformatie het moeilijk maakt voor mensen om een goed beeld te krijgen van de situatie, vooral voor degenen die gewend zijn hun nieuws via sociale media te consumeren. Een Israëlisch analysebedrijf genaamd Cyabra heeft ontdekt dat er een aanzienlijk aantal valse accounts zijn die pro-Hamas propaganda verspreiden. Shayan Sardarizadeh, een journalist bij BBC Verify, bevestigt dat er een "vloedgolf" aan valse berichten is, zelfs van geverifieerde accounts. Daarnaast is het team dat zich bezighoudt met desinformatie en verkiezingsintegriteit op het platform recentelijk teruggebracht tot minder dan tien medewerkers, wat de situatie verder verergert. Bovendien zijn er recente wijzigingen doorgevoerd die externe links moeilijker te onderscheiden maken en heeft Elon Musk, de eigenaar van het platform, labels van door de staat gerunde propaganda-accounts verwijderd. Dit alles draagt bij aan de verspreiding van desinformatie in een tijd waarin een parallel cyberconflict ook aan het opwarmen is. Het platform heeft wel stappen ondernomen om Hamas-gerelateerde accounts te verwijderen en een nieuw Community Notes-functie geïntroduceerd om context toe te voegen aan misleidende berichten, maar het probleem blijft nijpend. (bron)


Cybercriminelen Misbruiken Bezorgdheid over Vermiste Familieleden in Israël voor Chantage via WhatsApp

In de nasleep van de recente aanvallen door Hamas op Israël, worden Israëliërs die op zoek zijn naar hun vermiste familieleden in het zuiden van het land, het doelwit van cybercriminelen. Deze criminelen maken misbruik van de wanhopige situatie door nepberichten via WhatsApp te sturen, waarin zij beweren cruciale informatie te hebben over de gijzelaars in Gaza. Israël's Nationale Cyber Directoraat heeft bevestigd dat deze families berichten ontvangen van afzenders die claimen belangrijke informatie te hebben. De instructies zijn duidelijk: negeer dergelijke berichten, blokkeer de afzender en rapporteer het aan WhatsApp. De daders van deze zwendel zijn waarschijnlijk afkomstig uit Jordanië en beweren nauwe banden te hebben met de Palestijnen in Gaza. Ze vragen een 'bewijsvergoeding' van ongeveer 1.000 shekels (omgerekend $255) om de informatie door te geven aan de families. De cybercriminelen lijken publiekelijk beschikbare berichten en foto's van vermiste personen op Facebook en andere sociale netwerken te gebruiken om hun claims geloofwaardiger te maken. Dit alles vindt plaats tegen de achtergrond van een zeer gespannen situatie waarin al meer dan 700 mensen zijn omgekomen in Israël sinds het begin van de aanvallen door Hamas, waaronder 260 op een muziekfestival. Daarnaast hebben Israëlische luchtaanvallen op Gaza geleid tot bijna 500 doden. Er is ook sprake van een parallelle cyberoorlog, waarbij verschillende Israëlische organisaties zijn aangevallen door hacktivisten en cyberbendes zoals Killnet, een beruchte Russische hackersgroep. (bron)


