Cyberoorlog nieuws

Het Oekraïense cyber incident response team (CERT-UA) waarschuwt dat Russische hackers steeds vaker proberen opnieuw toegang te krijgen tot systemen die ze eerder al gecompromitteerd hebben. Eerdere inbraken worden gebruikt als uitvalsbasis voor vervolgoperaties, aldus CERT-UA in een nieuw rapport.

Volgens het rapport controleren de aanvallers of de toegang tot eerder gecompromitteerde infrastructuur nog steeds mogelijk is, of kwetsbaarheden zijn gepatcht en of eerder verkregen inloggegevens nog geldig zijn. CERT-UA geeft aan dat deze pogingen soms succesvol zijn als de oorzaak van het oorspronkelijke incident niet volledig is weggenomen.

Deze trend weerspiegelt een verschuiving in de tactieken van aanvallers gedurende 2025. In de eerste helft van het jaar vertrouwden veel cyberincidenten op een "steal and go"-aanpak, waarbij malware werd ingezet om snel inloggegevens of andere gevoelige data te verzamelen en vervolgens het systeem te verlaten om detectie te voorkomen. In de tweede helft van het jaar werd er echter een groeiende focus waargenomen op het behouden van langdurige toegang tot gecompromitteerde netwerken. Deze strategie stelt dreigingsactoren in staat om de waarde van succesvolle inbraken te maximaliseren door later terug te keren om de toegang uit te breiden, spionage uit te voeren of andere fasen van cyberoperaties te ondersteunen.

CERT-UA constateert ook veranderingen in de manier waarop aanvallers aanvankelijk toegang krijgen tot Oekraïense netwerken. Traditionele phishing e-mails en kwaadaardige bijlagen worden minder effectief omdat organisaties zich bewuster worden van veelvoorkomende cyberdreigingen. In plaats daarvan vertrouwen aanvallers steeds vaker op geavanceerde social engineering tactieken om vertrouwen te winnen bij slachtoffers. Hackers nemen rechtstreeks telefonisch contact op met doelwitten via Oekraïense mobiele nummers en legitieme messaging accounts, spreken vloeiend Oekraïens en tonen gedetailleerde kennis over de personen of organisaties die ze aanvallen. Pas nadat ze vertrouwen hebben opgebouwd via telefoongesprekken of videochats, sturen aanvallers kwaadaardige bestanden via messaging apps, waardoor de kans aanzienlijk toeneemt dat slachtoffers ze openen.

Volgens CERT-UA hebben aan Rusland gelinkte hackinggroepen, waaronder APT28 (Fancy Bear) en de dreigingsactor Void Blizzard, deze techniek gebruikt bij aanvallen op leden van de Oekraïense strijdkrachten en overheidsinstellingen. Ondanks de evolutie in tactieken, daalde het totale aantal cyberincidenten in de tweede helft van 2025 in vergelijking met de eerste helft van het jaar. De veiligheids- en defensiesector blijft het belangrijkste doelwit, aldus CERT-UA, omdat het verstoren of infiltreren van die netwerken de loop van de oorlog direct kan beïnvloeden.

Bron: CERT-UA | Bron 2: cip.gov.ua | Bron 3: recordedfuture.com

Cybercrimeinfo heeft een dreigingsanalyse ontdekt, waarin een toename van cyberaanvallen in een conflictgebied wordt beschreven over de periode van 28 februari tot 3 april. In totaal werden 1098 cyberaanvallen waargenomen, waarbij 14 landen werden getroffen en 84 dreigingsactoren betrokken waren. Het type dreiging is niet nader gespecificeerd in de beschikbare informatie.

Bron: Cybercrimeinfo

Een grootschalige stroomstoring heeft de internetverbinding in een groot deel van Donetsk Oblast, in door Rusland bezet Oekraïne, lamgelegd. De verstoring wordt toegeschreven aan Oekraïense UAV aanvallen gericht op de energie infrastructuur. Het herstel van de connectiviteit is inmiddels bijna volledig.

