Cyberoorlog nieuws 2024 september

Gepubliceerd op 4 oktober 2024 om 10:27

Een terugblik op de digitale slagvelden van september 2024

In september 2024 werd opnieuw duidelijk hoe intens en verwoestend de cyberoorlog is geworden. Over de hele wereld voeren hackersgroepen, vaak gesteund door staten, digitale aanvallen uit op kritieke infrastructuur, bedrijven en zelfs individuen. Deze maand stond in het teken van aanvallen op vitale systemen, van luchthavens tot energiecentrales, terwijl cybercriminelen hun methoden blijven verfijnen. In dit artikel bieden we een overzicht van de belangrijkste gebeurtenissen in de cyberoorlog van de afgelopen maand.

DDoS-aanvallen verstoren Europa’s infrastructuur

In september 2024 werd Europa geconfronteerd met een golf van Distributed Denial of Service (DDoS)-aanvallen, uitgevoerd door verschillende hackersgroepen. Op 23 september claimde de pro-Russische NoName-groep de verantwoordelijkheid voor aanvallen op onder andere het Europees Economisch en Sociaal Comité (EESC) in België en de Europese Bank voor Wederopbouw en Ontwikkeling (EBWO) in het Verenigd Koninkrijk. Deze aanvallen hadden tot doel de diensten van deze instellingen tijdelijk plat te leggen door hun servers te overbelasten met verkeer.

DDoS-aanvallen zijn een bekende tactiek om digitale systemen te verstoren en vitale infrastructuren zoals financiële diensten, transport en overheidsinstanties onbereikbaar te maken. De aanvallen door NoName zijn slechts een deel van een bredere strategie, waarbij hackers Europa proberen te destabiliseren door chaos te veroorzaken in de digitale infrastructuur. Hoewel de aanvallen vaak tijdelijk zijn, tonen ze de kwetsbaarheid van zelfs goed beveiligde netwerken en systemen.

Gerichte aanvallen op kritieke infrastructuren

Naast DDoS-aanvallen werd september ook gekenmerkt door gerichte aanvallen op kritieke infrastructuren in Europa en de Verenigde Staten. Russische hackersgroepen zoals Cadet Blizzard en Ember Bear, beide gelinkt aan de Russische militaire inlichtingendienst GRU, voerden cyberaanvallen uit op energiecentrales en watervoorzieningen. Deze groepen richten zich al sinds 2020 op sabotage en spionage, met als doel gevoelige informatie te stelen en essentiële systemen te verstoren. (lees ook Hack op Nederlandse politie)

Een opmerkelijke aanval vond plaats in New Castle, Delaware, waar de watertorens het doelwit waren van een cyberaanval door de Russian Cyber Army Team. Deze aanval had als doel de watervoorziening te verstoren en angst te zaaien onder de bevolking. Experts waarschuwen dat dergelijke aanvallen deel uitmaken van een bredere strategie om druk uit te oefenen op de Verenigde Staten en hun bondgenoten vanwege hun steun aan Oekraïne. Deze gebeurtenissen onderstrepen de noodzaak voor overheden en bedrijven om hun beveiligingsmaatregelen te versterken en constant waakzaam te blijven.

De opkomst van elektronische sabotage

September 2024 markeerde een nieuwe dreiging op het gebied van elektronische sabotage. In Libanon en Syrië werden leden van Hezbollah slachtoffer van exploderende beepers en portofoons. Deze apparaten waren vermoedelijk door de Israëlische geheime dienst Mossad gemanipuleerd tijdens de productie of distributie. De sabotage werd uitgevoerd door explosieven in de communicatieapparaten in te bouwen, die vervolgens op afstand tot ontploffing werden gebracht via een radiosignaal.

Dit incident toont aan hoe zelfs verouderde technologieën kwetsbaar kunnen zijn voor moderne vormen van sabotage. Waar cyberaanvallen zich traditioneel richten op digitale systemen, opent elektronische sabotage een nieuwe frontlinie in de cyberoorlog. Het maakt duidelijk dat overheden en organisaties niet alleen hun digitale infrastructuur moeten beschermen, maar ook hun fysieke apparaten en toeleveringsketens.

Noord-Koreaanse hackers lanceren nieuwe malware-aanval

In de energiesector werd de dreiging verder vergroot door een reeks aanvallen van de Noord-Koreaanse hackersgroep UNC2970. Deze groep maakte gebruik van de MISTPEN-malware om wereldwijd bedrijven in de luchtvaart en energiesector aan te vallen. De hackers gebruikten geavanceerde phishingmethoden door zich voor te doen als recruiters en managers te benaderen met valse vacatures. Wanneer het slachtoffer een geïnfecteerd bestand opende, werd de MISTPEN-malware geactiveerd, waardoor de hackers toegang kregen tot gevoelige bedrijfsinformatie.

Deze aanval toont het belang aan van verhoogd cyberbewustzijn binnen bedrijven, vooral bij werknemers in hoge functies. Bedrijven in strategische sectoren zoals energie en luchtvaart blijven aantrekkelijke doelwitten voor staatssponsorde hackers, omdat hun systemen vaak cruciale informatie bevatten die van groot belang is voor nationale veiligheid en geopolitieke belangen.

Begrippenlijst: Sleutelwoorden uitgelegd

  • DDoS-aanval: Distributed Denial of Service, een aanval waarbij een groot aantal verzoeken tegelijkertijd naar een server wordt gestuurd, waardoor deze overbelast raakt en tijdelijk niet beschikbaar is.
  • GRU: Russische militaire inlichtingendienst, verantwoordelijk voor geheime operaties en cyberaanvallen wereldwijd.
  • Phishing: Een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als betrouwbare entiteiten om gevoelige informatie, zoals wachtwoorden of bankgegevens, te verkrijgen.
  • MISTPEN-malware: Schadelijke software die is ontworpen om zich in een systeem te nestelen en gevoelige informatie te stelen, specifiek gericht op de energiesector en luchtvaartindustrie.
  • Elektronische sabotage: Het opzettelijk manipuleren van fysieke apparaten, zoals beepers of portofoons, om schade toe te brengen of slachtoffers te verwonden.
  • Supply chain sabotage: Het verstoren van een productieketen door schadelijke componenten toe te voegen aan producten tijdens de productie of distributie.