Microsoft Identificeert Hamas-Gelieerde Cybergroep die Israël Doelwit Maakt

Microsoft heeft recent een Gaza-gebaseerde cybergroep geïdentificeerd, bekend als Storm-1133, die betrokken is bij aanvallen op de Israëlische infrastructuur. Deze activiteiten vonden plaats voorafgaand aan de militaire aanvallen van Hamas op Israël. De cybergroep richtte zich specifiek op de Israëlische private sector, inclusief energie, defensie en telecommunicatieorganisaties. Volgens Microsoft dient deze groep de belangen van Hamas, de de facto regeringsautoriteit in de Gazastrook. In het onlangs vrijgegeven jaarlijkse Digital Defense Report beschreef Microsoft een 'golf van activiteit' van deze Palestijnse dreigingsactoren in 2023. Behalve Israëlische organisaties waren ook entiteiten loyaal aan Fatah, de dominante Palestijnse politieke factie in de Westelijke Jordaanoever, een doelwit van deze groep. Microsoft merkte op dat Storm-1133 nieuwe technieken toepaste om detectie te omzeilen. Ze probeerden derden te compromitteren met publieke banden met Israëlische doelen en voerden social engineering campagnes uit, onder meer door vervalste LinkedIn-profielen te gebruiken. Het doel was om malware te verzenden naar werknemers bij Israëlische defensie-, ruimtevaart- en technologieorganisaties. Tegelijkertijd wees het rapport op een bredere context van cyberactiviteiten in het Midden-Oosten. Israël blijft het meest getroffen land in de regio, met Iran als belangrijke speler in anti-Israëlische cyberactiviteiten. Iran coördineert zijn cyberoperaties steeds meer met Rusland en wordt steeds geavanceerder, net als Noord-Koreaanse staatsactoren. Deze bevindingen tonen aan dat het cyberlandschap steeds complexer en geavanceerder wordt, met statelijke en niet-statelijke actoren die nieuwe methoden toepassen om hun doelen te bereiken.


Cyberaanvallen in Israëlisch-Palestijns Conflict: Meerdere Websites Overgenomen

Tientallen Israëlische en Joodse websites zijn gehackt door pro-Palestijnse hackersgroepen, waaronder het Islamic Hacker Army. De aanvallers hebben de voorpagina's van de websites vervangen door Palestijnse vlaggen en berichten die steun uitspreken voor Palestina. Eén van de leiders van deze hackersgroepen verklaarde: "Onze aanvallen op de zionisten zullen niet stoppen totdat ze Palestina verlaten." De aanvallen maken deel uit van een breder offensief genaamd 'Operation Israel', dat als doel heeft om zoveel mogelijk Israëlische online doelen te compromitteren. De gehackte websites variëren van bedrijven tot informatievoorzieningen, en er is ook een aanval gepleegd op een Joodse community in Duitsland. Voor zover bekend zijn er geen Nederlandse websites getroffen. Naast het overnemen van websites worden ook DDoS-aanvallen uitgevoerd, waardoor websites tijdelijk onbereikbaar worden. De Jerusalem Post, een bekende Israëlische krant, en diverse Israëlische overheidswebsites zijn hierdoor getroffen. Anonymous Syria, een andere groep betrokken bij de aanvallen, is gespecialiseerd in deze DDoS-aanvallen. Het is niet eenzijdig; er zijn ook pro-Israëlische digitale aanvallen waargenomen. Deze omvatten DDoS-aanvallen op de Universiteit van Gaza en het Palestijnse ministerie van Buitenlandse Zaken. Daarnaast is er een datalek gemeld waarbij de persoonlijke gegevens van 3,5 miljoen Palestijnen zijn verspreid. De situatie toont een verontrustende escalatie van cyberaanvallen als middel om politieke boodschappen over te brengen in het reeds gespannen Israëlisch-Palestijns conflict. (bron: anoniem)


Anonymous-affiliaties lekken omvangrijke Rusland-gerelateerde data via Discord

Hackers geaffilieerd met het Anonymous-collectief hebben een schat aan gegevens over Russische belangen gelekt op het Discord-platform. De gelekte informatie omvat alles van accounts die propaganda verspreiden tot gevoelige data van de Russische ruimtevaartorganisatie Roscosmos. De hackers gebruiken Discord om zowel aanvallen te coördineren als om data te delen. Een bericht op hun Discord-server roept zelfs op tot het verstoren van het Russische internet in de Krim en het platleggen van enkele Russische luchtvaartmaatschappijen. De omvang van de verzamelde data is enorm en is op verschillende manieren vergaard, waaronder Open-Source Intelligence (OSINT) methoden. De gegevens zijn georganiseerd in honderden mappen met namen van specifieke organisaties, zoals "Roscosmos," of types van gegevens, zoals corrupte functionarissen en kwetsbare CCTV-camera's in Rusland. Technischere informatie die is gelekt, kan waardevol zijn voor diegenen die acties achter de vijandelijke linies plannen of de bewegingen van Russische militaire activa willen volgen. Het Cybernews-onderzoeksteam benadrukt dat de hackers ook interesse hebben in het blootstellen van Ruslands kritieke infrastructuur en prominente Russische publieke figuren, zoals Maria Zakharova en Margarita Simonyan. Ze nemen ook specifieke social media accounts op de korrel die volgens hen Russische propaganda verspreiden. Dit lek komt te midden van verhoogde hacktivistische activiteit gerelateerd aan Ruslands oorlog in Oekraïne, die begon in februari 2022. Anonymous heeft in reactie op deze oorlog een cyberoorlog tegen Rusland verklaard. De gelekte data kan gebruikt worden voor gerichte aanvallen op organisaties en individuen, waardoor het risico op cyberaanvallen toeneemt. Het feit dat dit alles gebeurt op een platform als Discord, dat eerder dit jaar in opspraak kwam voor het lekken van geclassificeerde Amerikaanse defensiedocumenten, benadrukt de veelzijdigheid en risico's van het platform.


