🇳🇱 🇬🇧

Uitbreiding van cyberreservisten en toename van OT-aanvallen

In mei 2024 was er veel te melden over de cyberoorlog. Het Nederlandse ministerie van Defensie heeft aangekondigd het aantal cyberreservisten uit te breiden. Deze reservisten kunnen snel worden ingezet tegen cyberaanvallen en andere online bedreigingen. Demissionair minister Ollongren benadrukte het belang van deze uitbreiding tijdens een debat in de Tweede Kamer. Een nieuwe Defensie Cyber Strategie (DCS), die eind dit jaar wordt verwacht, zal de samenwerking tussen Defensie en de private sector versterken.

Microsoft heeft een toename van aanvallen op operationele technologie (OT)-systemen bij drinkwaterbedrijven gerapporteerd. Veel van deze systemen zijn slecht beveiligd, met zwakke wachtwoorden zoals '1111', wat het voor aanvallers eenvoudig maakt om binnen te dringen. Microsoft adviseert bedrijven om OT-systemen niet direct toegankelijk via het internet te maken en om onnodige poorten en services te sluiten.

De Amerikaanse regering waarschuwde dat pro-Russische hacktivisten zich richten op OT-systemen van waterfaciliteiten. Sinds 2022 hebben deze hacktivisten onbeveiligde en verkeerd geconfigureerde OT-apparaten aangevallen, wat in enkele gevallen tot operationele verstoringen heeft geleid. De overheid raadt aan om firewalls, multifactorauthenticatie en bijgewerkte beveiligingsinstellingen te implementeren om verdere aanvallen te voorkomen.

Op 19 mei 2024 voerde de pro-Russische hacker groep Just Evil/Kill Milk een cyberaanval uit op de luchthaven Hamburg. De hackers kregen toegang tot een extern IT-systeem, maar er werd geen kritieke informatie gestolen en de luchtvaart bleef operationeel.

Onderzoekers hebben nieuwe Lunar-malware ontdekt die door Russische hackers wordt gebruikt om Europese overheidsinstellingen te hacken. Deze malware, bestaande uit LunarWeb en LunarMail backdoors, wordt gebruikt voor langdurige spionage en datadiefstal. De malware is sinds 2020 actief, maar werd recentelijk ontdekt door het cyberbeveiligingsbedrijf ESET.

Aanvallen op kritieke infrastructuur en overheidsinstellingen

De dreigingsactor IntelBroker heeft ingebroken bij het United States Army Aviation and Missile Command (AMCOM) en gevoelige informatie blootgelegd, waaronder onderhoudstaken en PDF-documenten. Deze gebeurtenis benadrukt opnieuw de kwetsbaarheid van kritieke militaire systemen voor cyberdreigingen.

Het Britse ministerie van Defensie heeft een datalek ontdekt waarbij persoonlijke informatie van militair personeel is gecompromitteerd. Het incident betreft een hack in de loonlijst, waarbij gevoelige data zoals namen en bankgegevens zijn blootgesteld. Het ministerie heeft uit voorzorg de getroffen database offline gehaald en er loopt een onderzoek naar de hack.

De Tweede Kamer heeft ingestemd met een wetsvoorstel om de straffen voor cyberspionage te verzwaren. Deze nieuwe wetgeving maakt het mogelijk om acties zoals het lekken van ongerubriceerde gevoelige informatie strafbaar te stellen, vooral als deze handelingen worden uitgevoerd ten behoeve van een buitenlandse overheid.

Uit een onderzoek van Die Zeit blijkt dat links naar videovergaderingen van het Duitse leger maandenlang online toegankelijk waren. De Duitse krijgsmacht heeft aangegeven dat de kwetsbaarheden inmiddels zijn gedicht.

Een groep Iraanse hackers, bekend als APT42, heeft een cyberspionagecampagne uitgevoerd waarbij ze zich voordeden als journalisten om toegang te krijgen tot netwerken van NGO's, mediabedrijven en onderwijsinstellingen. De hackers gebruikten spear-phishing aanvallen en malware om gegevens te stelen.

Noord-Koreaanse hackers, gelinkt aan de APT43-groep, hebben zwakke DMARC-emailbeleidsregels benut voor spearphishing-aanvallen. De aanvallen waren gericht op het verkrijgen van inlichtingen uit de Verenigde Staten en Zuid-Korea.

De NAVO en de Europese Unie hebben samen met internationale partners de langdurige cyberspionagecampagne van de Russische dreigingsgroep APT28 tegen Europese landen veroordeeld. Duitsland onthulde dat deze groep verantwoordelijk was voor een aanval op het Uitvoerend Comité van de Sociaal Democratische Partij.

Internationale cyberdreigingen en hacktivistische campagnes

Er zijn AutoCAD-bestanden van Amerikaanse militaire bases te koop aangeboden op het darkweb. Deze bestanden bevatten gedetailleerde technische tekeningen en schema's van installaties van de Amerikaanse Luchtmachtacademie en de Amerikaanse Ruimtemacht.

Het Poolse persagentschap PAP werd waarschijnlijk getroffen door een Russische cyberaanval. Een vals artikel over militaire mobilisatie werd gepubliceerd op de nieuwsdienst van PAP, wat past binnen de Russische strategie van destabilisatie.

De Russische hackersgroep Hunt3r Kill3rs heeft cyberaanvallen aangekondigd op Israëlische overheids- en militaire infrastructuur. Ze beweren toegang te hebben tot 320GB aan gegevens van het Israëlische ministerie van Buitenlandse Zaken en militaire eenheid 8200.

De High Society Alliance, bestaande uit verschillende hacktivistengroepen, heeft een grootschalige cyberaanval in Spanje opgeëist. De groep heeft FTP-servers en het controlepaneel van een Spaanse senator gehackt en dreigt met het openbaar maken van de gegevens.

De hacktivistengroep GlorySec heeft meer dan 50 Venezolaanse websites overgenomen in een actie tegen de Venezolaanse regering en haar socialistische beleid. De gehackte websites zijn volgens GlorySec nu offline.

Israëlische inlichtingendiensten, zoals Unit 8200 en Shin Bet, zouden al bijna tien jaar het Internationaal Strafhof (ICC) in Den Haag afluisteren. Sinds 2015 onderzoekt het ICC of Israël internationale wetgeving overtreedt in de Palestijnse gebieden. De inlichtingendiensten hacken e-mailaccounts en onderscheppen telefoongesprekken van personen en organisaties die in contact staan met het Strafhof. Israël ontkent deze beschuldigingen en stelt dat de aantijgingen ongegrond zijn.

Rusland test krachtige elektronische wapens die in staat zijn om de satellietinternetdienst Starlink van SpaceX in Oekraïne te verstoren. Deze dienst is essentieel voor de communicatie en militaire operaties van Oekraïne. De Russische pogingen om Starlink te verstoren vormen een grote bedreiging voor Oekraïne en kunnen een tactische verschuiving in het elektronische oorlogsvoeren betekenen.

Microsoft heeft een Noord-Koreaanse hackersgroep, genaamd Moonstone Sleet, geïdentificeerd als verantwoordelijk voor de FakePenny-ransomwareaanvallen. Deze aanvallen hebben geleid tot miljoenen dollars aan losgeldverzoeken. Moonstone Sleet maakt gebruik van trojanized software, malafide games en aangepaste malwareloaders om slachtoffers te misleiden.

Conclusie

Mei 2024 was een maand vol cyberconflicten en bedreigingen, waarbij verschillende actoren hun aanvallen intensifieerden en nieuwe strategieën ontwikkelden. Het is duidelijk dat de dreiging van cyberoorlog aanhoudend is en voortdurend evolueert, wat de noodzaak onderstreept voor voortdurende waakzaamheid en versterking van cyberbeveiligingsmaatregelen wereldwijd.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

• Cyberreservisten: Dit zijn personen die als reservepersoneel dienen in de cyberbeveiligingseenheden van Defensie. Ze kunnen snel worden ingezet om te reageren op cyberaanvallen en andere digitale dreigingen.

• Operationele Technologie (OT)-systemen: Deze systemen worden gebruikt om industriële processen te monitoren en te besturen. Ze zijn vaak te vinden in sectoren zoals energie, waterbeheer en productie.

• Firewalls: Dit zijn beveiligingssystemen die het inkomende en uitgaande netwerkverkeer controleren en ongeautoriseerd verkeer blokkeren. Ze vormen een belangrijke verdedigingslinie tegen cyberaanvallen.

• Multifactorauthenticatie (MFA): Een beveiligingsproces waarbij gebruikers twee of meer verificatiefactoren moeten verstrekken om toegang te krijgen tot een systeem. Dit maakt het moeilijker voor onbevoegde personen om toegang te krijgen.

• Spear-phishing: Een gerichte phishingaanval waarbij aanvallers zich voordoen als betrouwbare entiteiten om specifieke personen of organisaties te misleiden en vertrouwelijke informatie te stelen.

• Backdoors: Dit zijn methoden of software die ongeautoriseerde toegang tot een systeem mogelijk maken, vaak zonder dat de gebruiker hiervan op de hoogte is.

• Loonlijst: Een administratief systeem waarin informatie over de lonen en salarissen van werknemers wordt bijgehouden.