Hieronder staat het volledige overzicht

LulzSec Black claimt cyberaanvallen op de Emiratische overheid en bedrijven

Het hackerscollectief LulzSec Black, in samenwerking met Jokeir 07x, beweert meerdere cyberaanvallen te hebben uitgevoerd op doelen in de Verenigde Arabische Emiraten (VAE). Een van de belangrijkste aanvallen was gericht op de overheidswebsite skillset.eif.gov.ae, waarbij de groep claimt de controle over de database te hebben overgenomen. De aanvallen zouden een reactie zijn op de normalisatie van relaties tussen Arabische landen en Israël, en worden uitgevoerd ter ondersteuning van Palestina. Naast de overheidswebsite zou ook het bedrijf Alfa Electronics, gespecialiseerd in verlichting en huishoudelijke apparaten, slachtoffer zijn geworden van een datadiefstal. LulzSec Black waarschuwt voor meer en zwaardere aanvallen in de toekomst. Hoewel deze beweringen nog niet onafhankelijk zijn geverifieerd, roept dit incident bezorgdheid op over de beveiliging van kritieke infrastructuren in de VAE. De getroffen partijen hebben tot nu toe niet officieel gereageerd op de beschuldigingen.

Defensie lanceert Cyber Academy om cybercapaciteit te vergroten

Het ministerie van Defensie heeft een Cyber Academy opgezet om de cybercapaciteit van de krijgsmacht te versterken. Deze nieuwe academie maakt deel uit van de bredere investeringen in het cyberdomein, zoals aangekondigd in de Defensienota van 2024. De nadruk ligt op het verhogen van de digitale weerbaarheid van Defensie en het trainen van personeel in cyberbewustzijn en veiligheid. De Cyber Academy richt zich op het opleiden van zowel nieuwe als bestaande medewerkers om cyberdreigingen beter het hoofd te bieden. Daarnaast wordt het Cyber Warfare & Training Centre verder ontwikkeld om defensiebreed opleidingen te kunnen aanbieden. Het Defensie Cyber Commando, opgericht in 2014, zal ook worden uitgebreid om de operationele slagkracht van Defensie op cybergebied te vergroten. Het doel is om, zelfs tijdens cyberaanvallen of conflicten, veilig en effectief te kunnen opereren. Defensie benadrukt daarbij de noodzaak van gespecialiseerd personeel, waaronder cyberspecialisten en IT-experts. pdf, 1

Amerikaanse Inlichtingendiensten Onderdrukken Russische Desinformatiecampagne voor Verkiezingen 2024

De Amerikaanse FBI heeft 32 websites in beslag genomen die werden gebruikt door het Russische netwerk "Doppelgänger" in een poging de presidentsverkiezingen van 2024 te beïnvloeden. Doppelgänger, gelinkt aan Russische bedrijven onder controle van de Russische regering, voerde desinformatiecampagnes uit door middel van "cybersquatting", waarbij domeinnamen werden geregistreerd die leken op legitieme nieuwssites. De groep verspreidde propaganda ter ondersteuning van pro-Russische belangen en tegen Oekraïne, en probeerde internationale verkiezingen te beïnvloeden.

Met AI gegenereerde nepnieuws en valse social media profielen werden ingezet om specifieke demografische groepen te bereiken. Naast het in beslag nemen van domeinen, heeft de Amerikaanse overheid ook Russische individuen aangeklaagd voor hun betrokkenheid bij deze operatie. De FBI heeft verzekerd dat deze activiteiten geen invloed zullen hebben op de integriteit van het verkiezingsproces. pdf, 1

Rusland gebruikt oude ASML-machines voor wapenproductie

Rusland produceert microchips voor militaire toepassingen met behulp van verouderde machines van ASML, een Nederlandse fabrikant van chipmachines. Deze machines, zoals de PAS 5500 en Twinscan, worden gebruikt voor de productie van chips die geschikt zijn voor wapens zoals drones en raketten, die in de oorlog in Oekraïne worden ingezet. Hoewel ASML door internationale sancties geen nieuwe machines aan Rusland mag leveren, blijkt uit onderzoek dat oudere modellen nog steeds in het land aanwezig zijn. Russische bedrijven houden deze machines operationeel door reserveonderdelen te importeren, voornamelijk via tussenhandelaren uit China. Sinds het begin van de oorlog in Oekraïne zijn er al minstens 170 keer onderdelen geïmporteerd voor deze machines. Hoewel de geproduceerde chips technisch gezien verouderd zijn, zijn ze effectief genoeg voor gebruik in moderne oorlogsvoering. Het exacte aantal machines dat momenteel in Rusland actief is, blijft onbekend. 1

Oekraïense soldaten doelwit van malware voor het stelen van gegevens om GPS-coördinaten te verzamelen

Volgens onderzoek worden smartphones steeds vaker gebruikt om gesprekken van gebruikers af te luisteren, ondanks dat techbedrijven dit blijven ontkennen. Hoewel de microfoon van je telefoon vaak uit lijkt te staan, kan deze op subtiele wijze worden geactiveerd door bepaalde apps, met als doel gepersonaliseerde advertenties te genereren. Dit gebeurt zonder dat de gebruiker het doorheeft. Verschillende bedrijven maken gebruik van deze techniek om gerichter advertenties aan te bieden, gebaseerd op gesprekken en achtergrondgeluiden. Hoewel er geen sluitend bewijs is dat grote bedrijven zoals Google of Facebook direct meeluisteren, zijn er wel incidenten geweest waarbij mediabedrijven openlijk aangaven deze technieken te gebruiken. Privacy-experts waarschuwen gebruikers om bewuster te zijn van de machtigingen die ze aan apps geven en adviseren om regelmatig de instellingen van hun smartphone te controleren. Hierdoor kunnen gebruikers enige controle behouden over hun privacy en de toegang tot hun gegevens beperken. 1

Russische Hackergroep APT28 verdacht van aanval op Duitse luchtverkeersleiding

De Duitse luchtverkeersleiding (DFS) is het doelwit geworden van een cyberaanval, waarbij de kantoorverbinding van DFS werd gehackt. Hoewel de aanvallers toegang kregen tot systemen, werd het luchtverkeer niet verstoord. DFS heeft onmiddellijk beschermende maatregelen genomen en het incident gemeld bij nationale veiligheidsautoriteiten.