Russische Hacktivisten Richten zich op Israëlische Overheid en Media na Dodelijke Aanvallen van Hamas

Na recente dodelijke aanvallen door Hamas-militanten is Israël nu ook het doelwit van cyberaanvallen. Verschillende hacktivistengroepen, waaronder de beruchte Russische groep Killnet, hebben aanvallen uitgevoerd op Israëlische overheids- en mediawebsites. De overheidswebsite gov.il was wereldwijd onbereikbaar, en Killnet nam snel de verantwoordelijkheid op zich via het sociale netwerk Telegram. De groep beschuldigde de Israëlische overheid van steun aan "het terroristische regime in Oekraïne" en van verraad aan Rusland. Killnet benadrukte echter dat hun aanvallen niet gericht zijn tegen de gewone Israëlische burger maar tegen het “regime”. Een andere hacktivistengroep, Anonymous Sudan, die waarschijnlijk Russisch is en niet Soedanees, heeft The Jerusalem Postaangevallen en beweert ook Israël's Iron Dome en verschillende waarschuwingsapplicaties te hebben aangevallen. Daarnaast zijn er ook pro-Israëlische hacktivisten actief; bijvoorbeeld, de officiële Hamas-website werd naar verluidt neergehaald door Indiase hackers. Het cybersecuritybedrijf uit Singapore, Group-IB, meldde dat verschillende dreigingsactorgroepen zijn toegetreden tot het escalerende conflict tussen Israël en Hamas. Dit roept vragen op over de effectiviteit van de Israëlische cyberbeveiliging, die als een van de beste ter wereld wordt beschouwd, vooral na de recente controverse rond het Pegasus-spionagesoftwareprogramma van NSO. De cyberaanvallen komen te midden van een al zeer gespannen situatie, waarbij zowel Israël als Hamas zware verliezen lijden. Het totaal aantal doden aan beide zijden bereikte 600 op zondagavond. Israëlische defensiehoofden staan onder toenemende druk om uit te leggen hoe deze ramp kon gebeuren, ondanks hun geavanceerde inlichtingenapparaat.


Cyberoorlog Tussen Israël en Hamas Escaleert: Hacktivisten Nemen Duizenden Servers Over

De cyberoorlog tussen Israël en de Palestijnse terreurbeweging Hamas is in volle gang, waarbij zowel pro-Israëlische als pro-Palestijnse hacktivisten betrokken zijn. De belangrijkste doelwitten voor deze hackers zijn SCADA-systemen, die industriële processen regelen. Volgens de hackers hebben ze de controle over de IP-routering van meer dan 5.000 servers in de Gazastrook, waardoor ze in staat zouden zijn om kritieke infrastructuur volledig uit te schakelen. Naast fysieke steun in de vorm van vlaggen, demonstraties en hulpgoederen, zien sommige partijen cyberaanvallen als een aanvullende manier om steun te betuigen of chaos te creëren. Kort na de eerste aanvallen zijn er tal van DDoS-aanvallen op Israëlische media- en overheidswebsites gemeld. Bekende hacktivistengroepen zoals ThreatSec en SiegedSec hebben via Telegram aangekondigd beide partijen aan te vallen en hebben al massale aanvallen uitgevoerd op de Israëlische infrastructuur. Mantas Sasnauskas van Cybernews deed onderzoek naar de situatie en ontdekte dat veel industriële controlesystemen (ICS) en SCADA-systemen kwetsbaar zijn. Zijn team vond zo'n vierhonderd 'openbare' ICS- en SCADA-systemen die als aantrekkelijke doelwitten kunnen dienen voor deze hackers. Deze aanvallen kunnen ernstige gevolgen hebben, zoals operationele verstoringen, veiligheidsrisico's, economische kosten en reputatieschade. Daarom is het volgens Sasnauskas cruciaal dat cyberbeveiliging een topprioriteit wordt voor organisaties die met deze systemen werken. (bron)