• DMARC (Domain-based Message Authentication, Reporting & Conformance): Een emailverificatie protocol dat helpt bij het voorkomen van email spoofing en phishing door domeineigenaren de mogelijkheid te geven te specificeren hoe om te gaan met ongeauthenticeerde emails.

• DDoS (Distributed Denial of Service)-aanval: Een aanval waarbij meerdere gecompromitteerde computersystemen worden gebruikt om een doelwit, zoals een website of dienst, te overspoelen met verkeer, waardoor het systeem onbereikbaar wordt voor legitieme gebruikers.

• Trojanized software: Software die opzettelijk is aangepast om schadelijke code te bevatten die de aanvaller in staat stelt om ongeautoriseerde acties uit te voeren op het geïnfecteerde systeem.

• Quantum computing: Een type berekening waarbij gebruik wordt gemaakt van de principes van de kwantummechanica, wat het mogelijk maakt om bepaalde berekeningen veel sneller uit te voeren dan klassieke computers.

• Proxynetwerk: Een netwerk van computers die als tussenpersoon (proxy) fungeren tussen de gebruiker en het internet. Dit wordt vaak gebruikt om de ware locatie en identiteit van de gebruiker te verbergen.

• Spear-phishing e-mails: Gepersonaliseerde phishing-e-mails die zijn gericht op een specifiek individu of organisatie, vaak met informatie die de aanvaller heeft verkregen om de aanval geloofwaardiger te maken.

• Steganografie: De techniek van het verbergen van geheime gegevens binnen een ander bestand, zoals een afbeelding of audio, om de aanwezigheid van de gegevens te verbergen.

• Command-and-control (C2): Servers en infrastructuur die door aanvallers worden gebruikt om met geïnfecteerde systemen te communiceren en ze te beheren.

Poolse persagentschap doelwit van Russische cyberaanval

Op vrijdag 31 mei werd het Poolse staatspersagentschap PAP waarschijnlijk getroffen door een Russische cyberaanval. Dit volgde op de publicatie van een vals artikel over militaire mobilisatie op de nieuwsdienst van PAP. De Poolse minister van Digitale Zaken, Krzysztof Gawkowski, verklaarde dat alle aanwijzingen richting een cyberaanval vanuit Rusland wijzen. De Poolse veiligheidsdiensten, waaronder de Interne Veiligheidsdienst, onderzoeken de zaak. De Russische ambassade in Warschau ontkende enige kennis van het incident. Premier Donald Tusk benadrukte dat deze aanval past binnen de Russische strategie van destabilisatie, vooral met de Europese verkiezingen in het vooruitzicht. Het valse artikel, dat tweemaal werd gepubliceerd, beweerde dat Tusk 200.000 mensen zou mobiliseren om in Oekraïne te vechten. PAP heeft de toegang tot het systeem inmiddels beveiligd en onderzoekt de toedracht van de aanval verder. [reuters]

Defensie wil aantal cyberreservisten uitbreiden

Het ministerie van Defensie is voornemens om zowel het aantal als de inzet van cyberreservisten te vergroten. Demissionair minister Ollongren benadrukte dit tijdens een debat in de Tweede Kamer over de weerbaarheid van Nederland tegen buitenlandse ondermijnende activiteiten, waaronder cyberaanvallen. Ollongren stelde dat cyberreservisten snel ingezet kunnen worden en dat er onderzoek wordt gedaan naar de juridische grondslag voor deze uitbreiding. Kamerlid Six Dijkstra vroeg of cyberreservisten ook ingezet kunnen worden tegen online ontwrichtende activiteiten, waarop Ollongren bevestigend antwoordde. Verder stuurde de minister een brief naar de Tweede Kamer waarin de nieuwe Defensie Cyber Strategie (DCS) wordt aangekondigd, die gericht is op de versterking van de cybersamenwerking binnen Defensie en met de private sector. De strategie, die eind dit jaar wordt verwacht, benadrukt ook het belang van schaalbaarheid door de inzet van cyberreservisten.

Toename van aanvallen op OT-systemen bij drinkwaterbedrijven

Microsoft rapporteert een toename van aanvallen op operationele technologie (OT) systemen van drinkwaterbedrijven, die vaak slecht beveiligd zijn. Amerikaanse autoriteiten ontdekten dat meerdere drinkwaterbedrijven gebruik maakten van standaardwachtwoorden zoals '1111', wat het voor aanvallers eenvoudig maakt om binnen te dringen. Microsoft bevestigt dit en benadrukt dat aanvallers op zoek zijn naar via het internet toegankelijke en slecht beveiligde OT-systemen. Uit onderzoek van Microsoft blijkt dat 78 procent van de industriële netwerkapparaten bij klanten bekende kwetsbaarheden bevat. Veel apparaten draaien verouderde firmware of kwetsbare software, en sommige gebruiken zelfs geen wachtwoorden. Microsoft adviseert bedrijven om ervoor te zorgen dat OT-systemen niet direct toegankelijk zijn via het internet, onnodige poorten en services te sluiten, en waar mogelijk remote access te verwijderen. In gevallen waar dit niet haalbaar is, wordt het gebruik van firewalls en VPN’s aanbevolen. [microsoft]

Russische hackers kondigen cyberaanvallen aan op Israëlische overheids- en militaire infrastructuur

De Russische hackersgroep Hunt3r Kill3rs heeft een nieuwe golf van cyberaanvallen aangekondigd, gericht op Israël, specifiek op de militaire en overheidsinfrastructuur. In hun verklaring kondigden ze aan Israël te willen "martelen" en beloofden aanhoudende aanvallen totdat de door hen waargenomen misdaden van Israël stoppen. De aanvallen richten zich onder andere op het Ministerie van Buitenlandse Zaken en militaire eenheid 8200. De groep beweert toegang te verkopen tot RDP- en SharePoint-accounts binnen subbedrijven van het Ministerie van Buitenlandse Zaken en heeft meer dan 320GB aan gegevens van dit ministerie gecompromitteerd. Dit omvat meer dan 2000 documenten en persoonlijke informatie van personen binnen militaire eenheid 8200. Hunt3r Kill3rs heeft aangekondigd hun aanvallen te blijven voortzetten en te intensiveren als hun eisen niet worden ingewilligd.

Cyberaanval door high society alliance op Spaanse FTP-servers en senator

De High Society Alliance heeft een grootschalige cyberaanval in Spanje opgeëist. De groep heeft een aanzienlijk aantal FTP-servers in het land gehackt en hun software op deze servers geïnstalleerd, waardoor ze volledige controle hebben verkregen. Ook hebben ze de controlepaneel van de Spaanse senator Patricia Gomez gehackt, waarbij ze alle gegevens hebben gedownload en toegang behouden. Ze dreigen met het openbaar maken van deze data. Twee groepen, UserSec en ShadowSeekers, worden genoemd als deelnemers aan deze aanvallen. Deze ontwikkelingen onderstrepen de kwetsbaarheid van belangrijke doelwitten en kritieke infrastructuren, wat zorgwekkend is voor de cyberveiligheid in het algemeen.

Hacktivistengroep GlorySec richt zich op Venezolaanse websites

De hacktivistengroep GlorySec heeft aangekondigd meer dan 50 Venezolaanse websites te hebben overgenomen in een actie tegen de Venezolaanse regering en haar socialistische beleid onder leiding van president Maduro. Deze operatie, genaamd #OPVenezuela, is gericht op het verstoren van websites die volgens GlorySec schadelijke inhoud en propaganda bevatten ter ondersteuning van het Maduro-regime. De groep beweert websites te hebben neergehaald die materiaal zoals CP, gore en zoöfilie bevatten, en daarnaast apparaten van het merk TP-Link in Venezuela te hebben overgenomen. GlorySec beschouwt deze acties als een legitieme poging om de Venezolaanse bevolking te bevrijden van de onderdrukkende politiek van de huidige regering. De gehackte websites, variërend van bedrijven tot diensten, zijn volgens GlorySec nu offline. Ze hebben de betrokken websites 48 uur de tijd gegeven om te reageren voordat de verkregen data openbaar worden gemaakt.