Bron: NetBlocks

De dreigingsactor NoName claimt verantwoordelijk te zijn voor een DDoS aanval op meerdere websites in Oekraïne. Cybercrimeinfo heeft deze claim ontdekt. De doelwitten omvatten SE Kharkiv Morozov Machine Building Design, Research and Production Complex Photoprylad, Spets Techno Export, Zorya-Mashproekt, ERC, Ferrexpo, Ukrainian Scientific Research Institute of Aviation Technologies en OCTAVA CAPITAL. Het is op dit moment niet bevestigd of de aanval succesvol was en welke impact deze heeft gehad op de getroffen websites.

Bron: Darkweb

Een Noord-Koreaanse hacker, vermoedelijk in dienst van de staat, heeft zichzelf ontmaskerd tijdens een sollicitatiegesprek. De persoon in kwestie werd gevraagd om de zin "Kim Jong-un is een dik, lelijk varken" uit te spreken. De hacker weigerde dit, omdat hij aangaf dat het uitspreken van dergelijke woorden vrijwel zeker tot zijn executie zou leiden.

Bron: Int. Cyber Digest

De FBI, het Pentagon en andere federale agentschappen waarschuwen voor een toename van cyberaanvallen door hackers gelieerd aan de Iraanse overheid. Deze aanvallen richten zich op internet verbonden operational technology (OT)-apparaten in verschillende kritieke infrastructuursectoren in de Verenigde Staten, wat leidt tot operationele verstoringen en financieel verlies. Volgens een nieuw advies zijn de aanvallen geëscaleerd in reactie op het militaire conflict tussen de VS en Iran.

De Iraanse actoren richten zich specifiek op OT apparaten zoals programmable logic controllers (PLC's) van Rockwell Automation (Allen-Bradley) en mogelijk ook Siemens. Sinds maart 2026 hebben de betrokken instanties een Iraanse APT groep geïdentificeerd die de functie van PLC's heeft verstoord. De aanvallen hebben geleid tot verstoringen door manipulatie van projectbestanden en data op human machine interface (HMI)- en supervisory control and data acquisition (SCADA)-displays.

De doelwitten omvatten lokale gemeenten, water- en afvalwatersystemen en de energiesector. Deze waarschuwing volgt op een ransomware aanval vorige week op een waterzuiveringsinstallatie in Minot, North Dakota, hoewel er geen direct losgeld werd geëist. De FBI is betrokken bij onderzoeken naar de aanval in Minot en een andere aanval op een county government in Indiana.

De FBI benadrukt specifiek CVE-2021-22681, een kwetsbaarheid in Rockwell OT producten. CISA had een maand eerder al gewaarschuwd voor misbruik van deze kwetsbaarheid en federale agentschappen opgedragen deze vóór 26 maart te patchen. Organisaties worden dringend verzocht PLC's en andere OT systemen niet direct aan het internet bloot te stellen en logs te controleren op verdacht verkeer.

De activiteit wordt vergeleken met een Iraanse campagne in 2023 en 2024, waarbij hackers gelinkt aan het Islamic Revolutionary Guard Corps (IRGC) PLC's van het Israëlische Unitronics aanvielen. Uit nieuwe informatie blijkt dat bij de campagne van 2023 minstens 75 apparaten werden gecompromitteerd. Hoewel het toen vooral om defacement ging, waarschuwden functionarissen dat de aanvallers de toegang konden gebruiken voor diepere netwerktoegang en fysieke schade. Het State Department loofde een beloning van 10 miljoen dollar uit voor informatie over de Iraniërs achter de aanvallen van 2023, waarbij zes functionarissen van het IRGC's Cyber Electronic Command (CEC) werden genoemd, waaronder Hamid Reza Lashgarian.

Bron: FBI | Bron 2: cisa.gov | Bron 3: ic3.gov

Het Amerikaanse ministerie van Justitie (DoJ) en de FBI hebben een grootschalige cyberespionagecampagne van de Russische militaire inlichtingendienst (GRU) ontmanteld. De operatie, genaamd "Operation Masquerade", was gericht op een netwerk van routers in huis- en kleine kantoorsituaties, die door hackers werden gebruikt om nietsvermoedende gebruikers te bespioneren.