Marokkaanse Hacktivisten Richten zich op Israëlische Cyberinfrastructuur na Aanval van Hamas

In de nasleep van de verrassingsaanval door de Palestijnse islamitische beweging Hamas op Israël, zijn verschillende hacktivistische groepen, waaronder het Marokkaanse 'Black Cyber Army', actief geworden tegen Israël. Deze groepen hebben operaties gelanceerd onder de namen OPISRAEL en OpIsraelV2 met het doel om Israëlische digitale bronnen te verstoren en chaos te creëren. Deze hacktivistische groepen hebben succesvol een Distributed Denial-of-Service (DDoS) aanval uitgevoerd tegen een institutionele website in Israël. Een dergelijke aanval heeft de potentie om complete steden zonder stroom te zetten. Israël, dat als een van de pioniers op het gebied van cybersecurity wordt gezien en het hoofdkantoor is van talloze wereldwijde cybersecuritybedrijven, zou een tegenaanval kunnen overwegen. Deze recente cyberaanvallen volgen op eerdere acties van GhostSec, een andere hacktivistische groep die vorig jaar beweerde de controle te hebben overgenomen van 55 PLC's van Israëlische industriële organisaties als onderdeel van de "Free Palestine" campagne. Deze aanval was specifiek gericht op Israëlische SCADA/ICS-systemen. De toenemende cyberactiviteiten compliceren de toch al gevoelige verhoudingen tussen Marokko en Israël, vooral in het licht van eerdere politieke ontwikkelingen zoals Marokko's annulering van de Negev Top als reactie op Israëlische expansie. Het is een indicatie van het escalerende cyberlandschap in een regio die al wordt gekenmerkt door geopolitieke spanningen. (bron)


Cyberwar nieuws oorlog gerelateerd

Cyberwar nieuws

“Het is alsof we met twee handen op de rug vechten tegen digitale dreigingen van staten zoals Rusland en China”

De Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) vormt een groot knelpunt voor inlichtingendiensten. Meer dan drie jaar na de invoering van de wetgeving heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) nog altijd geen toegang tot de kabel om bulkdata e verzamelen en analyseren. “Het is alsof we met twee handen op de rug vechten tegen digitale dreigingen van staten zoals Rusland en China.”

Lees meer »

Oorlog in cyberspace in volle gang omtrent situatie Rusland-Oekraïne

Bedrijven, organisaties en veiligheidsexperts zijn bezorgd over de gespannen situatie die momenteel heerst tussen Oekraïne en Rusland. In het verleden hebben spanningen tussen deze landen geleid tot digitale aanvallen in Nederland. Het is niet uit te sluiten dat we in de nabije toekomst hier opnieuw mee geconfronteerd worden.

Lees meer »

Zware cyberaanval op overheidsinstellingen Oekraïne - “Wees bang en bereid u voor op het ergste”

De websites van verschillende Oekraïense ministeries zijn gehackt, en dat net op het moment dat 100.000 Russische troepen klaarstaan aan de grens. Bezoekers van de sites van onder meer het ministerie van Onderwijs en van Buitenlandse Zaken kregen een boodschap in het Oekraïens, Russisch en Pools te zien. Daarin stond dat de persoonsgegevens van alle Oekraïense burgers zijn gewist op de computers van de instanties en dat ze openbaar zullen worden gemaakt. “Wees bang en bereid u voor op het ergste”, klonk het dreigend. Volgens de Oekraïense inlichtingendiensten (SBU) is er voorlopig echter nog geen lek ontdekt. De aanval is nog niet opgeëist.

Lees meer »