Israëlische inlichtingendiensten bespioneren Internationaal Strafhof

Israëlische inlichtingendiensten, waaronder Unit 8200 en Shin Bet, zouden al bijna tien jaar het Internationaal Strafhof (ICC) in Den Haag afluisteren. Zij zouden het Strafhof en zijn partners hacken en telefoongesprekken onderscheppen. Dit heeft onder andere The Guardian gemeld. Sinds 2015 onderzoekt het ICC of Israël internationale wetgeving overtreedt in de Palestijnse gebieden. De Israëlische inlichtingendiensten hebben toegang tot Palestijnse telecommaatschappijen, waardoor zij telefoongesprekken eenvoudig kunnen afluisteren. Daarnaast zou de Shin Bet de Pegasus-spyware hebben geïnstalleerd bij Palestijnse contactpersonen van het Strafhof. Israël ontkent deze beschuldigingen en stelt dat de aantijgingen ongegrond zijn. Het ICC bevestigt dat verschillende inlichtingendiensten actief informatie verzamelen, maar ontkent dat bewijsmateriaal is gestolen of ingezien. Israël zou met deze spionage proberen druk uit te oefenen op het ICC om het onderzoek naar Israël te beïnvloeden.### Israëlische inlichtingendiensten bespioneren Internationaal Strafhof Israëlische inlichtingendiensten, zoals Unit 8200 en Shin Bet, zouden al bijna tien jaar het Internationaal Strafhof (ICC) in Den Haag afluisteren. Sinds 2015 onderzoekt het ICC of Israël internationale wetgeving overtreedt in de Palestijnse gebieden. De inlichtingendiensten hacken e-mailaccounts en onderscheppen telefoongesprekken van personen en organisaties die in contact staan met het Strafhof. Israël heeft toegang tot Palestijnse telecommaatschappijen, waardoor het relatief eenvoudig is om gesprekken af te luisteren. Ook zou de Pegasus-spyware zijn geïnstalleerd bij werknemers van Palestijnse stichtingen en de Palestijnse Autoriteit die met het Strafhof samenwerken. Het doel van deze spionageactiviteiten is om informatie te verkrijgen over onderzoeken van het ICC, zodat Israël zich hierop kan voorbereiden en mogelijk druk kan uitoefenen om deze te beïnvloeden. Israël ontkent de aantijgingen en stelt dat de beweringen ongegrond zijn. Het ICC bevestigt dat er pogingen tot spionage zijn, maar beweert dat er geen gevoelige informatie is gestolen. [theguardian]

Rusland test middelen om Starlink te verstoren in Oekraïne

Rusland is bezig met het testen van een krachtig elektronisch wapen dat in staat is om de satellietinternetdienst Starlink van SpaceX in Oekraïne te verstoren. Deze dienst, essentieel voor de communicatie en militaire operaties van Oekraïne, werd recent getroffen door storingen, vooral langs het noordelijke front. Volgens de Oekraïense digitale minister Mykhailo Fedorov gebruiken de Russen nieuwe, geavanceerde technologieën om de kwaliteit van de Starlink-verbindingen te verminderen. Een Oekraïense legercommandant meldde dat de internetverbinding "gewoon uitviel" en "super traag werd" vlak voor een aanval, wat de troepen dwong over te schakelen op sms-berichten. De voortdurende pogingen van Rusland om Starlink te verstoren, vormen een grote bedreiging voor Oekraïne en kunnen een tactische verschuiving in het elektronische oorlogsvoeren betekenen. Oekraïne blijft in contact met SpaceX om deze problemen aan te pakken. [nytimes]

FakePenny ransomware is van statelijke actor Noord-Korea

Microsoft heeft een Noord-Koreaanse hackersgroep, genaamd Moonstone Sleet, geïdentificeerd als verantwoordelijk voor de FakePenny-ransomwareaanvallen. Deze aanvallen hebben geleid tot miljoenen dollars aan losgeldverzoeken. Moonstone Sleet, eerder bekend als Storm-17, richt zich op zowel financiële als cyberspionagedoelen. De groep maakt gebruik van trojanized software, malafide games en aangepaste malwareloaders om slachtoffers te misleiden. Moonstone Sleet heeft zich snel aangepast en maakt nu gebruik van eigen infrastructuur en tools. Hun aanvallen vertonen sterke overeenkomsten met die van een andere Noord-Koreaanse groep, Diamond Sleet, maar hebben een unieke aanpak ontwikkeld. In april werd een nieuwe variant van de FakePenny-ransomware ingezet, waarbij de aanvallers een losgeld van $6,6 miljoen in Bitcoin eisten. Microsoft concludeert dat de hoofdmotivatie van Moonstone Sleet financiële winst is. Deze groep heeft diverse sectoren aangevallen, waaronder software en informatietechnologie, onderwijs en defensie. De toevoeging van ransomware aan hun strategie wijst op een uitbreiding van hun capaciteiten voor verstorende operaties. [microsoft]

Cybercriminelen NoName057(16) richten pijlen op Duitse websites

De cybercriminele groep NoName057(16) heeft recentelijk een reeks aanvallen uitgevoerd op verschillende websites in Duitsland. De groep, die bekend staat om zijn gewelddadige retoriek en agressieve aanvallen, heeft deze keer Duitse overheids- en bedrijfswebsites getroffen. Hieronder volgt een overzicht van hun recente activiteiten en doelwitten.

In hun verklaring valt te lezen:

“De Duitse regering heeft officieel de overdracht van een ander IRIS-T-luchtverdedigingssysteem aan het criminele regime van Kiev bevestigd🤬 We zetten de aanval op de Duitse internetinfrastructuur voort😈”

Hier zijn de doelwitten die door NoName057(16) zijn aangevallen:

• ❌ Federaal Constitutioneel Hof van Duitsland

Check-host rapport

• ❌ Federaal Bureau voor de Bescherming van de Duitse Grondwet

Check-host rapport

• ❌ Duitse belastingdienst

Check-host rapport

• ❌ Hamburg Fire Insurance Company (de eerste officieel opgerichte verzekeringsmaatschappij van Duitsland)

Check-host rapport

• ❌ Provinciale Holding AG (de op een na grootste staatsverzekeringsmaatschappij in Duitsland)

Check-host rapport

De aanvallen zijn onderdeel van een voortdurende campagne van NoName057(16) tegen Duitse doelwitten, als vergelding voor de militaire steun van Duitsland aan Oekraïne. Het is belangrijk dat organisaties in Duitsland extra waakzaam zijn en hun cyberbeveiligingsmaatregelen versterken om dergelijke aanvallen te weerstaan.

Indonesische hacktivistengroep kondigt cyberaanvallen aan op Indiase overheid en bedrijven

Met de naderende verkiezingen in India heeft de Indonesische hacktivistengroep "Anon Black Flag Indonesian" aangekondigd een reeks cyberaanvallen te zullen uitvoeren op Indiase overheidswebsites en databanken. Deze dreiging, bekendgemaakt via sociale media, roept grote zorgen op over de cybersecurity in India tijdens deze kritieke periode. De groep geeft aan dat hun acties gemotiveerd zijn door diverse grieven, waaronder vermeende eerdere cyberaanvallen van India op websites in Indonesië, Pakistan en Bangladesh. Ook klagen zij over systematische discriminatie van moslims in India, zoals problemen met visumaanvragen voor religieuze activiteiten en beledigende uitspraken van bepaalde hindoepredikers. Daarnaast worden beleidsmaatregelen van premier Narendra Modi als anti-islamitisch bestempeld. Als eerste slachtoffer heeft de groep gemeld dat zij gevoelige databanken van Vinayak Pharma Corp, een belangrijke Indiase farmaceutische onderneming, hebben gecompromitteerd.

Noord-Koreaanse IT'ers infiltreren westerse bedrijven: een cyberoorlogsstrategie

Sinds 2015 werken duizenden Noord-Koreaanse IT-professionals onder valse identiteiten bij buitenlandse bedrijven. Deze IT'ers, georganiseerd door het regime van Kim Jong-un, zorgen voor buitenlandse valuta en geven Noord-Korea toegang tot kritieke bedrijfsinfrastructuur, wat een aanzienlijk bedrijfsrisico vormt. Bedrijven lopen risico's op diefstal van intellectuele eigendommen en cyberafpersing met ransomware. Bovendien kunnen bedrijven onbewust strafrechtelijk aansprakelijk worden gesteld voor het omzeilen van internationale sancties. Volgens de FBI zijn wereldwijd meer dan 4.000 Noord-Koreaanse IT'ers actief, die jaarlijks miljoenen dollars naar Pyongyang sturen. Noord-Korea heeft geprofiteerd van de toename van werken op afstand sinds de Covidpandemie. Noord-Koreaanse IT'ers werken vaak onder valse namen en gebruiken VPN's om hun locaties te verhullen. Deze professionals zijn goed opgeleid in veelgevraagde programmeertalen en AI-technologieën. Noord-Korea heeft een sterk cyberleger opgebouwd dat naast hun kernwapens een cruciale rol speelt in het doorbreken van internationale sancties. [bnr]

Een blik binnen Team R70

Team R70 is een beruchte hacker groep die actief is tijdens conflicten, waaronder het Israël-Hamas conflict en recentelijk in Latijns-Amerika. In een interview met Azael, een belangrijk lid, onthult hij dat Team R70 onafhankelijk opereert zonder invloed van externe partijen. Het team, voornamelijk bestaande uit leden uit Jemen en één Braziliaan, voert high-level cyberaanvallen uit, zoals DDoS-aanvallen en infiltraties, gebruikmakend van geavanceerde technologieën zoals quantum computing. Ze richten zich op grote organisaties en overheidsinstanties, met als doel financiële schade en verstoring van diensten. Azael benadrukt dat hun acties zijn bedoeld om aandacht te vestigen op onrecht en de belangen van hun thuisland te verdedigen. Team R70 werkt soms samen met andere groepen op verzoek, maar behoudt altijd zijn onafhankelijkheid. Hun toekomstige plannen omvatten verdere cyberaanvallen en de verspreiding van ransomware, met een focus op het bevorderen van hun ideologieën en principes.

