Ontmanteling van Russische SIM-farms
De oorlog in Oekraïne wordt niet alleen op het slagveld uitgevochten, maar ook in de schaduwrijke uithoeken van het internet. Recente operaties van de Oekraïense veiligheidsdienst (SSU) hebben het bestaan onthuld van uitgebreide infrastructuren die door Russische inlichtingendiensten worden gebruikt om Oekraïense soldaten te bespioneren en te manipuleren. Deze infrastructuren, vaak aangeduid als "SIM-farms", maken gebruik van duizenden mobiele nummers en Telegram-accounts om phishingaanvallen uit te voeren en spyware te installeren op de apparaten van de soldaten. In Zhytomyr, een stad ten westen van de Oekraïense hoofdstad Kyiv, voerde een vrouw onder directe bevelen van Rusland een dergelijke operatie uit. Zij beheerde meer dan 600 mobiele nummers die werden gebruikt om Oekraïense strijdkrachten aan te vallen. Speciale software werd gebruikt om phishing SMS-berichten te versturen naar de apparaten van de soldaten. Deze berichten bevatten links die, wanneer aangeklikt, spyware zouden installeren. Deze spyware zou de controleur toegang kunnen geven tot de gegevens en communicatie van de geïnfecteerde apparaten, evenals mogelijke traceermogelijkheden op het slagveld.
Social Engineering en Propaganda
Deze onthullingen komen kort na een waarschuwing van het Computer Emergency Response Team van Oekraïne (CERT-UA) dat de telefoons van soldaten werden gebruikt voor spionagecampagnes. Soldaten werden getarget met verschillende vormen van social engineering, zoals video's van gevechtssituaties en vriendschapsverzoeken op sociale media platforms. De waarschuwing verwees ook kort naar het gebruik van datingsites. Hoewel de SSU geen specifieke voorbeelden gaf van het gebruik van de spyware, werd duidelijk dat de technologie ook werd gebruikt om pro-Kremlin propaganda te verspreiden, ogenschijnlijk vanuit echte Oekraïense burgers. De vrouw die deze operatie in Zhytomyr leidde, werd betaald in cryptocurrency. Ondertussen werd een andere grootschalige operatie geleid door een 30-jarige inwoner van Dnipro. Deze man beheerde bijna 15.000 social media accounts, geregistreerd op Oekraïense mobiele netwerken, en verkocht toegang tot deze accounts op darkweb forums. Zijn belangrijkste klanten waren leden van de Russische inlichtingendiensten. Alleen de man uit Dnipro is tot nu toe gearresteerd, terwijl de vrouw op de hoogte is gesteld dat zij verdacht wordt van het overtreden van Artikel 361.5 van het Oekraïense Wetboek van Strafrecht, vergelijkbaar met de Computer Misuse Act.
Arrestaties van Ransomware-criminelen
Terwijl de SSU deze vermeende Kremlin-facilitatoren aanpakte, kondigde de politie van Kyiv de arrestatie aan van een vermoedelijke sleutelfiguur in de LockBit ransomware-bende. Deze 28-jarige man zou een belangrijke rol hebben gespeeld in zowel de Conti als LockBit bendes door zijn programmeervaardigheden in te zetten om de encryptie-payloads te bouwen voor twee van de meest beruchte ransomware-bendes die ooit hebben bestaan. De arrestatie werd uitgevoerd in april onder leiding van de Nederlandse politie in verband met twee grote aanvallen in Nederland en België. Als zijn rol zo belangrijk was als de politie beweert, kan hij verantwoordelijk zijn voor honderden andere incidenten. Deze vermeende cybercrimineel voegt zich bij twee generaties van verdachte LockBit-medewerkers die eerder zijn gearresteerd, waaronder een vader-zoon duo dat in februari werd opgepakt. Dit was rond dezelfde tijd dat Operatie Cronos zijn best deed om LockBit neer te halen. Hoewel de organisatie, die volgens internationale politieautoriteiten wordt geleid door verdachte Dmitry Khoroshev, nog steeds actief is, opereert zij nu op een beperktere schaal volgens de Britse National Crime Agency.
