Geopolitiek deel 1: Rusland

The age of Cyber-Warfare

Blog door Eward Driehuis, Chief Research Officer

Vorig jaar werd de bewapening van malware mainstream. Om specifieker te zijn Wannacry- en NotPetya-aanvallen hebben enorme hoeveelheden schade aangericht. Deze aanvallen waren in wezen generieke ransomware met één verschil: losstaand van enkele niet-geverifieerde claims, kregen slachtoffers die het losgeld betaalden hun bestanden niet terug. Losgeldbetalingen namen snel af naarmate het bekender werd dat deze criminelen niet konden worden vertrouwd. Wat overbleef, was vernietiging. Deze cyber criminelen hadden niet langer financiële motieven en onderzoekers zochten naar de verklaringen. De meest plausibele daders waren de door de natiestaat gesponsorde groepen, met Noord-Korea als hoofdverdachte voor Wannacry en Rusland voor NotPetya. Advanced Persistent Threats (APT’s) geassocieerd met nationale sponsoring zijn nu ieders probleem. Geopolitiek is een steeds belangrijkere factor bij het beoordelen van bedreigingen waarbij InfoSec-professionals destructieve aanvallen zonder monetaire stimulans moeten afhandelen, ondernomen om geopolitieke doelen te ondersteunen. In 2018 namen de geopolitieke spanningen toe en enkele van de grootste verstoringen kwamen van de door de natiestaat gesponsorde groepen. In dit artikel worden de meest relevante geïdentificeerde gebeurtenissen beschreven.

Wie zijn die ‘slechte naties’?

Welke landen ‘tegenstanderlanden’ vormen, hangt grotendeels af van waar men woont. Als je een NAVO-bondgenoot bent, is het een handvol landen op het oostelijk halfrond, aan welke hacking voor geopolitieke doeleinden wordt toegeschreven. Er zijn geen wereldwijde normen voor het bepalen van ‘vijandige landen’, maar APT-hackgroepen worden algemeen beschouwd als door de staat gesponsorde groepen. Kijkend naar een lijst van deze APT’s, zien we Rusland en Noord-Korea de krantenkoppen halen en Iran zijn capaciteiten in de afgelopen jaren vergroten. Vietnam lijkt zich te concentreren op lokale geopolitieke doelen, terwijl China de meeste APT-groepen heeft, die zich allemaal richten op industriële spionage. We moeten er rekening mee houden dat dit rapport met een westerse blik is geschreven. Omgekeerd, voor degenen die op het oostelijk halfrond wonen, zouden de VS, het VK, Israël, Frankrijk, Duitsland, Zweden en Nederland waarschijnlijk worden geclassificeerd als APT ‘tegenstanderlanden’.

Rusland-verwante activiteit

Sinds 2006 worden cyberaanvallen toegeschreven aan Russische burgers. De afgelopen jaren is de Russische regering beschuldigd van zowel impliciete als expliciete betrokkenheid bij talloze aanvallen en informatieoorlogvoering. De bijbehorende APT’s zijn APT28 en APT29. In 2018 zijn er veel van dergelijke aanvallen geconstateerd, waaronder de onderstaande:

Januari 2018

In het weekend van 27 januari 2018 begonnen DDOS-aanvallen (Distributed Denial of Services) gericht op banken en overheidsdiensten in Nederland. Na enkele dagen gingen ze door en veroorzaakten ze in veel gevallen ernstige onderbrekingen in retailbetalingen en online bankieren.

Een week eerder was er een verhaal opgedoken dat beweerde dat Amerikaanse autoriteiten ‘opscheppen’ over ‘vriendelijke spionagentschappen die toegang hadden tot FSB-netwerken’. Een Nederlands artikel meldde vervolgens dat Nederlandse spionnen het Russische spionnenkantoor (APT29) binnendrongen en de VS waarschuwden voor mogelijke DNC en andere hacks. Veel amateur cyber speurneuzen vermoedden dat de DDOS-aanvallen een gecoördineerde vergelding door Rusland waren. Later werd duidelijk dat de DDOS-aanvallen in feite werden uitgevoerd door een Nederlandse tiener, die dacht dat “het leuk zou zijn om eens te experimenteren”. Claims van het Nederlandse hacken van de Russen zijn echter niet weerlegd.

Februari 2018

In februari 2018 heeft Robert Mueller, speciale aanklager voor het Amerikaanse Ministerie van Justitie, die de Russische interferentie van 2016 in de Amerikaanse verkiezingen heeft onderzocht, dertien Russische onderdanen aangeklaagd en beschuldigd van interferentie in de Amerikaanse verkiezingen van 2016. Twaalf van de verdachten werkten voor het Internet Research Agency, een beruchte, aan het Kremlin gekoppelde Russische troll farm.

In dezelfde maand gaf het Witte Huis Rusland de schuld voor de NotPetya-aanval. NotPetya, hoewel kleiner dan Wannacry, heeft oneindig veel meer schade aangericht en wordt beschouwd als de meest destructieve aanval tot nu toe.

Maart 2018

Veel beveiligingsonderzoekers rapporteerden over Olympic Destroyer-malware die zich richt op de back-end servers van de Olympische Winterspelen in Zuid-Korea met vernietigende aanvallen. Het bijzondere aan Olympic Destroyer waren de vele ingebouwde valse vlaggen die allemaal naar Lazarus Group wijzen, waarvan gedacht wordt dat ze verbonden zijn met Noord-Korea. Blijkbaar probeerden de aanvallers verwarring te zaaien over hun identiteit, door op een andere specifieke en plausibele tegenstander te wijzen. Nogmaals, er is een plausibele verklaring gezien de vernedering waarmee Rusland op het wereldtoneel werd geconfronteerd na de schorsing van de Russische atleten van dezelfde Olympische Spelen voor doping.

Juni 2018

Het Global Research and Analysis Team (GreAT) van Kaspersky onthult dat de aanvallen worden gevolgd door Olympic Destroyer en APT28 / GRU (Russische militaire top inlichtingendienst) voetstappen. De aanvallen zijn gericht op ‘labs voor het voorkomen van chemische bedreigingen’. Het is onbekend of het motief verband hield met de vergiftigingen in Salisbury, maar er kwam een ​​plausibel verhaal naar voren dat het Russische cyberoffensief faalde en dat maanden later Rusland agenten inzette om de Skripal-vergiftiging uit te voeren. Dit verhaal blijft grotendeels gebaseerd op indirect bewijs.

Geopolitiek deel 2: Noord-Korea & China

De geopolitieke dreiging in het cyber landschap vanuit Noord-Korea en China. Lees hier het artikel.

Juli 2018

Robert Mueller beschuldigt twaalf Russische onderdanen. De aanklacht beschrijft een complexe inspanning van de Russische top militaire inlichtingendienst (de GRU) om de campagne van Hillary Clinton, de rivaal van president Trump, te saboteren. Drie van de twaalf kwamen voor in de aanklachten van het World Anti-doping Agency (WADA) en de Organisatie voor het Verbod op Chemische Wapens (OPCW) van oktober 2018 en zouden bij beide inspanningen betrokken zijn geweest.

Oktober 2018

In oktober hebben de VS zeven Russische staatsburgers aangeklaagd voor spionage, in verband met WADA, het anti-dopingagentschap, de Olympische Spelen van 2016 en OPCW (een laboratorium voor de preventie van chemische bedreigingen). Eerder die dag hield het Nederlandse Ministerie van Defensie (MinDef) een persconferentie waar het verwees naar vier van de zeven Russen die in april 2018 waren aangehouden. De vier mannen waren naar het OPCW-kantoor in Nederland gereisd en hadden geprobeerd de WiFi te hacken. De OPCW heeft de Skripal-vergiftiging, de Syrische chemische oorlogvoering, en MH17 onderzocht. De vier mannen werden op heterdaad betrapt, hun laptops en andere gereedschappen werden in beslag genomen, en ze werden meteen gedeporteerd omdat ze diplomatieke paspoorten hadden. In het MinDef werden de gebruikte tactieken en procedures gedetailleerd beschreven. Bellingcat, de open source intelligence-organisatie, deze details gebruikte om honderden bloot te leggen.

Overige activiteiten van APT28

In 2018 werden verschillende andere gebeurtenissen toegeschreven aan APT28 die geen duidelijk verband hebben met de hierboven genoemde:

LoJax, een Rootkit, is een bijzonder gevaarlijk hulpmiddel voor de lancering van cyberaanvallen. Naar verluidt is dit de eerste UEFI Rootkit die bij een aanval is gedecteerd en gebruikt door APT28 om blijvende toegang te verkrijgen buiten de zichtbaarheid van het besturingssysteem.

Internet of Things-botnet ‘VPNFilter’ wordt vermoedelijk ook van APT28-oorsprong. Het botnet infecteert internetapparaten aan het einde van de levensduur met standaardwachtwoorden en lage beveiliging. De bedoeling hiervan is onduidelijk, hoewel onderzoekers aanwijzingen hebben gevonden in de malware met SCADA-inspectiemogelijkheden. Dit geeft aan dat dit mogelijk op zoek is naar de verstoring van kritieke infrastructuur in landen waar goedkope apparaten worden gebruikt in kritieke omgevingen.

Benieuwd naar deel 2?

In het volgende deel beschrijven wij de dreiging uit China en Noord-Korea. Wilt u dit niet missen? Schrijf u dan in voor de nieuwsbrief.

Aanmelden nieuwsbrief

Ook interessant voor u…

Alles lezen over 2018? Download hier het Annual Security Report 2018

De geopolitieke dreigingen in het cyber landschap vanuit Noord-Korea en China.

thumb-website-page-newsletter

Meld je aan voor de nieuwsbrief om de laatste content te ontvangen.