BlackMaskers Team waarschuwt Jordanië, Israël en de Emiraten

Het hacker collectief BlackMaskers Team heeft een verklaring afgelegd waarin zij Jordanië, Israël en de Verenigde Arabische Emiraten (VAE) waarschuwen. De groep beweert de regio nauwlettend in de gaten te houden en stelt dat zij belangrijke informatie hebben gelekt. Een van de onthullingen betreft Al-Mawazin Ali Makram, die wordt beschreven als een financier verbonden aan Israël, en mogelijke datalekken bij klanten van Al Rajhi Bank. Daarnaast heeft de BlackMaskers Team een laatste waarschuwing gericht aan Bahrein vanwege hun vermeende steun aan Israël. De hackers hintten op toekomstige acties en benadrukten hun vastberadenheid. Deze ontwikkelingen benadrukken de noodzaak voor verbeterde cybersecuritymaatregelen in de getroffen regio's. Overheden en organisaties wordt geadviseerd hun gegevensbescherming en monitoringsystemen te herzien en te versterken om mogelijke datalekken te voorkomen en bestaande kwetsbaarheden aan te pakken.

DDoS-aanvallen op Canadese luchthavens door hacknet en people's cyber army

Op 24 mei 2024 hebben twee Russische cybercriminelen groepen, HackNeT en People’s Cyber Army, naar verluidt een reeks Distributed Denial-of-Service (DDoS)-aanvallen uitgevoerd op verschillende prominente Canadese luchthavensystemen. Deze aanvallen hebben aanzienlijke verstoringen veroorzaakt op onder andere Winnipeg James Armstrong Richardson International Airport en Ottawa Macdonald-Cartier International Airport. Deze gecoördineerde aanvallen benadrukken het cruciale belang van verdediging tegen DDoS-aanvallen, die essentiële diensten en infrastructuur ernstig kunnen verstoren. De incidenten onderstrepen de dringende noodzaak van robuuste cybersecuritymaatregelen om nationale instellingen te beschermen tegen dergelijke dreigingen. Aangezien politiek en economisch gemotiveerde cyberaanvallen steeds vaker voorkomen, is het versterken van onze verdediging tegen deze aanvallen essentieel voor het behoud van nationale veiligheid en stabiliteit.

Cybercriminelen NoName057(16) Richten DDoS-aanvallen op Britse Websites als Vergelding voor Militaire Hulp aan Oekraïne

Cybercriminelen van de groep NoName057(16) hebben onlangs een serie DDoS-aanvallen uitgevoerd op Britse websites. Deze aanvallen zijn een reactie op de aankondiging van Groot-Brittannië om een militair hulppakket ter waarde van £150 miljoen (ruim €217 miljoen) naar Oekraïne te sturen. Dit pakket, aangekondigd door minister van Defensie Grant Shapps, omvat luchtverdedigingssystemen en marine-uitrusting om de Oekraïense marine te versterken.

De cybercriminelen schreven het volgende:

“De Oekraïense strijdkrachten zullen luchtverdedigingssystemen en marine-uitrusting ontvangen om de marine te versterken. Groot-Brittannië stuurt een militair hulppakket ter waarde van £150 miljoen (ruim €217 miljoen) naar Oekraïne om de lucht- en zeeverdediging te versterken. Dit werd aangekondigd door minister van Defensie Grant Shapps, meldt The Sun.

Terwijl de Russofobe autoriteiten van Groot-Brittannië het criminele regime van terrorist Zelensky in bedwang houden, sturen wij DDoS-raketten naar hun websites😈”

De aanvallen waren gericht op verschillende Britse organisaties, waaronder:

• ❌ Money Advice Service, een Britse portaalsite die advies biedt over financiële planning, schuldenbeheer, sparen en beleggen (check-host.net/check-report/19e0105ak).

• ❌ Confederatie van de Britse industrie (check-host.net/check-report/19e01691k).

Deze incidenten benadrukken opnieuw het belang van sterke cyberbeveiligingsmaatregelen voor organisaties, vooral in een tijd van verhoogde geopolitieke spanningen. Bedrijven worden aangemoedigd om hun beveiligingsprotocollen te herzien en te versterken om dergelijke dreigingen tegen te gaan.

Cybercriminelen NoName057(16) richten zich op Duitse overheidswebsites

De beruchte hackersgroep NoName057(16) heeft opnieuw toegeslagen, dit keer met gerichte aanvallen op Duitse overheidswebsites. In hun bericht op sociale media gaven ze aan dat ze “het Russofobe Duitsland blijven aanvallen” en meerdere overheidssites platleggen.

Hieronder een overzicht van de getroffen websites:

• ❌ Staatsportaal van Sleeswijk-Holstein

Check-host rapport

• ❌ Federaal Bureau van Justitie

Check-host rapport

• ❌ Duitse federale arbeidsrechtbank

Check-host rapport

• ❌ Federale Financiële Rechtbank van Duitsland

Check-host rapport

De aanvallen van NoName057(16) zijn onderdeel van hun bredere campagne tegen landen die zij beschouwen als vijandig tegenover Rusland. De groep staat bekend om hun geavanceerde DDoS-aanvallen die websites overbelasten en tijdelijk onbereikbaar maken. Het is van cruciaal belang dat organisaties hun cyberbeveiliging versterken om dergelijke aanvallen te kunnen weerstaan.

Cybersecurity-experts raden aan om robuuste verdedigingsmaatregelen te implementeren, waaronder geavanceerde firewalls, regelmatige beveiligingsupdates, en het gebruik van anti-DDoS oplossingen. Deze recente aanvallen benadrukken nogmaals het belang van een proactieve benadering van cyberbeveiliging voor zowel overheidsinstellingen als bedrijven.

Stark Industries Solutions: Een Wolk van Cyberdreigingen

In februari 2022, kort voor de Russische invasie van Oekraïne, verscheen Stark Industries Solutions als een grote internet hostingfirma en werd snel een centrum voor massale DDoS-aanvallen op Oekraïense en Europese doelen. Onderzoek toont aan dat Stark Industries fungeert als een wereldwijd proxynetwerk, dat de ware bron van cyberaanvallen en desinformatiecampagnes tegen vijanden van Rusland verhult. Een prominente pro-Russische hacktivistengroep, NoName057(16), maakt gebruik van Stark Industries en andere hostingproviders voor gecoördineerde DDoS-campagnes. NoName recruteert hacktivisten via Telegram en biedt beloningen aan gebruikers die hun software, DDoSia, installeren om deel te nemen aan aanvallen. Stark Industries biedt ook proxy- en VPN-diensten aan, die vaak worden misbruikt voor cybercriminele activiteiten. Daarnaast blijkt uit rapporten dat Stark samenwerkt met MIRhosting en wordt geleid door Ivan Neculiti, die ook betrokken is bij andere hostingbedrijven en cybercriminaliteit. Ondanks meldingen van misbruik blijft Stark ontkennen betrokkenheid te hebben bij schadelijke activiteiten.

Hacker vallen opnieuw websites van overheid en politie in Mecklenburg-Vorpommern (D) aan

In Mecklenburg-Vorpommern (D) hebben hackers opnieuw websites van de overheid en politie aangevallen. Sinds donderdagochtend zijn verschillende sites van de Landesregierung, Landespolizei en Verfassungsschutz beperkt toegankelijk. De aanval lijkt sterk op eerdere aanvallen in april en november van vorig jaar, aldus Landesdigitalisierungsminister Christian Pegel. De eerste analyses wijzen op DDoS-aanvallen, waarbij servers worden overbelast door massale verzoeken. Vorig jaar bekende een Russische groep verantwoordelijk te zijn voor soortgelijke aanvallen. De websites worden technisch beheerd door het Data Processing Center van de deelstaat. Vooral vakwebsites van verschillende departementen zijn getroffen. Specialisten werken hard om verdere aanvallen te voorkomen, maar verdere verstoringen zijn voorlopig niet uitgesloten. In november vorig jaar werden voornamelijk websites van de Landespolizei aangevallen, terwijl in april 2023 cyberaanvallen plaatsvonden in meerdere deelstaten, waaronder Mecklenburg-Vorpommern. [welt]

Pro-Russische hackers vallen Duitse overheidswebsites aan

Op 22 mei 2024 heeft de hackersgroep NoName057 een reeks DDoS-aanvallen uitgevoerd op diverse Duitse federale instellingen. Deze aanvallen waren een reactie op de steun van Duitsland aan Oekraïne in het lopende conflict met Rusland. De getroffen websites omvatten onder andere het Duitse federale ministerie van Justitie, het ministerie van Transport en Digitale Infrastructuur, het federale kantoor voor Logistiek en Mobiliteit, en de Duitse Douaneadministratie. NoName057 verklaarde dat deze acties bedoeld waren om Duitsland te straffen voor hun steun aan wat zij de "criminele regime" van de Oekraïense president Volodymyr Zelensky noemden. De groep waarschuwde dat dergelijke aanvallen zullen doorgaan. NoName057(16) staat bekend als een pro-Russische hackersgroep die vaak cyberaanvallen uitvoert op Oekraïense, Amerikaanse en Europese overheidsinstanties, mediabedrijven en particuliere ondernemingen.