De groep achter de aanval is een bekende eenheid van de Russische GRU, vaak aangeduid als APT28, Fancy Bear of Forest Blizzard. Sinds minstens 2024 compromitteerde deze groep stilletjes apparaten, met een sterke focus op TP-Link routers. Door bekende kwetsbaarheden te exploiteren, wisten ze duizenden apparaten in meer dan 23 staten en vele andere landen te kapen.

Fancy Bear maakte gebruik van DNS hijacking. GRU hackers braken in routers en vervingen de DNS instellingen door hun eigen valse versies. Eenmaal in controle, gebruikten ze een geautomatiseerd filter om waardevolle doelwitten binnen het leger en de overheid te identificeren. Voor deze specifieke personen toonden de hackers valse inlogpagina's, zoals een nagemaakte Microsoft Outlook Web Access scherm, om ongecodeerde wachtwoorden, e-mails en authenticatietokens te stelen zonder dat de gebruiker iets in de gaten had.

De FBI heeft, in plaats van alleen een waarschuwing uit te geven, een gerechtelijk bevel verkregen om rechtstreeks met de geïnfecteerde routers te communiceren. Het bureau stuurde een reeks commando's naar deze apparaten om hun DNS instellingen te resetten en de toegang van de hackers te blokkeren. Onderzoekers van Microsoft Threat Intelligence, MIT Lincoln Laboratory en Black Lotus Labs hebben geholpen bij het testen van deze fixes om ervoor te zorgen dat ze de internetverbinding van niemand zouden verbreken.

Hoewel de FBI de onmiddellijke dreiging heeft weggenomen, wordt het publiek nog steeds aangespoord voorzichtig te zijn. Special Agent Ted E. Docks merkt op dat de FBI "onze partners in de private sector en internationale partners heeft ingezet om deze kwaadaardige activiteit te ontmaskeren en routers te herstellen." Gebruikers van TP-Link apparaten wordt aangeraden onmiddellijk te controleren op de nieuwste firmware updates. Als een router een ouder model is dat geen updates meer ontvangt, is het wellicht tijd om deze te vervangen.

Bron: U.S. Department of Justice

Twee prominente Egyptische journalisten zijn het doelwit geweest van een geavanceerde spearphishingcampagne, volgens een nieuw rapport van de digitale burgerrechtenorganisatie Access Now en het mobiele beveiligingsbedrijf Lookout. De campagne, die begon in oktober 2023 en doorging tot januari 2024, richtte zich op de Apple- en Google accounts van de slachtoffers.

De aanvallers deden zich voor als legitieme personen en diensten en gebruikten meerdere kanalen om contact te leggen met de slachtoffers. Er zijn aanwijzingen dat de infrastructuur die gebruikt werd voor de aanvallen mogelijk ingezet kan worden om spyware te verspreiden en data te exfiltreren, evenals het installeren van kwaadaardige apps. De onderzoekers van Lookout en Access Now konden de locatie van de "hack for-hire" organisatie niet definitief vaststellen, maar vermoeden dat deze banden heeft met Azië. De aanvallers gebruikten valse accountprofielen, berichten en andere tactieken om zich voor te doen als legitieme diensten en platforms, waaronder Signal.

Geen van de accounts van de slachtoffers werd uiteindelijk gecompromitteerd. Een van de slachtoffers ontving een bericht dat afkomstig leek te zijn van Apple. Het doelwit voerde zijn accountgegevens in, maar stopte nadat hij een "verdachte" authenticatiemelding met twee factoren ontving vanuit een locatie in Egypte. Beide slachtoffers zijn in het verleden vervolgd door de Egyptische autoriteiten en hebben het Egyptische regime uitgedaagd. Mostafa Al-A’sar is een Egyptische journalist en mensenrechtenverdediger die bijna vier jaar in een Egyptische gevangenis heeft doorgebracht voordat hij het land ontvluchtte. Ahmed Eltantawy, ook een bekende journalist, berichtte kritisch over de Egyptische regering en werd later lid van het parlement. Hij was van plan om zich in 2023 kandidaat te stellen tegen de Egyptische president Abdel Fattah al-Sisi, maar trok zich vervolgens terug nadat tientallen van zijn supporters en familieleden waren gearresteerd en hij niet mocht campagne voeren. Hij werd later gevangengezet. Citizen Lab, een digitaal forensisch onderzoeksinstituut, ontdekte dat zijn telefoon in september 2021 en tussen mei en september 2023 het doelwit was van de Predator spyware van Intellexa.