Cybersecurity-experts vermoeden dat de aanval afkomstig is van de Russische hackersgroep APT28, ook wel bekend als Fancy Bear. Deze groep, die banden heeft met de Russische militaire inlichtingendienst GRU, is al jaren actief en wordt gelinkt aan verschillende aanvallen op overheden en kritieke infrastructuren wereldwijd. APT28 stond eerder in de schijnwerpers vanwege de cyberaanval op de Duitse Bundestag in 2015 en andere geruchtmakende aanvallen, zoals die tijdens de Amerikaanse presidentsverkiezingen van 2016. Deze recente aanval past binnen een breder patroon van cyberaanvallen gericht op Duitsland en andere Europese landen, waarbij vitale sectoren worden getroffen. 1

Russische militaire hackers gelinkt aan aanvallen op kritieke infrastructuur

Een groep Russische hackers, bekend als Cadet Blizzard en Ember Bear, wordt door de Verenigde Staten en bondgenoten gelinkt aan Unit 29155 van de Russische militaire inlichtingendienst (GRU). Deze hackers zijn verantwoordelijk voor wereldwijde cyberaanvallen op kritieke infrastructuur in verschillende landen, waaronder NAVO-lidstaten. Sinds 2020 richten zij zich op sabotage en spionage, waarbij ze gevoelige informatie stelen en schade toebrengen aan systemen. Vanaf 2022 verschuift hun focus naar het verstoren van hulp aan Oekraïne. Onder meer de verspreiding van WhisperGate-malware, gebruikt in Oekraïne in 2022, wordt aan hen toegeschreven. Er is bewijs dat de hackers gebruikmaken van cybercriminelen buiten de GRU om hun operaties uit te voeren. Het Amerikaanse ministerie van Buitenlandse Zaken looft een beloning uit voor informatie over vijf betrokken GRU-officieren. Organisaties worden gewaarschuwd om hun beveiligingssystemen te versterken en kwetsbaarheden snel te dichten om verdere aanvallen te voorkomen. 1, 2, 3

MIVD waarschuwt voor Russische cyberdreiging tegen westerse hulp aan Oekraïne

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft gewaarschuwd voor Russische cyberoperaties, uitgevoerd door de beruchte GRU-eenheid 29155. Deze eenheid richt zich op het in kaart brengen en verstoren van westerse steun aan Oekraïne, met name overheden en vitale infrastructuur. Volgens de MIVD vormen de cyberoperaties een ernstige dreiging, vooral voor logistieke ketens die betrokken zijn bij het leveren van hulp aan Oekraïne, waarin Nederland een belangrijke rol speelt. Hoewel Nederland nog niet direct slachtoffer is geworden van deze aanvallen, wordt de dreiging steeds groter. De GRU-eenheid 29155 wordt al langer in verband gebracht met destructieve operaties, zoals fysieke sabotage, en staat bekend om haar rol in eerdere incidenten, zoals de vergiftiging van Sergej Skripal. Door de werkwijze van deze groep bloot te leggen, hopen defensiepartners de dreiging te beperken en beter voorbereid te zijn op toekomstige aanvallen. 1

RADNET64 kondigt wereldwijde cyberoorlogscampagne aan

RADNET64, een bekende cybercriminele groepering, heeft plannen aangekondigd voor een wereldwijde cyberoorlog onder de naam "Operatie Iron Mirage". Deze campagne omvat een reeks gecoördineerde cyberaanvallen op meerdere landen, gericht op verschillende vitale sectoren. De aanval op India, bekend als Operatie Bengal Shroud, zal zich richten op kwetsbare IT-infrastructuur, terwijl in Frankrijk Operatie Guillotine Ghost digitale systemen in de bank-, transport- en overheidssector wil verstoren. In het Verenigd Koninkrijk is Operatie Albion's Eclipse gericht op communicatiehubs en financiële systemen. Duitsland wordt getroffen door Operatie Rhine's VEIL, die industriële controlesystemen aanvalt. Details over Operatie Desert Phantom in Israël zijn nog vertrouwelijk. In de VS richt Operatie Eagle's Fall zich op cloudinfrastructuur en toeleveringsketens, met als doel aanzienlijke verstoringen in de economie en defensie te veroorzaken. RADNET64 lijkt hiermee een aanzienlijke dreiging te vormen voor internationale cyberveiligheid.

Anonymous KSA claimt grote datalek bij Indiase overheid

Hacktivistengroep Anonymous KSA beweert toegang te hebben verkregen tot vier computerdatabases van de Indiase overheid. Hierbij zouden zij meer dan 14.000 bestanden hebben buitgemaakt. Onder de gelekte gegevens bevinden zich 2.876 documenten van verschillende Indiase sectoren, 1.451 identiteitskaarten, 510 PDF-bestanden, 247 identiteitsfoto’s en 42 betalingsgegevens. In totaal zijn 1.876 overige bestanden gecompromitteerd. De groep claimt dat ze van plan zijn om 7.000 van deze bestanden openbaar te maken. De authenticiteit van het lek en de gegevens is echter nog niet bevestigd. Dit incident benadrukt opnieuw de kwetsbaarheid van overheidsinstanties voor cyberaanvallen en datalekken. Het roept ook vragen op over de beveiligingsmaatregelen die door de Indiase overheid worden genomen om dergelijke inbreuken te voorkomen.

UserSec Groep Richt Zich Op Frankrijk Met Cyberaanvallen

De hackergroep UserSec heeft aangekondigd dat zij Frankrijk als doelwit hebben gekozen voor hun volgende cyberaanvallen. Dit blijkt uit een recente online post van de groep, waarin zij expliciet aangeven zich te richten op het land. Het is nog onduidelijk welke specifieke sectoren of organisaties getroffen zullen worden, maar dergelijke aanvallen kunnen ernstige gevolgen hebben voor zowel de overheid als private instellingen in Frankrijk. Dergelijke groepen maken vaak gebruik van kwetsbaarheden in netwerken om gevoelige informatie te stelen of kritieke infrastructuren te verstoren. Het is daarom belangrijk dat organisaties en overheidsinstanties extra waakzaam zijn en hun beveiligingsmaatregelen versterken om mogelijke aanvallen af te weren. UserSec staat bekend om hun agressieve aanvallen en dreigingen, wat deze situatie bijzonder zorgwekkend maakt. Frankrijk zal naar verwachting passende tegenmaatregelen nemen om deze dreiging het hoofd te bieden.