De Strijd tegen Cybercriminaliteit
De operaties die door de SSU zijn uitgevoerd, benadrukken de voortdurende strijd tegen cybercriminaliteit in Oekraïne, die zich uitstrekt van het slagveld tot de digitale wereld. Het gebruik van SIM-farms en social engineering technieken door Russische inlichtingendiensten toont de verfijning en vastberadenheid van deze cyberaanvallen. De arrestaties van cybercriminelen in Oekraïne, zoals de vermoedelijke LockBit-affiliate, laten zien dat internationale samenwerking en gerichte operaties essentieel zijn in de strijd tegen deze dreigingen. Terwijl de oorlog voortduurt, blijft de strijd om informatie en cyberdominantie een cruciaal onderdeel van het conflict. Het darkweb speelt hierin een belangrijke rol, aangezien het een platform biedt voor de handel in gestolen gegevens, de verkoop van toegang tot gehackte accounts en de verspreiding van malware. De acties van de SSU en andere internationale partners zijn een stap in de goede richting om deze illegale activiteiten te verstoren en de betrokken criminelen ter verantwoording te roepen.
Toekomstperspectief
De recente ontwikkelingen in Oekraïne onderstrepen de complexiteit van moderne oorlogsvoering, waar traditionele militaire tactieken worden aangevuld met geavanceerde cyberaanvallen. Het darkweb fungeert als een schimmige marktplaats waar criminele activiteiten kunnen bloeien, en het ontmantelen van deze netwerken is van cruciaal belang voor de nationale veiligheid. De inspanningen van de SSU en hun internationale partners tonen aan dat hoewel de strijd moeilijk is, de samenwerking en vastberadenheid om cyberdreigingen te bestrijden onverminderd doorgaan. Het is een voortdurende strijd om de balans te vinden tussen technologische vooruitgang en de bescherming tegen de misbruik ervan door kwaadwillenden. De wereld moet waakzaam blijven en voortdurend werken aan het verbeteren van cyberbeveiliging en het opbouwen van veerkracht tegen de dreigingen die uit het darkweb voortkomen.
Bron: theregister
Begrippenlijst: Sleutelwoorden uitgelegd
-
Darkweb: Een deel van het internet dat niet toegankelijk is via reguliere zoekmachines en browsers. Het wordt vaak gebruikt voor illegale activiteiten, omdat het anoniem surfen mogelijk maakt.
-
SIM-farms: Een verzameling van SIM-kaarten die worden gebruikt om massaal berichten te verzenden of accounts te creëren op sociale media. Vaak gebruikt voor illegale activiteiten zoals phishing of verspreiding van malware.
-
Phishing: Een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als legitieme instanties om persoonlijke informatie, zoals wachtwoorden en creditcardnummers, te stelen.
-
Spyware: Schadelijke software die stiekem op een apparaat wordt geïnstalleerd om gegevens te verzamelen en te verzenden naar de aanvaller, zoals wachtwoorden, berichten en locatiegegevens.
-
Social engineering: Technieken die aanvallers gebruiken om mensen te misleiden en hen te manipuleren zodat ze gevoelige informatie prijsgeven of schadelijke acties uitvoeren.
-
CERT-UA: Het Computer Emergency Response Team van Oekraïne, een organisatie die zich bezighoudt met het detecteren en reageren op cyberincidenten in Oekraïne.
-
Propaganda: Informatie, vaak misleidend of bevooroordeeld, die wordt verspreid om een bepaalde politieke zaak of standpunt te ondersteunen.
-
Ransomware: Schadelijke software die de toegang tot een computer of de gegevens erop blokkeert totdat een losgeld is betaald. Bekende groepen zoals LockBit en Conti gebruiken deze methode.
-
Encryption payloads: Softwareonderdelen die gegevens versleutelen, waardoor ze ontoegankelijk worden zonder de juiste decoderingssleutel. Vaak gebruikt in ransomware-aanvallen.
-
Darkweb forums: Online platforms op het darkweb waar gebruikers anoniem informatie en goederen kunnen uitwisselen, vaak gerelateerd aan illegale activiteiten.
-
Cryptocurrency: Digitale of virtuele valuta die cryptografie gebruikt voor beveiliging, zoals Bitcoin. Vaak gebruikt in illegale transacties vanwege de anonimiteit.
-
Artikel 361.5 van het Oekraïense Wetboek van Strafrecht: Een wet in Oekraïne die vergelijkbaar is met de Computer Misuse Act in andere landen, gericht op het bestraffen van misbruik van computer- en netwerksystemen.
-
LockBit: Een beruchte ransomware-groep die verantwoordelijk is voor talloze cyberaanvallen wereldwijd, waarbij ze losgeld eisen in ruil voor het ontgrendelen van vergrendelde gegevens.
-
Operation Cronos: Een internationale politieoperatie gericht op het ontmantelen van cybercrime-netwerken, waaronder ransomware-groepen zoals LockBit. Meer info Operation Cronos
-
National Crime Agency: De nationale misdaadbestrijdingsinstantie van het Verenigd Koninkrijk die zich bezighoudt met het aanpakken van georganiseerde misdaad, waaronder cybercriminaliteit.