Chinese hackers maken gebruik van ORB-proxynetwerken om detectie te omzeilen

Onderzoekers waarschuwen dat Chinese staatshackers steeds vaker gebruik maken van uitgebreide proxynetwerken, genaamd Operational Relay Box (ORB) netwerken, voor cyberspionage. Deze netwerken bestaan uit virtuele privéservers en gecompromitteerde apparaten en worden beheerd door onafhankelijke cybercriminelen. ORB-netwerken zijn vergelijkbaar met botnets maar maken ook gebruik van commerciële VPS-diensten en gecompromitteerde apparaten zoals verouderde routers. De complexiteit en geografische verspreiding van deze netwerken maken detectie en toewijzing van aanvallen moeilijker. Specifieke netwerken, zoals ORB3/SPACEHOP en ORB2/FLORAHOX, worden ingezet door meerdere Chinese geassocieerde dreigingsactoren voor verkenning en exploitatie van kwetsbaarheden. ORB-netwerken zorgen voor stealth en veerkracht, waardoor ze moeilijk te traceren zijn en minder verdacht overkomen bij verkeersanalyse. Het gebruik van deze netwerken door verschillende dreigingsactoren vergroot de uitdaging voor verdedigers om bedrijven effectief te beschermen. [mandiant]

Chinese hackers onopgemerkt op militaire en overheidsnetwerken gedurende 6 jaar

Een onbekende dreigingsgroep genaamd "Unfading Sea Haze" heeft sinds 2018 militaire en overheidsentiteiten in de Zuid-Chinese Zee-regio aangevallen, zonder ontdekt te worden. Onderzoekers van Bitdefender melden dat deze groep, die vermoedelijk door de Chinese staat wordt gesteund, zich richt op spionage en inlichtingenvergaring. De aanvallen beginnen met spear-phishing e-mails die kwaadaardige ZIP-archieven bevatten. Deze bevatten LNK-bestanden die PowerShell-commando's uitvoeren om fileless malware te installeren via de legitieme msbuild.exe-tool van Microsoft. Deze methode laat geen sporen achter op het systeem van het slachtoffer. De malware omvat onder andere een backdoor genaamd 'SerialPktdoor' en keyloggers om toetsaanslagen vast te leggen. Ook worden lokale beheerdersaccounts gemanipuleerd om persistentie te behouden. Daarnaast gebruikt de groep commerciële Remote Monitoring and Management (RMM)-tools om toegang te verkrijgen tot de netwerken. Om deze aanvallen te stoppen, moeten organisaties een uitgebreide beveiligingsstrategie hanteren, inclusief patchbeheer, MFA-adoptie, netwerksegmentatie en geavanceerde detectie- en responssystemen. [bitdefender]

❗️Hacker groep just evil dringt door tot extern it-systeem van hamburg airport

Op 19 mei 2024 heeft de pro-Russische hacker groep Just Evil/Kill Milk een cyberaanval uitgevoerd op de luchthaven Hamburg. De hackers kregen toegang tot een extern IT-systeem dat gebruikt wordt voor de documentatie en bewaking van veiligheidsrondes, dat apart wordt gehost door een externe dienstverlener. Hoewel de hackers beelden en gegevens van dit systeem openbaar maakten, bevestigde de luchthaven dat er geen kritieke of veiligheidsrelevante informatie werd gestolen en dat andere systemen niet werden aangetast. Hierdoor bleef de luchtvaart volledig operationeel zonder verstoringen. De groep Just Evil/Kill Milk heeft in het verleden meerdere cyberaanvallen uitgevoerd en wordt geleid door de Russische staatsburger Nikolai Serafimov. [cso]

Hacktivisten groep lekt volledige database van centurion university

Op 19 mei 2024 heeft de hacktivistengroep "Hacktivist Indonesia" de volledige database van Centurion University openbaar gemaakt. De gelekte data bevat zeer gevoelige informatie van veel aanvragers, studenten en medewerkers van de universiteit. De gegevens omvatten ID's, namen, campusaffiliaties, cursusdetails, geslacht, e-mailadressen, mobiele nummers, geboortedata, categorieën, nationaliteiten, religies, Aadhar-nummers en uitgebreide familie-informatie. Ook zijn onderwijsachtergronden en betalingsdetails onderdeel van de gelekte dataset. De hack richtte zich op de website van Centurion University, en de groep onthulde daarnaast de kwetsbaarheid die de aanval mogelijk maakte. Hacktivist Indonesia benadrukte in hun verklaring dat ze naast het publiceren van de database ook de kwetsbaarheid hebben gedeeld, met de boodschap: “Deze keer zijn we vriendelijk, want naast het posten van jullie database, vertellen we ook waar de kwetsbaarheid zit.”

DDoS-aanvallen op Slowaakse websites door HackNeT en NoName057

Drie Russische cybercriminele groepen, HackNeT, NoName057, en de People's CyberArmy, hebben naar verluidt een reeks Distributed Denial-of-Service (DDoS) aanvallen uitgevoerd op verschillende prominente Slowaakse websites, wat aanzienlijke verstoringen veroorzaakte. Deze groepen, waaronder HackNeT, richten hun aanvallen op diverse doelwitten in Slowakije, zoals de regio Prešovský en de historische stad Trenčín, evenals internationale organisaties zoals de Internationale Organisatie voor Migratie (IOM). Deze gecoördineerde aanvallen benadrukken het kritieke belang van verdediging tegen DDoS-aanvallen, die essentiële diensten en infrastructuur ernstig kunnen verstoren. De incidenten onderstrepen de dringende noodzaak voor robuuste cybersecuritymaatregelen om nationale instellingen tegen dergelijke bedreigingen te beschermen. Naarmate politiek en economisch gemotiveerde cyberaanvallen frequenter worden, is het essentieel om de verdediging tegen deze aanvallen te versterken om nationale veiligheid en stabiliteit te waarborgen.

DDoS-aanval op Queen Alia International Airport door Anonymous Arabia

Op 17 mei 2024 heeft het hackerscollectief Anonymous Arabia naar verluidt een Distributed Denial-of-Service (DDoS)-aanval uitgevoerd op Queen Alia International Airport (QAIA), het belangrijkste vliegveld van Jordanië. QAIA is het hoofdkwartier en de hub van Royal Jordanian Airlines en bedient jaarlijks ongeveer 9 miljoen passagiers. De aanval, uitgevoerd met behulp van de Bossbonet DDoS-infrastructuur, veroorzaakte verstoringen in de online diensten van het vliegveld. Anonymous Arabia motiveerde de aanval door de vermeende steun van Jordanië aan Israël tegen Gaza. Deze cyberaanval benadrukt het toenemende gebruik van cyberaanvallen als middel voor politieke en ideologische uitdrukking, met aanzienlijke gevolgen voor belangrijke internationale transportknooppunten en hun operaties.

Russische cybergroepen lanceren DDoS-aanvallen op Slowaakse websites

Twee cybercriminele groepen, NoName057(16) en het Cyberleger van Rusland, hebben naar verluidt een reeks Distributed Denial-of-Service (DDoS) aanvallen uitgevoerd op diverse prominente Slowaakse websites, wat aanzienlijke verstoringen veroorzaakte. NoName057(16) richtte zich onder andere op de VÚB Bank, de op één na grootste bank van Slowakije, en de Nationale Raad van Slowakije, het belangrijkste wetgevende orgaan van het land. Het Cyberleger van Rusland zou aanvallen hebben uitgevoerd op het Ministerie van Buitenlandse en Europese Zaken van de Slowaakse Republiek, dat verantwoordelijk is voor het buitenlandse beleid en de internationale betrekkingen van Slowakije. Deze gecoördineerde aanvallen benadrukken de kwetsbaarheid van kritieke nationale infrastructuren voor cyberdreigingen en onderstrepen de noodzaak van robuuste cybersecuritymaatregelen. Deze aanvallen geven een groeiende trend aan van politiek en economisch gemotiveerde cyberaanvallen op nationale instellingen.