EFF waarschuwt voor gebruik van schoollaptops als spionagemiddel

De Electronic Frontier Foundation (EFF) adviseert leerlingen om schoollaptops en andere apparaten die door scholen worden verstrekt te zien als mogelijke spionagetools. Deze apparaten worden vaak uitgerust met monitoringsoftware die het gedrag van leerlingen nauwlettend in de gaten houdt. Scholen installeren deze software om veiligheidsredenen, maar volgens de EFF wordt de privacy van leerlingen hiermee opgeofferd voor onbewezen veiligheidsclaims. De software zou bijvoorbeeld letten op gedrag zoals drugs- en alcoholgebruik, geweld en zelfmoordneigingen.

De EFF benadrukt dat het belangrijk is om schoolapparatuur alleen voor schoolzaken te gebruiken en raadt aan om deze apparaten uit te schakelen wanneer ze niet in gebruik zijn. Bovendien wordt ouders geadviseerd om te letten op het gebruik van gedeelde schoolaccounts op privé-apparaten, aangezien ook die data door de AI-monitoring kan worden gevolgd. De EFF roept scholen op om alternatieven te vinden die de privacy van leerlingen respecteren. 1

RipperSec Openbaart Wereldwijde Hackersalliantie

Het hackerscollectief RipperSec heeft een wereldwijde alliantie onthuld met groeperingen uit 14 verschillende landen, waaronder Rusland, Pakistan, Brazilië, en de Verenigde Staten. Deze alliantie bestaat uit een netwerk van talrijke beruchte hackersgroepen, zoals StucxTeam, 4-Exploitation, en SilentCyberForce. De betrokken groepen opereren vanuit landen zoals Indonesië, Iran, China, en Marokko, en hun activiteiten omvatten onder andere cyberaanvallen en hacktivisme. Deze onthulling werpt een licht op de gecoördineerde aard van wereldwijde cyberdreigingen. Door de samenwerking tussen verschillende groepen verspreid over de hele wereld, wordt duidelijk hoe omvangrijk en goed georganiseerd cybercriminaliteit tegenwoordig is. Dit vormt een significante bedreiging voor de internationale cybersecurity, met een groeiend aantal doelgerichte aanvallen en incidenten die door dit netwerk kunnen worden uitgevoerd.

Chinese Cyberspionagegroep Mustang Panda gebruikt nieuwe malware voor datadiefstal

Een recent rapport onthult dat de Chinese hackersgroep Mustang Panda nieuwe strategieën en malware inzet om gevoelige gegevens van overheidsnetwerken te stelen. De groep, die bekend staat om cyberespionage, gebruikt nu de malwaretools FDMTP en PTSOCKET om informatie te verzamelen en te exfiltreren. Deze tools maken deel uit van een grotere aanvalsketen, waarbij de PUBLOAD-malware via geïnfecteerde USB-sticks verspreid wordt met behulp van de HIUPAN-worm. Deze worm verbergt zijn bestanden op de USB en laat een ogenschijnlijk onschuldig bestand achter om gebruikers te misleiden. Mustang Panda richt zich voornamelijk op overheidsinstellingen in de Azië-Pacific regio, maar opereert ook in andere delen van de wereld. De hackers maken vaak gebruik van spear-phishingcampagnes om toegang te krijgen tot systemen, waarbij ze vervolgens backdoors installeren om meer geavanceerde aanvallen uit te voeren. Deze nieuwe tactieken tonen aan dat de groep haar methoden verder verfijnt om gerichte en tijdgevoelige aanvallen uit te voeren. 1

Pokémon GO beschuldigd van spionagetool door Wit-Russische functionaris

Een functionaris van het Wit-Russische ministerie van Defensie beweert dat het populaire augmented reality-spel Pokémon GO werd gebruikt door westerse inlichtingendiensten om informatie te verzamelen. Alexander Ilanov, hoofd van de ideologische afdeling van het ministerie, stelde tijdens een televisie-interview dat het spel werd ingezet om spionage uit te voeren, met als bewijs dat veel Pokémon verschenen op locaties zoals een militaire luchtmachtbasis. Hoewel er eerder privacyproblemen en misbruik van het spel bekend zijn, is het idee dat Pokémon GO een spionagetool is grotendeels ontkracht. Dit soort beschuldigingen zijn niet nieuw; in het verleden heeft ook Rusland het spel beschuldigd van spionage, en in verschillende andere landen zoals China is het zelfs verboden. Ondanks de ontkenning door de ontwikkelaars, blijft de mogelijkheid van het lekken van locatiegegevens van spelers een zorg, vooral voor militaire doeleinden. 1

DDoS-aanval legt website van London City Airport plat

Op 13 september 2024 werd de website van London City Airport het doelwit van een DDoS-aanval, uitgevoerd door de hackersgroep UserSec in samenwerking met de People's Cyber Army en NoName. Door deze aanval was de website tijdelijk onbereikbaar. Een DDoS-aanval (Distributed Denial of Service) zorgt ervoor dat een website overbelast raakt door een enorme hoeveelheid verzoeken tegelijk, waardoor de normale functionaliteit wordt verstoord. Deze aanval toont opnieuw de kwetsbaarheid van belangrijke infrastructuur voor cyberdreigingen. Het is nog niet duidelijk of er verdere schade is aangericht of hoelang de website offline zal blijven. London City Airport heeft nog geen officiële verklaring afgegeven. Dit incident benadrukt de noodzaak voor bedrijven en kritieke infrastructuren om hun digitale beveiliging te versterken en beter voorbereid te zijn op dergelijke cyberaanvallen.

Russische hackers vormen groeiende dreiging voor Nederland

In de aanloop naar de Amerikaanse presidentsverkiezingen waarschuwen de Nederlandse inlichtingendiensten voor een toename in dreigingen van Russische hackers. Deze hackersgroep, die onderdeel is van de Russische militaire inlichtingendienst GRU, heeft al eerder Europa aangevallen, waaronder een poging tot een staatsgreep en de vergiftiging van Sergei Skripal. Hoewel Nederland tot nu toe geen doelwit is geweest, is de logistieke sector wel een potentiële kwetsbaarheid door de Nederlandse steun aan Oekraïne.

