Zes cybercriminelen aangeklaagd die onder meer de haven in Rotterdam verlamde

Gepubliceerd op 21 oktober 2020 om 08:00
Zes cybercriminelen aangeklaagd die onder meer de haven in Rotterdam verlamde

De Verenigde Staten hebben zes cybercriminelen van de Russische hackersgroep Sandworm aangeklaagd, die met NotPetya-ransomware onder meer een haven in Rotterdam platlegde.

De aanklacht tegen de zes Russische staatsburgers waarvan wordt aangenomen dat ze lid zijn van een van Ruslands elite hacking- en cyberoorlog-eenheden - bekend als 'Sandworm'.

In het gerechtelijke documenten stond dat alle zes de verdachte officieren van de eenheid '74455' toebehoren aan de Russische hoofd inlichtingendienst (GRU), een militaire inlichtingendienst die deel uitmaakt van het Russische leger.

De zes verdachten voerden "destructieve" cyberaanvallen uit namens en in opdracht van de Russische regering met de bedoeling andere landen te destabiliseren of zich te mengen in hun interne politieke discussies. Tevens richten ze financiële ravage aan door gijzelsoftware te installeren.

De aanvallen

De aanvallen beslaan het afgelopen decennium en omvatten enkele van de grootste cyberaanvallen die tot nu toe bekend zijn

    • Oekraïense overheid en kritieke infrastructuur

    Van december 2015 tot december 2016 organiseerde de groep vernietigende malware aanvallen op het Oekraïense elektriciteitsnet, het Oekraïense ministerie van Financiën en de Oekraïense Staatsdienst, met behulp van malware die industriële apparatuur veranderde (BlackEnergy in 2015 en Industroyer in 2016) of gewiste harde schijven (KillDisk).

    • Franse verkiezingen

    In april en mei 2017 organiseerde Sandworm spearphishing-campagnes en gerelateerde hack-and-leak-inspanningen gericht tegen de "La République En Marche!" Van de Franse president Macron. ("En Marche!") Politieke partij, Franse politici en lokale Franse regeringen voorafgaand aan de Franse verkiezingen van 2017.

    • De NotPetya Ransomware-uitbraak

    Op 27 juni 2017 bracht Sandworm de NotPetya-ransomware uit. Aanvankelijk gericht op Oekraïense bedrijven, verspreidde de ransomware zich snel en raakte het bedrijven over de hele wereld, waarbij de slachtoffers meer dan $ 1 miljard schade berokkenen.

    • Gastheren, deelnemers, partners en bezoekers van de Olympische Winterspelen van PyeongChang

    Tussen december 2017 en februari 2018 lanceerde Sandworm spearphishing-campagnes en kwaadaardige mobiele applicaties gericht op Zuid-Koreaanse burgers en functionarissen, Olympische atleten, partners en bezoekers, en het Internationaal Olympisch Comité ('IOC') ) ambtenaren. De aanvallen vonden plaats nadat Russische atleten van het sportevenement waren verbannen vanwege een door de staat gesponsord dopingsysteem.

    • PyeongChang Winter Olympics IT-systemen (Olympic Destroyer)

    Van december 2017 tot februari 2018 orkestreerde Sandworm inbraken in computers ter ondersteuning van de 2018 PyeongChang Winter Olympic Games, die culmineerden in de 9 februari 2018, met de release van 'Olympic Destroyer', een destructieve malware-soort die tijdens de openingsceremonie probeerde cruciale servers te wissen.

    • Novichok Poisoning Investigations

    In april 2018 organiseerde de Sandworm-groep spearphishing-campagnes gericht op onderzoeken door de Organization for the Prohibition of Chemical Weapons ('OPCW') en het Defense Science and Technology Laboratory ('DSTL') van het Verenigd Koninkrijk naar de zenuwvergiftiging van Sergei Skripal, zijn dochter en verschillende Britse burgers.

    • Georgische bedrijven en overheidsinstanties

    In 2018 voerde Sandworm spearphishing-campagnes uit tegen een groot mediabedrijf in het land Georgië. Deze aanvallen werden in 2019 gevolgd door pogingen om het netwerk van het Georgische parlement in gevaar te brengen, en een massale website-defacement-campagne in 2019 .

    Maar dit zijn slechts de aanvallen die zijn gedocumenteerd in de aanklacht van het DOJ die maandag is ontzegeld. Ze vertegenwoordigen slechts een fractie van de enorme cyberoperaties van de groep, die teruggaan tot 2010.