Navo-landen bespreken aanpak van cyberdreigingen in Den Haag

Tijdens een conferentie in Den Haag, georganiseerd door Nederland en Roemenië, bespraken NAVO-landen de aanpak van cyberdreigingen. Het Nederlandse ministerie van Buitenlandse Zaken benadrukte dat cyberspionage, sabotage en nepnieuws belangrijke instrumenten zijn geworden in de wereldwijde machtsstrijd. Tijdens de NAVO-Cyberconferentie werden maatregelen besproken om het bondgenootschap beter te verdedigen tegen cyberdreigingen. Er werd ook gekeken naar manieren waarop overheden en bedrijven kunnen samenwerken om cyberaanvallen te herkennen en te voorkomen. Nederland werkt samen met landen wereldwijd, bedrijven, maatschappelijke organisaties, de EU en NAVO om cyberdreigingen aan te pakken. Dit gebeurt door het uitwisselen van kennis en informatie, het opzetten van samenwerkingsverbanden en het opleggen van sancties indien nodig. De conferentie begon gisteren en eindigt vandaag. [rijksoverheid]

Noord-Koreaanse infiltratie bij Amerikaanse bedrijven onthuld

De Amerikaanse autoriteiten hebben onthuld dat Noord-Koreaans IT-personeel zich heeft weten binnen te dringen bij meer dan driehonderd Amerikaanse bedrijven. Met hulp van Amerikaanse handlangers en gebruik van valse of gestolen identiteiten konden deze Noord-Koreaanse medewerkers solliciteren en posities verkrijgen bij diverse grote ondernemingen, waaronder Fortune 500-bedrijven. Deze infiltratie heeft miljoenen dollars opgeleverd voor het Noord-Koreaanse regime. Een van de verdachten beheerde een "laptop farm" waardoor het leek alsof de IT-medewerkers vanuit Amerika werkten. Tevens werden Amerikaanse bankrekeningen gebruikt om de salarissen te ontvangen. Pogingen om bij Amerikaanse overheidsinstanties aan de slag te gaan waren echter grotendeels onsuccesvol. De verdachten worden beschuldigd van het jarenlang creëren van nepaccounts en het faciliteren van geldtransacties. De opgelegde straffen kunnen oplopen tot respectievelijk 97,5 en 67,5 jaar gevangenisstraf. De FBI waarschuwt organisaties om hun identiteitsverificatieprocessen tijdens sollicitatieprocedures te versterken en HR-personeel te trainen in het herkennen van fraude. Ook wordt geadviseerd om ongewoon netwerkverkeer en de aanwezigheid van niet-toegestane software te monitoren. [justice, ic3]

Russische hackers gebruiken nieuwe Lunar-malware om Europese overheidsinstellingen te hacken

Onderzoekers hebben twee nieuwe backdoors ontdekt, genaamd LunarWeb en LunarMail, die werden gebruikt om de diplomatieke instellingen van een Europees ministerie van Buitenlandse Zaken te compromitteren. Deze malware is sinds minstens 2020 actief. Cyberbeveiligingsbedrijf ESET vermoedt dat de backdoors gelinkt zijn aan de Russische staatssponsorgroep Turla. De aanval begint met spear-phishing e-mails die schadelijke macrocode bevatten, wat leidt tot de installatie van de LunarMail backdoor. Deze backdoor creëert een Outlook-add-in voor persistente toegang. Daarnaast wordt de LunarWeb payload via een verkeerd geconfigureerde netwerkmonitoring tool gedropt en voert het commands uit verborgen in afbeeldingsbestanden met behulp van steganografie. De backdoors zorgen voor langdurige en geheime spionage, datadiefstal en controle over de geïnfecteerde systemen. ESET heeft aanwijzingen gevonden dat deze tools ontwikkeld en beheerd worden door meerdere individuen, wat de geavanceerdheid van de aanvallen varieert. Ondanks recente ontdekkingen zijn deze backdoors al sinds 2020 operationeel en onopgemerkt gebleven. [eset]

Kimsuky hackers gebruiken nieuwe Linux-backdoor in aanvallen op Zuid-Korea

De Noord-Koreaanse hackersgroep Kimsuky heeft een nieuwe Linux-malware genaamd Gomir ingezet, een variant van de GoBear-backdoor die wordt verspreid via geïnfecteerde software-installaties. Kimsuky, gelinkt aan de militaire inlichtingendienst van Noord-Korea, heeft in februari 2024 verschillende Zuid-Koreaanse doelwitten aangevallen door middel van trojanized software-oplossingen. Onderzoekers ontdekten dat deze campagne de nieuwe Gomir-backdoor omvatte, een Linux-variant van GoBear. Gomir deelt veel overeenkomsten met GoBear en biedt functies zoals directe command-and-control (C2) communicatie, persistentie, en ondersteuning voor verschillende opdrachten. De malware verbergt zich in het systeem door zichzelf te kopiëren naar "/var/log/syslogd" en een systemd-service te creëren. Het voert ook opdrachten uit die de crontab bijwerken om bij systeemherstart te draaien. Symantec-onderzoekers stellen dat supply-chain aanvallen een voorkeursmethode zijn voor Noord-Koreaanse spionageactiviteiten. Ze benadrukken dat de keuze van de software om te infecteren zorgvuldig is gemaakt om maximale infectiekansen te bieden voor Zuid-Koreaanse doelwitten. [symantec]

❗️IntelBroker breekt in bij Amerikaanse legerluchtvaart en raketcommando

Op 15 mei 2024 werd bekend dat de dreigingsactor IntelBroker heeft ingebroken bij het United States Army Aviation and Missile Command (AMCOM). Dit commando is verantwoordelijk voor de ontwikkeling, acquisitie, inzet en onderhoud van luchtvaart-, raket- en onbemande voertuigen voor het Amerikaanse leger. De inbraak heeft geleid tot de blootstelling van gevoelige informatie, waaronder onderhoudstaken, PDF-documenten, PNG-bestanden en verschillende tekstbestanden. IntelBroker heeft de verantwoordelijkheid voor deze cyberaanval opgeëist. Deze gebeurtenis benadrukt opnieuw de voortdurende kwetsbaarheid van kritieke militaire systemen voor cyberdreigingen.

DDoS-aanvallen door hacknet en cyber army of russia op australische entiteiten

Op 13 mei 2024 kwamen er meldingen binnen dat HackNeT, samen met de Cyber Army of Russia, vermoedelijk distributed denial-of-service (DDoS) aanvallen uitvoert op prominente Australische websites. De doelwitten van deze aanvallen zijn onder andere Fremantle Ports, het grootste algemene vrachthavencentrum van West-Australië; het Sydney Opera House, een bekend cultureel icoon in Sydney, New South Wales; en AuditCo, een vooraanstaand auditbedrijf in de certificerings- en nalevingssector in Australië. Volgens een verklaring van HackNeT zijn deze cyberaanvallen een protest tegen de houding van de Australische regering ten aanzien van Oekraïne. De aanvallers benadrukken dat de aanvallen niet persoonlijk bedoeld zijn, maar bedoeld zijn om ontevredenheid te uiten over het overheidsbeleid. Ze verwijzen vragen over deze acties door naar de regering en haar aanpak van de situatie in Oekraïne.

🇳🇱 Verzwaring Straffen voor Cyberspionage Goedgekeurd door Tweede Kamer

De Tweede Kamer heeft ingestemd met een wetsvoorstel om de straffen voor cyberspionage te verzwaren. Dit besluit komt voort uit de noodzaak om de ernst van dergelijke misdrijven beter te weerspiegelen in de strafmaat, mede door maatschappelijke veranderingen zoals globalisering en digitalisering. Het voorstel, voorgedragen door demissionair minister Yesilgöz van Justitie en Veiligheid, omvat een strafverhoging van een derde voor computermisdrijven die verband houden met spionage voor buitenlandse mogendheden. De nieuwe wetgeving maakt het tevens mogelijk om acties zoals het lekken van ongerubriceerde gevoelige informatie of andere handelingen die Nederlandse belangen kunnen schaden, strafbaar te stellen. Dit geldt met name als deze handelingen worden uitgevoerd ten behoeve van een buitenlandse overheid. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) benadrukt dat de aanpassingen nodig zijn om ook zonder directe aangifte van een bedrijf vervolging mogelijk te maken. De Eerste Kamer moet nog stemmen over het wetsvoorstel. [tweedekamer, internetconsultatie, nctv, eerstekamer]

Omvangrijke Hackaanval Treft Britse Lokale Nieuwssites

Een zelfverklaarde groep "eersteklas Russische hackers" heeft mogelijk honderden lokale en regionale Britse nieuwssites aangevallen. De groep plaatste een nep-nieuwsbericht met de titel "PERVOKLASSNIY RUSSIAN HACKERS ATTACK" op websites van Newsquest Media Group. Opmerkelijk is dat er geen bewijs is dat dit nep-nieuws in gedrukte vorm is verschenen. Het lijkt erop dat een centraal of gedeeld contentbeheersysteem is gecompromitteerd, hoewel er geen direct bewijs is dat de daders daadwerkelijk Russisch zijn. De cyberaanval heeft geleid tot zorgen over de cybersecurity van lokale mediagroepen in het Verenigd Koninkrijk, vooral met het oog op de aankomende verkiezingen. De gepubliceerde berichten bevatten geen tekst, maar slechts de naam van de groep, een logo en een ondertekening in het Cyrillisch alfabet toegeschreven aan "Дэниел Хопкинс" of "Daniel Hopkins" in het Engels. Dit incident kan gekoppeld worden aan eerdere informatie-operaties die aan de Belarussische overheid gerelateerde hackersgroep Ghostwriter worden toegeschreven, bekend om het gebruik van spearphishing om toegang te verkrijgen tot systemen van journalisten. [therecord]

Opkomst van Criminal Society: Nieuwe Alliantie Richt Zich op Israël en Bondgenoten

In de nasleep van toenemende spanningen in Gaza, heeft een nieuwe coalitie genaamd Criminal Society zich aangekondigd. Deze alliantie bestaat uit hacktivistische groeperingen die reageren op wat zij beschouwen als de wreedheden door Israël in Gaza. De groepering benadrukt de noodzaak van gecoördineerde acties tegen Israël, zijn bondgenoten en andere betrokken partijen die de huidige conflicten ondersteunen. De boodschap van de alliantie is duidelijk: het verenigen van hacktivisten om krachtige cybercampagnes te initiëren. Criminal Society streeft ernaar om de collectieve kracht, ideeën en kennis van hacktivistengroepen wereldwijd te bundelen. Ze roepen hacktivisten op om zich via Telegram aan te sluiten bij de Criminal Society Coalitie om hun impact te vergroten en inspanningen te synchroniseren. Deze ontwikkeling markeert een significant moment binnen de digitale activisme-arena te midden van het conflict in Gaza, waarbij de nadruk wordt gelegd op vermeende schendingen van mensenrechten en internationaal recht.