Volgens experts zouden Russische hackers al toegang kunnen hebben tot belangrijke Nederlandse infrastructuur, zoals bruggen en datacenters, zonder dat dit opgemerkt is. De MIVD roept op tot alertheid en samenwerking tussen inlichtingendiensten om cyberdreigingen tijdig te kunnen detecteren. Hoewel er geen reden tot paniek is, is Nederland door zijn digitale infrastructuur en strategische positie een aantrekkelijk doelwit voor cyberaanvallen.

Russische hackers claimen cyberaanval op Incheon Airport, Zuid-Korea

Meerdere Russische hackersgroepen beweren dat ze een cyberaanval hebben uitgevoerd op de luchthaven van Incheon in Zuid-Korea. Incheon International Airport is een belangrijk knooppunt voor zowel binnenlandse als internationale vluchten. De aanval zou voornamelijk bestaan uit een DDoS-aanval, waarbij grote hoeveelheden verkeer naar de servers van de luchthaven worden gestuurd om deze plat te leggen. DDoS-aanvallen (Distributed Denial of Service) zorgen ervoor dat systemen overbelast raken en tijdelijk niet meer bereikbaar zijn. De aanval lijkt vooral symbolisch, omdat er op dit moment geen meldingen zijn van grote schade of verstoringen van het vliegverkeer. Dit incident benadrukt echter opnieuw de kwetsbaarheid van kritieke infrastructuren, zoals luchthavens, voor cyberaanvallen. In de huidige geopolitieke context, waarin spanningen tussen verschillende landen hoog oplopen, blijven deze digitale dreigingen een serieuze zorg voor zowel overheden als bedrijven wereldwijd.

Meta verbiedt Russische staatsmedia vanwege geheime beïnvloedingsoperaties

Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, heeft besloten om Russische staatsmedia, zoals RT en Rossia Segodnja, wereldwijd te verbannen van hun platforms. Dit besluit volgt na beschuldigingen dat deze media betrokken zijn bij geheime online beïnvloedingscampagnes. Meta had eerder maatregelen genomen om de verspreiding van propaganda te beperken, maar deze werden omzeild. Daarom wordt nu overgegaan tot een volledige ban.

De aanleiding voor dit besluit zijn nieuwe onthullingen uit de Verenigde Staten, waarin wordt beweerd dat Rusland, via RT, miljoenen heeft geïnvesteerd in het verspreiden van desinformatie rond de Amerikaanse verkiezingen. Deze acties zouden gericht zijn op het zaaien van verdeeldheid onder de Amerikaanse bevolking, onder andere door nepaccounts te gebruiken. Rusland heeft nog niet officieel gereageerd op de stappen van Meta, maar in het verleden heeft RT soortgelijke beschuldigingen afgedaan als een schending van de persvrijheid. 1

Mossad's Cyberaanval op Hezbollah via Pagers: Wat We Weten

Israël’s geheime dienst Mossad wordt verantwoordelijk gehouden voor een grootschalige cyberaanval op Hezbollah, waarbij duizenden pagers in Libanon en Syrië gelijktijdig ontploften. Het incident, dat meer dan een dozijn doden en duizenden gewonden veroorzaakte, vond plaats in de middag en trof zowel Hezbollah-leden als burgers.

Hezbollah had zijn leden eerder opgedragen om van mobiele telefoons over te stappen op pagers, die minder gemakkelijk te traceren zouden zijn. Mossad wist echter toegang te krijgen tot een nieuwe lading pagers, die voorafgaand aan de levering waren voorzien van explosieven. Door het gebruik van PETN en lithium-ion batterijen konden de explosieven op afstand worden geactiveerd.

De aanval werd waarschijnlijk geactiveerd door een bericht dat op de pagers verscheen en kort daarna de explosies veroorzaakte. Naar schatting raakten 4000 mensen gewond en vielen er minstens 16 doden. Hezbollah heeft wraak gezworen, terwijl Israël officieel nog niet heeft gereageerd.

Lees ook: Explosieve Beepers: Een geavanceerde vorm van elektronische sabotage

Russische desinformatiecampagne richt zich op Kamala Harris

Onderzoekers van Microsoft hebben een geheime Russische desinformatiecampagne blootgelegd die gericht is op de Amerikaanse vicepresident Kamala Harris. De campagne verspreidde een nepverhaal over Harris, waarin werd beweerd dat ze in 2011 betrokken was bij een ongeluk in San Francisco waarbij een 13-jarige invalide werd en ze vluchtmisdrijf pleegde. Dit verhaal, ondersteund door een geënsceneerde video met een ingehuurde acteur, is volledig onwaar en werd verspreid via een nepnieuwswebsite.

De verantwoordelijke groep, door Microsoft aangeduid als ‘Storm-1516’, wordt in verband gebracht met het Kremlin en heeft in het verleden vaker dergelijke operaties uitgevoerd. Het doel van deze campagne is het beschadigen van Harris’ imago in aanloop naar de Amerikaanse presidentsverkiezingen van 2024. Deze ontdekking toont aan dat Rusland zijn invloed probeert uit te breiden met misleidende campagnes, vergelijkbaar met eerdere inmengingen in buitenlandse verkiezingen. 1

Israël richt zich op Hezbollah met nieuwe aanvallen op communicatieapparatuur

In een nieuwe golf van gecoördineerde aanvallen heeft Israël dodelijke explosies veroorzaakt door communicatiemiddelen van Hezbollah in Libanon te saboteren. Deze keer waren het ouderwetse walkie-talkies die ontploften, vermoedelijk als onderdeel van een operatie van de Israëlische inlichtingendienst Mossad. De explosies vonden plaats in de hoofdstad Beiroet, waarbij minstens 14 doden en 450 gewonden vielen. Onder de getroffen locaties waren een mobiele reparatiewinkel en een begrafenisstoet.

Deze aanval volgt op eerdere aanvallen op piepers van Hezbollah, waarbij duizenden apparaten werden opgeblazen. Israël heeft officieel geen verantwoordelijkheid opgeëist, maar de Israëlische minister van Defensie verklaarde dat het land zich in een 'nieuwe fase van oorlog' met Hezbollah bevindt. De aanvallen maken deel uit van de oplopende spanningen tussen Israël en door Iran gesteunde milities in de regio.