    2020 10 19 Unsealed Indictment 0
    PDF – 3,4 MB 502 downloads

    Maar bovenal staat de groep algemeen bekend als Sandworm. De zes onderdanen die maandag worden aangeklaagd, zijn echter alleen de Sandworm-leden die individueel in verband kunnen worden gebracht met eerdere Sandworm-aanvallen. De groep wordt verondersteld te bestaan ​​uit veel meer andere GRU-officieren.

    Persconferentie 'USA - The Justice Department' maandag 19  oktober 2020

    De zes GRU-officieren die aangeklaagd zijn

    Verdachte Verdacht van
    Yuriy Sergeyevich Andrienko: Ontwikkelde componenten van de NotPetya en Olympic Destroyer-malware
    Sergey Vladimirovich Detistov: Ontwikkelde componenten van de NotPetya-malware
    Voorbereide spearphishing-campagnes gericht op de Olympische Winterspelen van PyeongChang 2018
    Pavel Valeryevich Frolov: Ontwikkelde componenten van de KillDisk- en NotPetya-malware
    Anatoliy Sergeyevich Kovale: Ontwikkelde spearphishing-technieken en berichten die worden gebruikt om te richten op:
    - En Marche! officials
    - Medewerkers van de DSTL
    - Leden van het IOC en Olympische atleten
    - Werknemers van een Georgische media-entiteit
    Artem Valeryevich Ochichenko: Deelgenomen aan spearphishing-campagnes gericht op PyeongChang Winter Olympic Games-partners in 2018
    Technische verkenning uitgevoerd van het officiële domein van het parlement van Georgië en getracht ongeoorloofde toegang tot zijn netwerk te krijgen
    Petr Nikolajevitsj Pliskin: Ontwikkelde componenten van de NotPetya en Olympic Destroyer-malware
    Collage 8 5 X 11 Web 2
    PDF – 201,9 KB 425 downloads

    Nog op vrije voet

    De zes verdachten zijn nog op vrije voeten in Rusland. Als ze in de VS worden aangehouden en berecht, zouden ze alle zes veroordeeld worden tot tientallen jaren gevangenisstraf.

    Maar de aanklacht is ook een eigenaardigheid in de cyberbeveiligingsindustrie. Internationale normen stellen cyberspionage operaties vrij van internationale vervolging, aangezien cyberspionage wordt beschouwd als een onderdeel van de normale operaties voor het verzamelen van inlichtingen.

    Geen cyberspionage maar criminele daad

    Maar afgelopen maandag op de persconferentie vertelden de Amerikaanse functionarissen dat de cyberaanvallen van Sandworm vaak gebaseerd waren op het willekeurige gebruik van malware met destructieve mogelijkheden die niet alleen financiële verliezen veroorzaakten voor duizenden bedrijven, maar ook mensenlevens in gevaar brachten. 

    "Zoals deze zaak laat zien, heeft geen enkel land zijn cyber capaciteiten zo kwaadwillig en onverantwoordelijk bewapend als Rusland, waarbij het moedwillig ongekende bijkomende schade heeft veroorzaakt om kleine tactische voordelen na te streven en om vlagen van wrok te stillen", zei assistent-procureur-generaal voor nationale veiligheid John C. Demers, verwijzend naar aanvallen zoals BlackEnergy, NotPetya en OlympicDestroyer, die allemaal niet gericht waren op het verzamelen van inlichtingen, maar duidelijk destructieve aanvallen waren die op sabotage waren gericht.

    Onderzoek al ruim 2 jaar

    De Amerikaanse advocaat Scott W. Brady, een van de Amerikaanse aanklagers, zei dat de VS al meer dan twee jaar bezig is met een zaak tegen Sandworm-operators, als onderdeel van de nasleep van de NotPetya-ransomware-uitbraak.

    "De misdaden begaan door Russische regeringsfunctionarissen waren gericht tegen echte slachtoffers die echt schade hadden geleden", zei Brady in een voorbereide verklaring. "We hebben de plicht om degenen die misdaden plegen aansprakelijk te stellen - ongeacht waar ze wonen en voor wie ze werken - om gerechtigheid te zoeken namens deze slachtoffers."

    Ook de Britten

    Kort nadat de aanklachten waren aangekondigd, beschuldigde de Britse regering de Russische Sandworm-groep formeel van pogingen om de Olympische Spelen van dit jaar in Tokio te verstoren voordat het evenement vanwege COVID-19 werd verplaatst naar volgend jaar. Het VK toonde ook steun voor de Amerikaanse rechtszaak.

    UK Exposes Series Of Russian Cyber Attacks Against Olympic And Paralympic Games
    PDF – 221,6 KB 414 downloads

    Bron: youtube/TheJusticeDepartment, fbi.gov, fraunhofer.de, justice.gov, gov.uk, zdnet.com