Marwa Fatafta, een directeur bij Access Now, waarschuwt journalisten in het Midden Oosten en Noord Afrika om voorzichtig te zijn en hun digitale beveiliging te verbeteren.

Bron: Access Now

Oekraïne meldt dat het initiatief in de oorlog terugwint na recente Russische successen, mede dankzij de ontwikkeling van AI gestuurde drones. Oleksandr Syrsky, de Oekraïense opperbevelhebber, stelt dat Oekraïense troepen "de ruggengraat van Rusland breken" en dat drones aanzienlijke verliezen toebrengen aan de Russische troepen. Russische bronnen zouden zich zorgen maken over de nieuwe AI drones van Oekraïne.

Moskou overweegt naar verluidt de traditionele militaire parade van 9 mei te annuleren uit angst voor Oekraïense aanvallen. Oekraïense aanvallen op Russische olie installaties vinden dagelijks plaats. Kyrylo Boedanov, voormalig hoofd van de Oekraïense inlichtingendienst en huidig hoofd van het presidentieel bureau, zegt dat deze aanvallen de Russische aanpak in toekomstige onderhandelingen kunnen beïnvloeden. Deze onderhandelingen zijn echter opnieuw uitgesteld door Iran, aldus president Zelensky.

De Oekraïense veiligheidsdienst (SBU) heeft naar eigen zeggen een spionage eenheid ontmaskerd die wapenopslagplaatsen beheerde voor huurmoorden. Het ministerie van Buitenlandse Zaken heeft nieuwe diplomatieke nummerplaten geïntroduceerd, waarmee een historische band met Moskou wordt verbroken. Op economisch vlak heeft het Oekraïense Asvio een overeenkomst getekend om de insolvente Motor Bank over te nemen. De voormalige eigenaar van deze bank, ooit de belangrijkste aandeelhouder van vliegtuigmotorenfabrikant Motor Sich, wordt nu in Oekraïne beschuldigd van verraad.

In Hongarije zijn nieuwe beschuldigingen geuit aan het adres van de topdiplomaat, die ervan wordt verdacht de EU toetredingsdocumenten van Kyiv met Moskou te hebben gedeeld. Een ander gelekt telefoongesprek beweert dat Boedapest Teheran hulp heeft aangeboden na de pager explosies van 2024. Zelensky heeft kritiek geuit op de campagne van de Amerikaanse president JD Vance voor de Hongaarse premier Viktor Orban en waarschuwde dat Rusland naar verluidt inlichtingen over Amerikaanse bases aan Iran heeft verstrekt.

Het Verenigd Koninkrijk en Noorwegen zeggen een Russische onderzeeër in de buurt van cruciale onderzeese kabels te hebben gevolgd, terwijl Moskou beweert dat Kyiv aanvallen op het Noordpoolgebied beraamt.

Bron: Kyiv Post

De Russische autoriteiten hebben een voormalig freelance journalist van Radio Free Europe (RFE) gearresteerd op beschuldiging van hoogverraad. Volgens de Federale Veiligheidsdienst (FSB) zou de journalist informatie hebben doorgespeeld aan Oekraïne, die gebruikt zou zijn bij cyberaanvallen tegen Russische doelen.

De FSB verklaarde dat de verdachte zich had aangesloten bij een Telegram kanaal dat werd beheerd door de Oekraïense veiligheidsdienst SBU. Via dit kanaal zou hij informatie hebben verstrekt over een lokale publicatie die berichtte over de oorlog in Oekraïne, evenals gegevens over een kritieke infrastructuurvoorziening in de regio. Volgens de autoriteiten is deze informatie gebruikt om cyberaanvallen te faciliteren.

Na een huiszoeking, waarbij computerapparatuur en communicatieapparaten in beslag werden genomen, is de verdachte in voorlopige hechtenis geplaatst. De FSB beweert dat de in beslag genomen items bewijs bevatten van activiteiten "gericht tegen de veiligheid van Rusland". De FSB heeft de naam van de arrestant niet bekendgemaakt. Het onafhankelijke Russische medium 7x7 meldt echter dat het waarschijnlijk gaat om de 65-jarige Alexander Andreyev, een journalist uit de regio Zabaykalsky die in het begin van de jaren 2010 voor verschillende lokale media en als freelancer voor Radio Free Europe werkte.