Hezbollah heeft gezworen wraak te nemen op Israël voor deze aanvallen.

Lees ook: Explosieve Beepers: Een geavanceerde vorm van elektronische sabotage

Russische hackers richten zich op Amerikaanse watertorens

Een Russische cybergroep, genaamd "Russian Cyber Army Team", zou verantwoordelijk zijn voor aanvallen op watertorens in New Castle, Delaware, Verenigde Staten. De hackers beweren dat deze acties een vergelding zijn voor de stappen die de Amerikaanse regering heeft ondernomen tegen Rusland. De aanvallen zijn onderdeel van een bredere cyberoorlog die Rusland voert in reactie op internationale sancties en politieke spanningen. Het lijkt erop dat de groep zich specifiek richt op kritieke infrastructuur, zoals watertorens, om de openbare voorzieningen te verstoren en angst te zaaien. Dit soort aanvallen laat zien hoe kwetsbaar fysieke infrastructuur kan zijn voor digitale dreigingen. Experts waarschuwen dat overheden wereldwijd waakzaam moeten blijven en hun cybersecurity-strategieën moeten versterken om dit soort aanvallen in de toekomst te voorkomen.

FSociety claimt aanval op Franse overheidswebsite

De hackersgroep FSociety heeft op 18 september 2024 de verantwoordelijkheid opgeëist voor een aanval op de Franse overheidswebsite cantal.gouv.fr. Via een bericht op platform X (voorheen Twitter) meldde de groep dat ze de website heeft gehackt als onderdeel van hun operatie #OpFrance. Ze plaatsten daarbij ook bewijs van de aanval, inclusief een ping-test die aantoont dat de website was getroffen. FSociety staat bekend om hun eerdere acties tegen overheden en grote bedrijven. In hun bericht verklaarden ze dat ze "eindelijk vrij en wakker" zijn en dat de aanval deel uitmaakt van hun bredere missie om een wereld te creëren die volgens hen "weer van hen is". De exacte impact van deze aanval is nog niet duidelijk, maar de actie onderstreept opnieuw de kwetsbaarheid van overheidssystemen voor cyberaanvallen, vooral door goed georganiseerde en gemotiveerde hackersgroepen.

Noord-Koreaanse hackers richten zich op energie- en luchtvaartsectoren met nieuwe MISTPEN-malware

Een Noord-Koreaanse hackersgroep, bekend als UNC2970, voert cyberaanvallen uit op de mondiale energie- en luchtvaartsectoren. Ze gebruiken hierbij phishing-methoden die vermomd zijn als sollicitatiegesprekken om hun slachtoffers te misleiden. Zodra slachtoffers reageren op een valse vacature, sturen de aanvallers een geïnfecteerd ZIP-bestand dat de MISTPEN-malware bevat. Deze nieuwe malware wordt verspreid via een aangepaste versie van de PDF-lezer Sumatra. Wanneer het PDF-bestand wordt geopend, wordt de malware actief en geeft het de hackers toegang tot gevoelige bedrijfsinformatie. De aanvallen richten zich specifiek op hogere functionarissen, zoals managers, om vertrouwelijke gegevens te verkrijgen. MISTPEN is ontworpen om na een systeemherstart te blijven werken, en evolueert voortdurend om detectie te ontwijken. Dit is onderdeel van een bredere campagne van Noord-Korea om strategische informatie te verzamelen die hun nationale belangen bevordert. 1

Cyberaanval gericht op Chinese infrastructuur

NetGhostSecurity, een bekende hackerorganisatie, heeft aangekondigd dat ze van plan zijn China’s cyberinfrastructuur aan te vallen. Dit werd recentelijk gedeeld op sociale media. Het doel van de aanval is nog niet volledig duidelijk, maar het lijkt erop dat China’s kritieke infrastructuur, zoals overheidsdiensten en communicatieplatforms, mogelijk wordt getroffen. Dit soort aanvallen kan grote gevolgen hebben, zoals verstoring van essentiële diensten en mogelijk dataverlies. De aankondiging komt te midden van een toename van wereldwijde cyberdreigingen, waarbij landen en bedrijven steeds vaker het doelwit worden van hackersgroepen. Het is belangrijk dat overheden en bedrijven waakzaam blijven en hun beveiligingsmaatregelen aanscherpen om zich te beschermen tegen dit soort dreigingen. De exacte datum van de aanval is niet bekendgemaakt, maar experts adviseren om voorbereid te zijn op mogelijke verstoringen.

Schending Amerikaanse Defensiedata door Mr. Hamza

Mr. Hamza beweert toegang te hebben verkregen tot geheime inlichtingen van het US Army Aviation and Missile Command (AMCOM). Deze informatie, afkomstig van een vermeende cyberaanval, werd gedeeld op het dark web, wat wijst op een serieuze datalek binnen de Amerikaanse defensie. Het is nog onduidelijk hoe de gegevens zijn bemachtigd, maar de potentiële impact van deze informatiebreuk kan groot zijn. Inlichtingendiensten en beveiligingsexperts werken nu samen om de omvang van de schade te bepalen en verdere lekken te voorkomen. Deze aanval benadrukt wederom de kwetsbaarheid van zelfs de meest beveiligde overheidsinstanties voor cybercriminaliteit. De identiteit van Mr. Hamza en zijn motieven zijn vooralsnog onbekend, maar het incident roept belangrijke vragen op over de effectiviteit van de huidige digitale beveiligingsmaatregelen binnen de defensie-industrie.

Israëlische defensiebedrijven gehackt door Handala Hacktivist Group

De Handala Hacktivist Group claimt succesvol te hebben ingebroken bij twee Israëlische defensiegerelateerde bedrijven. Dit werd bekendgemaakt via een bericht op X (voorheen Twitter). De groep stelt gevoelige informatie te hebben verkregen en beschuldigt de Israëlische bedrijven ervan betrokken te zijn bij het leveren van met explosieven besmette batterijen aan Hezbollah, een militante groepering in Libanon. Daarnaast worden er banden gelegd tussen deze bedrijven en de Israëlische geheime dienst Unit 8200. De aanval heeft opnieuw aandacht gevestigd op de kwetsbaarheid van belangrijke defensiesystemen en de groeiende dreiging van cyberaanvallen vanuit activistische groepen. Het blijft onduidelijk in hoeverre de gestolen informatie daadwerkelijk is gecompromitteerd en welke impact dit zal hebben op de veiligheidssituatie in de regio.

🇳🇱 Cyberoefening op Gilze-Rijen brengt wereldwijde defensieteams samen

De afgelopen twee weken namen hackers en defensieteams van over de hele wereld deel aan de jaarlijkse cyberoefening op vliegbasis Gilze-Rijen. Het Defensie Cyber Commando (DCC) organiseerde de Computer Assisted Exercise (CAX) Cybernet, waarin teams hun cybervaardigheden testten in realistische aanvallen en verdedigingsscenario’s. Naast teams van verschillende krijgsmachtonderdelen deden ook nationale en civiele organisaties mee, waaronder de Nationale Politie en bedrijven als Fox-IT.

De oefening trok internationale teams uit landen als de Verenigde Staten, Japan en Zuid-Korea, evenals een Europees team vanuit PESCO. Tijdens de competitie werd de samenwerking, stressbestendigheid en technische expertise van de deelnemers flink op de proef gesteld. Uiteindelijk eindigde Zuid-Korea als winnaar van de internationale competitie, terwijl het Nederlandse Joint Sigint Cyber Unit (JSCU) de nationale titel pakte, gevolgd door Fox-IT en de Nationale Politie. 1

Hacktivistische Groep Twelve Voert Vernietigende Cyberaanvallen uit op Russische Doelen

De hacktivistische groep Twelve voert sinds april 2023 gerichte cyberaanvallen uit op Russische organisaties. Hun acties zijn vooral gericht op het vernietigen van systemen en het exfiltreren van gevoelige gegevens, zonder financieel gewin als doel. In plaats daarvan richten ze zich op het maximaal verstoren van hun doelwitten. Twelve maakt gebruik van bekende malwaretools zoals Cobalt Strike en Mimikatz om inloggegevens te stelen en hun privileges binnen de netwerken van de slachtoffers uit te breiden. Ze benutten ook het Remote Desktop Protocol (RDP) voor laterale beweging in systemen. Deze methoden vertonen overeenkomsten met de werkwijze van de beruchte ransomwaregroep DARKSTAR, aldus experts. Wat Twelve uniek maakt, is dat ze, in tegenstelling tot traditionele ransomwaregroepen, niet alleen data versleutelen, maar ook de IT-infrastructuur van hun slachtoffers vernietigen. De activiteiten van Twelve lijken nauw verbonden te zijn met de spanningen rondom de oorlog tussen Rusland en Oekraïne. 1

Iraanse cyberoperaties richten zich op gegevens van Trump-campagne

Amerikaanse inlichtingendiensten hebben recent onthuld dat Iraanse cyberoperatives gevoelige gegevens van de presidentiële campagne van Donald Trump hebben gestolen. Vervolgens hebben deze operatives geprobeerd om contact op te nemen met leden van de campagne van president Joe Biden om de gestolen informatie te delen. Deze operatie maakt deel uit van een bredere strategie van Iran om chaos te veroorzaken en het vertrouwen in het Amerikaanse verkiezingsproces te ondermijnen. Dit gebeurt parallel aan soortgelijke pogingen van andere landen zoals Rusland en China, die kwetsbaarheden tijdens verkiezingsperiodes willen uitbuiten. De FBI en CISA (Cybersecurity and Infrastructure Security Agency) hebben gewezen op de voortdurende dreiging van buitenlandse actoren voor politieke campagnes in de VS. De gestolen informatie werd per e-mail verzonden naar het team van Biden, maar er kwam geen reactie van hun kant. Deze onthullingen komen op een cruciaal moment met de naderende verkiezingen. 1

Rusland-link crypto scam gericht op Amerikaanse verkiezingen en techbedrijven

Silent Push analisten volgen een Rusland-gelinkte dreigingsactor die crypto scams inzet rondom de Amerikaanse presidentsverkiezingen en bekende Amerikaanse techbedrijven. De oplichters maken gebruik van nep-websites die politieke figuren en bekende merken imiteren om mensen te verleiden cryptocurrency, zoals Bitcoin en Ethereum, naar een aanvallers-wallet te sturen, met de valse belofte dat ze het dubbele bedrag terugkrijgen. Bekende doelwitten in deze scams zijn onder andere Donald Trump, Kamala Harris, en techleiders zoals Elon Musk en Tim Cook. Ook instellingen zoals de Amerikaanse SEC en FTC worden vervalst om de oplichting een legitiem tintje te geven. De scamwebsites gebruiken CAPTCHA’s en chatfuncties om de fraude verder te faciliteren. Ondanks dat enkele van deze sites zijn neergehaald, blijven er nog actieve dreigingen. Silent Push verzamelt en deelt deze informatie met hun gebruikers om verdere aanvallen te helpen voorkomen. 1

Hongkongse journalisten in het Verenigd Koninkrijk doelwit van cyberaanval

Een groep Hongkongse journalisten die vanuit het Verenigd Koninkrijk opereert, is slachtoffer geworden van een cyberaanval. Deze aanval, waarvan wordt vermoed dat deze door de Chinese overheid is uitgevoerd, richtte zich op de e-mailsystemen van hun nieuwswebsite "The Chaser". Google classificeerde de aanval als hoog risico, mogelijk bedoeld om wachtwoorden en persoonlijke gegevens te stelen. De aanval benadrukt de blijvende druk die journalisten uit Hongkong ervaren, zelfs wanneer ze naar het buitenland zijn gevlucht om onafhankelijk te kunnen werken. Het team van The Chaser veroordeelt de aanval fel en benadrukt dat de persvrijheid, zowel in Hongkong als internationaal, ernstig onder druk staat. Ondanks dat de Chinese autoriteiten elke betrokkenheid ontkennen, zien analisten deze aanval als onderdeel van bredere pogingen om kritische stemmen over de Chinese regering wereldwijd te onderdrukken. 1

🇪🇺🇧🇪 Cyberaanval: NoName Groep Richt Zich op Europese Instellingen

Op 23 september 2024 claimde de pro-Russische hackersgroep NoName verantwoordelijk te zijn voor een reeks DDoS-aanvallen op verschillende Europese organisaties. De doelwitten waren onder andere het Europees Economisch en Sociaal Comité (EESC) in België en de Europese Bank voor Wederopbouw en Ontwikkeling (EBWO) in het Verenigd Koninkrijk. Deze aanvallen maakten deel uit van een bredere campagne van de hackersgroep, die bekend staat om het verstoren van websites en online diensten van overheidsinstellingen en financiële organisaties. De aanvallen beoogden de digitale infrastructuur van deze instellingen tijdelijk lam te leggen door een grote hoeveelheid verkeer naar hun servers te sturen, wat tot overbelasting en onbeschikbaarheid van hun diensten leidde. De aanvallen benadrukken de aanhoudende dreiging van cyberaanvallen gericht op kritieke infrastructuren in Europa. De betrokken landen onderzoeken momenteel de impact van de aanvallen en werken aan tegenmaatregelen om hun systemen te beschermen.

🇺🇦 FrostyGoop Malware Richt zich op Oekraïense Energie-Infrastructuur

De FrostyGoop-malware is een cyberaanval die specifiek gericht was op industriële controlesystemen in Oekraïne, te midden van de oplopende geopolitieke spanningen. Deze aanval was bedoeld om kritieke infrastructuur te verstoren, waarbij met name een energiebedrijf in een gemeentelijk district werd getroffen. Het doel was om schade toe te brengen aan de energievoorziening van flatgebouwen. De malware maakt gebruik van het MODBUS TCP-protocol, dat veel wordt gebruikt in industriële netwerken, maar helaas kwetsbaar is vanwege het gebrek aan beveiligingsfuncties zoals versleuteling en authenticatie. Deze zwakke punten maken het relatief eenvoudig voor aanvallers om de communicatie tussen systemen te onderscheppen en te manipuleren. Hoewel antivirusprogramma's tegenwoordig de FrostyGoop-malware kunnen detecteren, slaagde de aanval in eerste instantie doordat de malware eenvoudig van opzet was en geen typische verdedigingsmechanismen, zoals verdoezeling of persistentie, gebruikte. Hierdoor werd de aanval niet tijdig opgemerkt door beveiligingssystemen. 1

🇮🇱 Ransomware-aanval op voormalig Israëlisch minister van Defensie door Handala-groep

Op 24 september 2024 ontdekte men dat de voormalige Israëlische minister van Defensie, Benny Gantz, het slachtoffer was geworden van een gerichte ransomware-aanval door de groep Handala. Deze aanval trof Gantz, die recentelijk harde standpunten innam tegen Hezbollah, in een poging zijn reputatie te schaden door de dreiging om 2.000 privéfoto's van hem vrij te geven. Het incident werd ontdekt om 19:33 uur en benadrukt de steeds groeiende dreiging van cyberaanvallen op publieke figuren en overheidsinstellingen in Israël. Deze aanval lijkt een politieke boodschap te dragen, waarbij de aanvallers persoonlijke informatie gebruiken als chantagemiddel. Het is opnieuw een zorgwekkend voorbeeld van hoe cybercriminelen persoonlijke gegevens misbruiken om invloed uit te oefenen op de publieke sfeer en politieke conflicten.

🇺🇸 Aanvallen op Amerikaanse waterbedrijven via standaard wachtwoorden

Amerikaanse waterbedrijven zijn recent het doelwit geworden van cyberaanvallen door het gebruik van standaard wachtwoorden en brute-force technieken. De aanvallers richten zich vooral op operationele technologie (OT) en industriële controlesystemen (ICS) die via het internet toegankelijk zijn. Het Cybersecurity and Infrastructure Security Agency (CISA) meldt dat er bij verschillende waterbedrijven gebruik werd gemaakt van het standaard wachtwoord ‘1111’ van Unitronics Vision-apparaten. Deze apparaten, waaronder programmeerbare logische controllers (PLC’s) en human-machine interfaces (HMI’s), spelen een cruciale rol in de dagelijkse werking van de bedrijven. In enkele gevallen hebben bedrijven moeten terugvallen op handmatige bediening na een cyberincident. CISA roept op tot betere beveiligingsmaatregelen, zoals het loskoppelen van PLC’s en HMI’s van het internet, het implementeren van multifactorauthenticatie en het wijzigen van standaard wachtwoorden. Ook dringt de Amerikaanse overheid er bij fabrikanten op aan om geen standaard wachtwoorden te gebruiken en sterker wachtwoordbeleid in te voeren. 1

🇬🇧 Cyberaanval op Wi-Fi bij grote Britse treinstations toont terreurboodschappen

Bij verschillende grote treinstations in het Verenigd Koninkrijk, waaronder Londen King’s Cross en Manchester Piccadilly, kregen reizigers die verbinding maakten met het openbare Wi-Fi-netwerk onverwachts boodschappen te zien over terreuraanslagen in Europa. De cyberaanval trof 19 stations, allemaal beheerd door Network Rail, dat direct besloot om de Wi-Fi-diensten tijdelijk offline te halen. Het incident wordt onderzocht door de Britse transportpolitie.

De getroffen stations bevinden zich in steden zoals Londen, Birmingham, Manchester, Glasgow en Edinburgh. De Wi-Fi-dienst werd geleverd door Telent, een telecombedrijf, dat bevestigde dat het op de hoogte is van de aanval en het onderzoek steunt. Hoewel de daders van de aanval nog onbekend zijn, wordt vermoed dat de boodschap gericht was op het zaaien van angst onder het Britse publiek. Dit incident is onderdeel van een bredere reeks cyberaanvallen op publieke diensten in het Verenigd Koninkrijk, waaronder eerdere aanvallen op Transport for London en de NHS.

Birmingham New Street
Bristol Temple Meads
Edinburgh Waverley
Glasgow Central
Guildford
Leeds
Liverpool Lime Street
London Bridge
London Cannon Street
London Charing Cross
London Clapham Junction
London Euston
London King’s Cross
London Liverpool Street
London Paddington
London Victoria
London Waterloo
Manchester Piccadilly
Reading

Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen

“Het is alsof we met twee handen op de rug vechten tegen digitale dreigingen van staten zoals Rusland en China”

De Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) vormt een groot knelpunt voor inlichtingendiensten. Meer dan drie jaar na de invoering van de wetgeving heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) nog altijd geen toegang tot de kabel om bulkdata e verzamelen en analyseren. “Het is alsof we met twee handen op de rug vechten tegen digitale dreigingen van staten zoals Rusland en China.”

Lees meer »