GhostSec-cyberaanval verstoort Israëlische industriële systemen

In een recente verklaring heeft de hackergroep GhostSec aangekondigd gerichte cyberaanvallen uit te voeren op de industriële controlesystemen (ICS) van Israël. Ze beweren succesvol essentiële systemen te hebben geïnfiltreerd en verstoord, waaronder de energiebeschermingscontroller in Netanya, het koelsysteem voor water in Kmakam, 12 panelen voor de teelt van medische cannabis bij Medocann Group, en het Ring radarsysteem van Regulus bedrijf. Deze acties maken deel uit van een grotere campagne waarbij GhostSec zich inzet voor de bevrijding van Palestina. Ze signaleren een voortzetting van dergelijke acties om Israëls industriële infrastructuur te beïnvloeden. De groep hint ook op toekomstige lekken en industriële verstoringen om hun zaak verder te ondersteunen.

Anonieme Collectief Richt Zich op Egypte vanwege Gaza-crisis

Het Anonieme Collectief heeft recent aangekondigd Egypte te zullen targeten wegens hun falen om Gaza-vluchtelingen te helpen. Als vergelding heeft de groep DDoS-aanvallen gelanceerd op belangrijke Egyptische websites, waaronder de officiële portal van de Internationale Luchthaven van Caïro en Egypt Post, verantwoordelijk voor de postdiensten van het land. Dit besluit volgde na ontevredenheid over de vermeende onverschillige houding van Egypte ten opzichte van de vluchtelingen uit Gaza. De groep beschuldigt Egypte ervan de kant van de "zionistische vijand" te kiezen en zijn grenzen te sluiten in plaats van hulp te bieden. Met de strijdkreet "ESCALATE FOR PALESTINE" toont het Anonieme Collectief zijn vastberadenheid om Egypte verantwoordelijk te houden voor zijn rol in de aanhoudende crisis in Gaza.

Russische Cyberaanvallen op Poolse Overheid

Polen heeft aangegeven dat een door de staat ondersteunde Russische dreigingsgroep, gelinkt aan de militaire inlichtingendienst GRU, gedurende een week Poolse overheidsinstellingen heeft getarget. De groep, bekend als APT28, voerde een uitgebreide phishingcampagne uit. De phishingmails bevatten links die, wanneer aangeklikt, de gebruikers doorstuurden naar een pagina die een kwaadaardig ZIP-archief liet downloaden. Dit archief bevatte een vermomd uitvoerbaar bestand en verborgen bestanden die kwaadaardige scripts draaiden. Deze scripts verzamelden computerinformatie zoals IP-adressen en bestandslijsten, en stuurden deze naar een command-and-control server. De gebruikte tactieken en infrastructuur door APT28 zijn identiek aan die in eerdere campagnes, waarbij lokmiddelen gerelateerd aan het conflict tussen Israël en Hamas gebruikt werden om achterdeurtjes in apparaten van ambtenaren te installeren. Polen, samen met de EU en NAVO-partners, roept Rusland op om deze schadelijke activiteiten te staken en zich te houden aan internationale verplichtingen. [cert]

Cyberaanval door Anonymous Arabia op Saudische Alrajhi Bank vanwege Politieke Spanningen

Anonymous Arabia wordt ervan beschuldigd een Distributed Denial of Service (DDoS) aanval te hebben uitgevoerd op Alrajhi Bank, de grootste bank van Saudi-Arabië. De groep zou verschillende onderdelen van de bankinfrastructuur hebben geviseerd, zoals websites, e-banksystemen, e-mailservers en FTP-servers. Deze aanval volgt op recente politieke ontwikkelingen in Saudi-Arabië, waarbij het land aankondigde mensen te zullen arresteren die anti-Israëlische content op sociale media plaatsen. Anonymous Arabia verklaarde dat hun doelwit, Alrajhi Bank, werd gekozen vanwege de vermeende samenwerking met de Saoedische regeringsbeleid. Deze aanval markeert de tweede poging van de groep op Alrajhi Bank binnen een korte tijd, waarbij de eerste aanval geen reactie uitlokte van zowel Saudi-Arabië als de bank zelf. De incidenten benadrukken hoe cyberactivisme en geopolitieke spanningen elkaar kruisen en hoe invloedrijk cyberdreigingsactoren zijn in het vormgeven van digitale discussies. Het is een dringende herinnering voor autoriteiten en financiële instellingen om hun cybersecurity te versterken.

Hack in Loonsysteem Britse Militairen Ontdekt

Het Britse ministerie van Defensie heeft onlangs een datalek ontdekt waarbij persoonlijke informatie van militair personeel is gecompromitteerd. Dit incident betreft een hack in de loonlijst, waarbij gevoelige data zoals namen en bankgegevens zijn blootgesteld. Volgens interne bronnen binnen de Britse regering wijzen de verdenkingen richting Chinese hackers. Als reactie hierop heeft het ministerie uit voorzorg de getroffen database volledig offline gehaald. Het is nog onduidelijk of er data zijn verwijderd door de hackers. Momenteel is er een onderzoek gaande dat zich nog in een beginstadium bevindt. Later vandaag zal de minister van Defensie, Grant Shapps, het parlement informeren en een plan presenteren om het personeel te ondersteunen en te beschermen. Ondanks de verdenkingen is het onwaarschijnlijk dat hij publiekelijk de betrokkenheid van China zal bevestigen. Dit incident is de laatste in een reeks vermeende Chinese cyberaanvallen gericht op het Verenigd Koninkrijk, waaronder eerdere aanvallen op politieke figuren en overheidsdiensten. Het Chinese ministerie van Buitenlandse Zaken ontkent elke betrokkenheid en verklaart zich tegen elke vorm van cyberaanval te verzetten. [bbc, sky]

Anonymous kondigt cyberacties aan tegen Saoedi-Arabië

Het hacktivistencollectief Anonymous heeft aangekondigd dat het Saoedi-Arabië zal gaan targeten in de digitale wereld. Deze aankondiging komt na de recente gebeurtenissen die als onrechtvaardig worden beschouwd door de groep. Anonymous richt zich voornamelijk op overheidswebsites en andere belangrijke digitale infrastructuren van het land. De groep stelt dat de acties een reactie zijn op wat zij zien als onderdrukkende maatregelen en schendingen van mensenrechten door de Saoedische regering. Anonymous heeft in het verleden vergelijkbare cyberoperaties uitgevoerd als vorm van digitaal protest tegen landen of organisaties die volgens hen ethische en morele grenzen overschrijden. Het collectief gebruikt hun vaardigheden in cyberveiligheid om druk uit te oefenen en aandacht te vragen voor specifieke kwesties. Met hun aankondiging om Saoedi-Arabië te targeten, onderstrepen ze hun voortdurende betrokkenheid bij wereldwijde sociale en politieke kwesties.

Oprichting High Society-alliantie: Cyberdreiging neemt toe

UserSec heeft een alliantie genaamd High Society opgericht, bestaande uit 20 hacker-groepen wereldwijd. Het primaire doel van deze alliantie is het richten op leiders van NAVO-lidstaten en Europese landen. Deze groepen, waaronder prominente namen als KotoBot en Indian CyberForce, hebben zich in slechts acht uur verenigd om gezamenlijk operaties uit te voeren. De alliantie heeft duidelijk gemaakt dat elke vijandige actie tegen hun landen of bondgenoten streng zal worden aangepakt. Dit markeert een belangrijke escalatie in cyberoorlogsvoering en benadrukt de noodzaak voor versterkte cybersecurity-maatregelen.