De Russische veiligheidsdiensten beweren dat Andreyev heeft samengewerkt met "anti Russische mensenrechtenorganisaties" en na het begin van de oorlog een "duidelijk pro Oekraïens standpunt" heeft ingenomen. Radio Free Europe heeft nog niet publiekelijk gereageerd op de arrestatie. In 2020 werd Radio Liberty door het Russische ministerie van Justitie aangemerkt als "buitenlandse agent", en in 2025 werd de organisatie bestempeld als "ongewenst", waardoor haar activiteiten in Rusland effectief werden verboden.

Op dezelfde dag doorzochten Russische veiligheidsdiensten ook de redactie van Novaya Gazeta in Moskou. De reden voor de doorzoeking is niet bekendgemaakt. Een bron bij de wetshandhaving meldde dat de operatie verband houdt met een onderzoek naar het illegale gebruik van persoonlijke gegevens. Een andere bron vertelde dat onderzoekers onderzoeken of Novaya Gazeta banden heeft met Novaya Gazeta Europe en het Anti War Committee of Russia, die beide in Rusland als "ongewenst" respectievelijk "terroristisch" zijn bestempeld.

De zaak van Radio Free Europe is de meest recente in een reeks strafrechtelijke onderzoeken die verband houden met activiteiten op Telegram. Eerder deze maand werd in Sevastopol een inwoner gearresteerd op verdenking van het aanzetten tot terrorisme en extremisme via het platform. Sinds februari zijn er minstens drie strafzaken geopend die verband houden met Telegram Stars, een virtuele valuta die volgens onderzoekers wordt gebruikt om organisaties die in Rusland verboden zijn financieel te steunen.

Bron: TASS | Bron 2: iz.ru | Bron 3: novayagazeta.eu

Amerikaanse federale agentschappen waarschuwen voor een toename van cyberaanvallen door Iraanse actoren gericht op Amerikaanse kritieke infrastructuren. Uit een gezamenlijk advies blijkt dat sinds maart 2026 groepen met banden met de Iraanse overheid zich richten op Rockwell Automation/Allen-Bradley PLC apparaten, wat operationele verstoringen en financiële schade veroorzaakt. De aanvallen lijken een reactie op de vijandelijkheden tussen Iran, de Verenigde Staten en Israël.

Volgens cybersecuritybedrijf Censys zijn er wereldwijd meer dan 5.200 industriële controlesystemen online toegankelijk, waarvan driekwart zich in de Verenigde Staten bevindt. Het gaat om 3.891 hosts die reageren op EtherNet/IP (EIP) en zich identificeren als Rockwell Automation/Allen-Bradley apparaten. De blootstelling via cellulaire netwerken duidt op implementatie in het veld via cellulaire modems. Het FBI heeft vastgesteld dat bij deze activiteiten projectbestanden werden buitgemaakt en dat data op HMI en SCADA displays werden gemanipuleerd.

Om zich te verdedigen tegen deze aanvallen, wordt aangeraden om PLC's te beveiligen met een firewall of ze van het internet te ontkoppelen. Ook is het belangrijk om logs te scannen op tekenen van kwaadaardige activiteit en verdacht verkeer op OT poorten te controleren, vooral als dit afkomstig is van hostingproviders in het buitenland. Verder wordt aangeraden om meervoudige authenticatie (MFA) te gebruiken voor toegang tot OT netwerken, alle PLC apparaten actueel te houden en ongebruikte services en authenticatiemethoden uit te schakelen.

Deze campagne volgt op eerdere aanvallen van bijna drie jaar geleden, waarbij de groep CyberAv3ngers, gelieerd aan het Iraanse Islamitische Revolutionaire Garde (IRGC), zich richtte op kwetsbaarheden in operationele technologie systemen (OT) van Unitronics in de VS. Tussen november 2023 en januari 2024 compromitteerden CyberAv3ngers minstens 75 Unitronics PLC apparaten, waarvan de helft in water en afvalwaternetwerken. Meer recentelijk wist de hacktivistische groep Handala, gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid, ongeveer 80.000 apparaten van het netwerk van het Amerikaanse medische bedrijf Stryker.

Bron: Censys | Bron 2: cisa.gov | Bron 3: unit42.paloaltonetworks.com

De Britse regering heeft bekendgemaakt dat ze een geheime Russische onderzeeëroperatie heeft ontmaskerd in de wateren ten noorden van het Verenigd Koninkrijk, gericht op pijpleidingen en kabels. Volgens het Britse Ministerie van Defensie (MoD) waren een Russische aanvalsonderzeeër en schepen van het Russische directoraat voor diepzeeonderzoek (GUGI) betrokken bij deze activiteiten. Het MoD omschreef de activiteiten als "schadelijke activiteiten gericht op kritieke onderzeese infrastructuur".

Het GUGI, aldus het MoD, voert in vredestijd gespecialiseerde diepzee operaties uit om onderwaterinfrastructuur in kaart te brengen, als voorbereiding op sabotage tijdens een conflict. De Britse minister van Defensie, John Healey, verklaarde dat Britse schepen, vliegtuigen en geallieerde troepen de drie Russische onderzeeërs gedurende meerdere weken hebben gevolgd en sonoboeien hebben ingezet om de onderzeeëreenheden te laten weten dat ze werden geobserveerd en hun missie "niet langer geheim was zoals Poetin had gepland".

De Russische schepen zouden zich vervolgens hebben teruggetrokken zonder hun operatie in het geheim te kunnen voltooien, aldus het MoD. Er zijn geen meldingen van schade aan de onderzeese infrastructuur. Healey gaf aan dat de Russische activiteiten zowel pijpleidingen als kabels bedreigden, maar specificeerde niet waar de activiteiten plaatsvonden. De meest cruciale energieverbindingen lopen via de Noordzee aan de oostkust van het land naar Noorwegen.

Healey waarschuwde Poetin dat pogingen tot beschadiging van de onderwaterinfrastructuur niet getolereerd zouden worden en ernstige gevolgen zouden hebben. De Britse regering stelt dat de Russische activiteiten onderdeel zijn van een bredere poging om te opereren in gebieden waar kritieke infrastructuur op de zeebodem zich bevindt. Het doel van de openbaarmaking is om de aandacht te vestigen op de potentiële risico's die dergelijke activiteiten vormen voor de connectiviteit van het VK.

Het Ministerie van Defensie benadrukte het belang van onderzeese glasvezelkabels voor de verbinding van het VK met de rest van de wereld. Meer dan 99% van alle internationale data, van communicatie tot handel, verloopt via deze infrastructuur. De bescherming ervan is van vitaal belang voor de economische veiligheid, wereldwijde connectiviteit en nationale veerkracht van het VK.

John Hardie, de adjunct-directeur van het Rusland programma bij de Foundation for Defense of Democracies, merkte op dat GUGI al lange tijd betrokken is bij verdachte activiteiten in de buurt van onderzeese kabels. Rusland zou deze schepen kunnen gebruiken om afluisterapparatuur te plaatsen of inlichtingen te verzamelen ter ondersteuning van plannen om de NAVO communicatie in geval van oorlog te verstoren.

De ontwikkelingen benadrukken de samenhang tussen fysieke en cyberveiligheid, aangezien schade aan onderzeese kabels financiële systemen, communicatie en essentiële diensten kan verstoren, ver buiten de directe omgeving van een incident. Britse functionarissen hebben aangegeven de surveillance en samenwerking met bondgenoten te zullen intensiveren om de onderzeese infrastructuur te beschermen.

Bron: UK Ministry of Defence

Cybercrimeinfo heeft een threat intelligence alert ontdekt waarin staat dat Israël het meest getroffen land is door cyberaanvallen. Koeweit, Iran en de Verenigde Arabische Emiraten zijn het zwaarst getroffen qua impact. De sectoren energie/utilities, ICT en professionele/wetenschappelijke/technische dienstverlening ondervinden de meeste hinder. Niet nader genoemde technieken, identiteitsdiefstal/account cracking en malware zijn de meest gebruikte aanvalsmethoden.

Bron: Darkweb