Lijst van leden van de High Society:

• UserSec
• KotoBot
• Indian CyberForce
• Horus Team
• CyberHood
• Pervoklassniy
• GB Anon
• Team_R70
• Anonymous Arabia
• CyberTeam Indonesia
• UnderWorld Hacker Group
• NASA1788
• PPHM
• Hunt3rKill3rs
• Anonymous Collective
• Vampire Networks
• Krypton Networks
• Spectrum Botnet
• BlackDragonSec
• Vendetta Networks

Beveiligingslek bij Duitse leger: Videovergaderlinks maandenlang online

Uit een onderzoek van Die Zeit blijkt dat links naar videovergaderingen van het Duitse leger maandenlang online toegankelijk waren. Dit lek, dat onlangs werd gedicht, kwam aan het licht na navraag door het dagblad. Die Zeit kon duizenden links naar geheime en besloten vergaderingen traceren. In sommige gevallen was toegang tot de vergaderruimtes mogelijk met minimale inspanning, mede door zwakke wachtwoorden zoals 'test'. De Duitse krijgsmacht heeft gereageerd door aan te geven dat de kwetsbaarheden zijn geïdentificeerd en aangepakt, en beweert dat er slechts metadata zichtbaar was. Dit incident volgt kort op een ander beveiligingsprobleem waarbij gesprekken van topmilitairen werden afgeluisterd. [zeit]

Iraanse Hackers Vermommen Zich als Journalisten voor Malware Infiltratie

Een groep Iraanse hackers, bekend als APT42 en gelinkt aan de Islamitische Revolutionaire Garde, heeft een geavanceerde cyberspionagecampagne uitgevoerd waarbij ze zich voordeden als journalisten. Deze hackers richten zich voornamelijk op westerse en Midden-Oosterse doelwitten, waaronder NGO's, mediabedrijven en onderwijsinstellingen. Ze gebruiken social engineering en spear-phishing aanvallen om toegang te krijgen tot netwerken en gegevens te stelen. APT42 maakt gebruik van twee speciaal ontwikkelde backdoors, "Nicecurl" en "Tamecat", die uitgebreide commando-uitvoering en datadiefstal mogelijk maken. Deze backdoors worden verspreid via kwaadaardige e-mails die vertrouwen winnen en uiteindelijk leiden tot het downloaden van de malware. [Mandiant]

Noord-Koreaanse Hackers Misbruiken Zwakke DMARC-Beleid

Noord-Koreaanse hackers, gelinkt aan de APT43-groep, benutten zwakke DMARC-emailbeleidsregels voor spearphishing-aanvallen. Deze groep, actief sinds 2012, wordt geleid door de Noord-Koreaanse militaire inlichtingendienst RGB en richt zich voornamelijk op inlichtingenvergaring uit de Verenigde Staten en Zuid-Korea. Hun aanvallen maskeren ze door emails te verzenden die lijken van betrouwbare afzenders zoals journalisten en academici te komen. NSA en FBI adviseren organisaties hun DMARC-beleid te versterken door instellingen aan te passen zodat verdachte emails worden gequarantaineerd of afgewezen. Dit vermindert het risico van succesvolle phishing-aanvallen en beschermt waardevolle geopolitieke en beleidsgevoelige informatie. [treasury, nsa]

NAVO en EU veroordelen Russische cyberaanvallen op Duitsland en Tsjechië

De NAVO en de Europese Unie hebben samen met internationale partners de langdurige cyberspionagecampagne van de Russische dreigingsgroep APT28 tegen Europese landen formeel veroordeeld. Duitsland onthulde dat deze groep verantwoordelijk was voor een aanval op het Uitvoerend Comité van de Sociaal Democratische Partij, waarbij vele e-mailaccounts gecompromitteerd werden. De aanvallen maakten gebruik van een kwetsbaarheid in Microsoft Outlook en begonnen in april 2022. Deze waren gericht op Europese overheids-, militaire, energie- en transportorganisaties, waaronder ook NAVO-lidstaten en Oekraïne. De Duitse minister van Buitenlandse Zaken en de Tsjechische ministerie van Buitenlandse Zaken hebben krachtig gereageerd op deze aanvallen, en samen met de EU en NAVO-partners, hebben ze maatregelen aangekondigd om Russische cyberactiviteiten te verstoren en verantwoordelijkheid te eisen voor deze daden. [gov, europa, nato, state, uk]

Omvangrijke Datalek bij UAE Regering Legt Gevoelige Informatie Bloot

De regering van de Verenigde Arabische Emiraten (VAE) wordt geconfronteerd met een ernstige cybersecurity crisis als gevolg van een aanzienlijk datalek. Dit datalek omvat diverse overheidsportalen, waaronder Sharik.ae, tdra.gov.ae, en fanr.gov.ae, en strekt zich uit over meerdere ministeries en sleutelentiteiten binnen de regeringsstructuur van de VAE. De aanvallers, bekend onder de naam The Five Families, beweren toegang te hebben verkregen tot gegevens van verschillende ministeries en cruciale overheidsafdelingen, zoals het Ministerie van Binnenlandse Zaken, Financiën en Volksgezondheid en Preventie. De gelekte informatie omvat medewerkersgegevens zoals telefoonnummers, e-mails en namen van belangrijke overheidsdepartementen. Ook regelgevende instanties zoals de Telecommunicatie Regulerende Autoriteit, educatieve instellingen zoals de Universiteit van de Verenigde Arabische Emiraten, en financiële entiteiten zoals de Centrale Bank van de VAE zijn getroffen. Dit incident werpt grote zorgen op over de beveiliging van gevoelige informatie binnen de VAE.

Opkomst van Matryoshka 424: Nieuwe Pro-Russische Hackergroep Lanceert Wervingscampagne

Matryoshka 424, een nieuwe pro-Russische cyberorganisatie, is onlangs verschenen op het toneel van cyberactivisme. De groep heeft zijn voornemen aangekondigd om leden te werven uit diverse sectoren. Matryoshka 424 streeft ernaar om krachten en individuen uit verschillende achtergronden te verenigen om de belangen van Rusland en zijn bondgenoten te beschermen. De wervingscampagne is niet alleen gericht op hackergroepen en allianties, maar ook op individuen zoals bloggers, kunstenaars, videoregisseurs, redacteuren, graffiti-artiesten, ontwerpers, geluidsproducenten en populaire contentmakers. De organisatie belooft interessante werkgelegenheden, samenwerking en ondersteuning voor geselecteerde activiteiten die overeenkomen met hun criteria. Leden kunnen daarnaast carrièregroei, promotiemogelijkheden binnen de organisatie en geschenken verwachten. Verdere details zijn beschikbaar via het 24/7 bereikbare ondersteuningsteam van de groep. De opkomst van Matryoshka 424 benadrukt de veranderende dynamiek van cyberactivisme en de toenemende invloed van dreigingsactoren in het vormgeven van geopolitieke verhalen.

DDoS-aanvallen door Anonymous op Israëlische Vastgoedbedrijven

De Anonymous Collective heeft naar verluidt een reeks DDoS-aanvallen uitgevoerd op meerdere Israëlische vastgoedbedrijven. Deze cyberaanvallen zijn een directe reactie op de beschuldigingen van de groep tegen deze bedrijven, die zij beschuldigen van betrokkenheid bij de kolonisatie van Palestijns land. Volgens Anonymous zijn deze ondernemingen actief in de verkoop van eigendommen in bezette gebieden en dragen ze bij aan de afbraak van Palestijnse gemeenschappen. De aanvallen richten zich op bedrijven zoals iHomes – Israel Real Estate Online, Montefiore Real Estate Group, en CapitIL Real Estate Agency. De precieze omvang van de verstoring die deze aanvallen veroorzaakten op de bedrijfsvoering van de vastgoedfirma’s is niet bekendgemaakt. Deze gebeurtenis benadrukt de verwevenheid van cyberveiligheid met geopolitieke spanningen en werpt licht op de complexe dynamiek van het Israëlisch-Palestijnse conflict.

Beveiligingslek: Verkoop van AutoCAD-bestanden van Amerikaanse Militaire Bases

Recent is gebleken dat ongeveer 2500 AutoCAD-bestanden, samen goed voor 6GB aan data, te koop zijn aangeboden op het darkweb. Deze bestanden bevatten gedetailleerde technische tekeningen en schema's van installaties van de Amerikaanse Luchtmachtacademie (USAFA) en de Amerikaanse Ruimtemacht (USSF). De vraagprijs voor deze gegevens bedraagt $10,000. De verkoper heeft echter geen voorbeeldbestanden verstrekt om de authenticiteit van de data te bewijzen. Dit incident benadrukt het voortdurende risico van gegevenslekken en de behoefte aan strenge beveiligingsmaatregelen binnen militaire en andere kritieke infrastructuren. De verspreiding van dergelijke gevoelige informatie kan potentieel ernstige gevolgen hebben voor de nationale veiligheid, waardoor het essentieel is om voortdurend waakzaam te zijn tegen dergelijke bedreigingen en om adequaat te reageren op indicaties van mogelijke data-inbreuken.

Waarschuwing van de VS: Pro-Russische Hacktivisten Richten Zich op Waterfaciliteiten

De Amerikaanse regering heeft gewaarschuwd dat pro-Russische hacktivisten zich richten op operationele technologie (OT)-systemen die kritieke infrastructuur beheren, zoals waterzuiveringsinstallaties. Deze waarschuwing is afkomstig van meerdere Amerikaanse overheidsinstanties, waaronder CISA, FBI en NSA, en is ook ondersteund door vergelijkbare organisaties in Canada en het Verenigd Koninkrijk. Sinds 2022 hebben deze hacktivisten onbeveiligde en verkeerd geconfigureerde OT-apparaten aangevallen om operationele storingen of hinder te veroorzaken. Ondanks dat veel van deze aanvallen als overdreven worden beschouwd, hebben enkele recente incidenten in 2024 daadwerkelijke verstoringen veroorzaakt. De Cyber Army of Russia heeft aanvallen op waterfaciliteiten in Texas, Indiana, Polen en Frankrijk opgeëist. Om verdere aanvallen te voorkomen, beveelt de overheid het implementeren van verschillende beveiligingsmaatregelen aan, waaronder het gebruik van firewalls, multifactorauthenticatie, en het updaten van beveiligingsinstellingen van de OT-apparaten. [nsa]

Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen