Reading in 🇬🇧 or another language

Noord-Koreaanse hackers en geopolitieke cyberaanvallen

In juli 2024 zijn er meerdere belangrijke gebeurtenissen op het gebied van cyberoorlogvoering en cyberveiligheid geweest. Een van de meest opmerkelijke incidenten is de poging van de Noord-Koreaanse hackersgroep Andariel om nucleaire en militaire informatie van de Verenigde Staten te stelen. Deze groep, die nauw verbonden is met de Noord-Koreaanse overheid, heeft zich gericht op luchtmachtbases en defensiebedrijven, en zou mogelijk ook een bedreiging kunnen vormen voor Nederland vanwege de aanwezigheid van soortgelijke sectoren. Dave Maasland, directeur van ESET Nederland, benadrukt dat investeringen in cyberveiligheid essentieel zijn om dergelijke bedreigingen tegen te gaan. De aanvallen worden vaak gefinancierd door ransomware, waarmee Noord-Korea zijn nucleaire programma ondersteunt.

Daarnaast hebben de cybercriminelen van NoName057(16) hun pijlen gericht op websites in België en Nederland, als reactie op de betrokkenheid van deze landen bij de oorlog in Oekraïne. Hun aanvallen zijn politiek gemotiveerd en hebben geleid tot aanzienlijke verstoringen voor bedrijven en overheidsinstellingen. Bedrijven en organisaties wordt geadviseerd om systemen en software regelmatig bij te werken, back-ups te maken, medewerkers te trainen in het herkennen van phishing-aanvallen en een incident response plan op te stellen.

Ook de AIVD, MIVD en FBI waarschuwen voor de Russische Meliorator-software, die wordt gebruikt voor beïnvloedingsoperaties via fictieve online personen. Socialmediabedrijven wordt aangeraden om processen te implementeren om te valideren dat accounts echt door mensen zijn aangemaakt en om gebruik te maken van multifactorauthenticatie en het verwijderen van persoonlijk identificeerbare informatie.

NAVO initiatieven en westerse beschuldigingen van spionage

Verder opent de NAVO een nieuw NATO Integrated Cyber Defence Centre (NICC) in de Belgische stad Bergen. Dit centrum zal een cruciale rol spelen bij de bescherming tegen geavanceerde cyberaanvallen en zal zowel militair als burgerpersoneel van de NAVO en haar geallieerden, evenals experts uit de industrie, samenbrengen. Het NICC zal commandanten van de NAVO informeren over potentiële dreigingen en kwetsbaarheden in cyberspace, inclusief civiele kritieke infrastructuren die nodig zijn voor militaire operaties.

Ten slotte beschuldigen meerdere westerse landen de Chinese overheid van cyberspionage. De spionagegroep APT40, handelend in opdracht van het Chinese Ministerie van Staatsveiligheid, richt zich vooral op kwetsbare servers en netwerkapparaten. Organisaties worden geadviseerd om logs centraal op te slaan, patchmanagement toe te passen, netwerken te segmenteren en multifactorauthenticatie te gebruiken om zich te beschermen tegen dergelijke aanvallen.

In een ander incident hebben Amerikaanse, Britse en Zuid-Koreaanse autoriteiten Noord-Korea beschuldigd van spionageactiviteiten waarbij gebruik wordt gemaakt van de Log4j-kwetsbaarheid en malafide LNK-bestanden. De aanvallers richten zich op sectoren zoals defensie, luchtvaart, nucleaire technologie en engineering om vertrouwelijke informatie en intellectueel eigendom te stelen. Autoriteiten benadrukken het belang van tijdige beveiligingsupdates, bescherming tegen webshells, monitoring van endpoints en versterkte beveiliging van authenticatie en remote access.

Cyberaanvallen en gevolgen voor infrastructuur

Ondertussen hebben cyberstrijders van de Oekraïense inlichtingendienst HUR een grootschalige cyberaanval uitgevoerd op Russische banken en betalingssystemen. Deze aanval heeft aanzienlijke verstoringen veroorzaakt in het functioneren van banken, openbaar vervoer, en mobiele diensten in Rusland. Belangrijke banken zoals Alfa-Bank, Sberbank, en Tinkoff Bank ondervonden ernstige problemen, net als grote mobiele operators en internetproviders. Deze aanval is onderdeel van een bredere strategie om de Russische samenleving te ontwrichten.

Op 27 juli 2024 claimde de hackersgroep NoName verantwoordelijk te zijn voor een reeks DDoS-aanvallen op diverse Israëlische websites, waaronder de Bank of Israel en het ministerie van Binnenlandse Zaken. Deze aanvallen benadrukken de aanhoudende kwetsbaarheid van vitale infrastructuren voor digitale bedreigingen en de noodzaak van robuuste cyberbeveiligingsmaatregelen.

In Spanje heeft een onbekende groep aangekondigd dat zij onbevoegde toegang hebben verkregen tot de pijpleidingsystemen in het land. Hoewel ze nog geen schade hebben veroorzaakt, waarschuwt de groep dat ze in staat zijn om op grote schaal vernietiging aan te richten indien gewenst. Deze situatie roept bezorgdheid op over de kwetsbaarheid van kritieke infrastructuur en de mogelijkheid van toekomstige cyberaanvallen op NAVO-lidstaten.

Verkiezingsveiligheid en DDoS-aanvallen op Roemenië

CISA en de FBI hebben verklaard dat DDoS-aanvallen op verkiezingsinfrastructuur in de Verenigde Staten hoogstens de publieke toegang tot informatie zullen belemmeren, maar geen invloed zullen hebben op de integriteit of veiligheid van de Amerikaanse algemene verkiezingen in 2024. De agentschappen benadrukken dat deze aanvallen geen invloed zullen hebben op het daadwerkelijke stemproces.

Er is ook een toename van DDoS-aanvallen op Roemenië door hacktivistische groepen zoals CyberDragon en de Cyber Army of Russia. Deze aanvallen zijn een reactie op Roemenië's mogelijke levering van Patriot-raketten aan Oekraïne en de uitbreiding van defensiesamenwerkingen met Zuid-Korea. Vooral overheidsinstanties en de banksector worden getroffen. DDoS-bescherming is cruciaal om deze bedreigingen te mitigeren.

Hackers hebben in januari de verwarming uitgeschakeld in honderden gebouwen in de Oekraïense stad Lviv, waardoor duizenden mensen twee dagen lang in de kou zaten. De aanval werd uitgevoerd met nieuwe malware genaamd FrostyGoop, die zich richtte op een energiebedrijf in Lviv. Dit incident benadrukt de dringende noodzaak voor betere beveiligingsmaatregelen in operationele technologieën.

Toekomstige dreigingen en veiligheidsmaatregelen

Russische hackers dreigen met destructieve aanvallen op de Olympische Spelen van 2024 in Parijs. Volgens cyberbeveiligingsbedrijf Mandiant zijn deze dreigingen gericht op cyberspionage, destructieve aanvallen, informatieoperaties en financiële motieven. De Franse autoriteiten hebben al veiligheidsmaatregelen getroffen om deze dreigingen tegen te gaan.

In Japan hebben de Noord-Koreaanse 'Kimsuky' hackers zich gericht op Japanse organisaties. Deze groep maakt gebruik van social engineering en phishing om toegang te krijgen tot netwerken en op maat gemaakte malware in te zetten om gegevens te stelen en persistentie te behouden. Deze aanvallen benadrukken de voortdurende dreiging van cyberspionage en de noodzaak voor voortdurende waakzaamheid en verbeterde beveiligingsmaatregelen.

Samenvattend, de maand juli 2024 heeft een breed scala aan cyberdreigingen gezien, variërend van spionage en beïnvloedingsoperaties tot directe aanvallen op kritieke infrastructuren. De toename in geopolitiek gemotiveerde cyberaanvallen benadrukt de noodzaak voor robuuste en voortdurend bijgewerkte cyberbeveiligingsmaatregelen. Internationale samenwerking en investeringen in cyberbeveiliging blijven cruciaal om de dreigende cyberoorlogen te weerstaan en te mitigeren.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgeleg

• Hackersgroep Andariel: Een groep hackers die gelinkt is aan de Noord-Koreaanse overheid en zich bezighoudt met cyberaanvallen op militaire en nucleaire doelen.

• Ransomware: Schadelijke software die computers of gegevens versleutelt, waarna de aanvallers losgeld eisen om de gegevens weer vrij te geven.

• NoName057(16): Een cybercriminelen groep die bekend staat om hun politiek gemotiveerde aanvallen, vaak gericht op landen die betrokken zijn bij geopolitieke conflicten.

• AIVD en MIVD: De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zijn de Nederlandse inlichtingen- en veiligheidsdiensten.

• Meliorator-software: Software gebruikt door de Russische overheid voor het genereren en beheren van nepaccounts op sociale media om desinformatie te verspreiden.

• NATO Integrated Cyber Defence Centre (NICC): Een nieuw centrum van de NAVO, gevestigd in Bergen, België, gericht op het beschermen tegen cyberaanvallen.

• APT40: Een Advanced Persistent Threat (APT) groep, vermoedelijk gelinkt aan de Chinese overheid, die zich bezighoudt met cyberspionage.

• Log4j-kwetsbaarheid: Een beveiligingslek in de veelgebruikte Java-logging bibliotheek Log4j, die aanvallers kunnen misbruiken om toegang te krijgen tot systemen.

• LNK-bestanden: Windows snelkoppelingsbestanden die door aanvallers kunnen worden gebruikt om malware te verspreiden.

• FrostyGoop: Een nieuw type malware dat specifiek is ontworpen om de verwarming in gebouwen uit te schakelen door zich te richten op energiebedrijven.

• Multifactorauthenticatie (MFA): Een beveiligingsmaatregel die gebruikers vraagt om meerdere vormen van identificatie te verstrekken voordat ze toegang krijgen tot een systeem.

• Webshells: Kwaadaardige scripts die op webservers worden geplaatst om aanvallers op afstand toegang te geven tot de server.

• Cyberspionage: Het gebruik van cybertechnieken om geheime of vertrouwelijke informatie te verzamelen zonder toestemming.

• DDoS-aanvallen (Distributed Denial of Service): Aanvallen waarbij meerdere systemen worden gebruikt om een doelwit te overspoelen met verkeer, waardoor deze onbereikbaar wordt voor legitieme gebruikers.

• Phishing: Een techniek waarbij aanvallers zich voordoen als betrouwbare entiteiten om gevoelige informatie zoals wachtwoorden te verkrijgen.

• Incident Response Plan: Een gedetailleerd plan dat beschrijft hoe een organisatie moet reageren op een cyberaanval of datalek.

• Social engineering: Technieken waarmee aanvallers mensen manipuleren om vertrouwelijke informatie prijs te geven.

• SOHO-apparaten (Small Office/Home Office): Apparaten zoals routers en netwerkapparatuur die vaak in kleine kantoren en thuisnetwerken worden gebruikt.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

DDoS-aanvallen hebben geen invloed op integriteit van Amerikaanse verkiezingen

CISA en de FBI hebben verklaard dat DDoS-aanvallen op verkiezingsinfrastructuur hoogstens de publieke toegang tot informatie zullen belemmeren, maar geen invloed zullen hebben op de integriteit of veiligheid van de Amerikaanse algemene verkiezingen in 2024. Ondanks eerdere valse claims van bedreigingsactoren dat DDoS-aanvallen de stemprocessen zouden hebben aangetast, hebben de FBI en CISA geen bewijs gevonden van dergelijke aanvallen die de verkiezingsresultaten verstoren, het stemmen verhinderen, of de transmissie van verkiezingsresultaten belemmeren. De agentschappen benadrukken dat, hoewel deze aanvallen kunnen zorgen voor beperkte verstoringen in verkiezingsgerelateerde functies, ze geen invloed zullen hebben op het daadwerkelijke stemproces. Kiezers worden aangemoedigd om informatie te verkrijgen van officiële bronnen en verdachte activiteiten te melden. CISA en de FBI werken samen om de verkiezingsinfrastructuur te beveiligen tegen fysieke en cyberdreigingen. 1

SPA: onbekende groep claimt toegang tot Spaanse pijpleidingsystemen

Een onbekende groep heeft aangekondigd dat zij onbevoegde toegang hebben verkregen tot de pijpleidingsystemen in Spanje. Volgens hun verklaringen hebben ze momenteel blijvende toegang tot deze systemen, hoewel ze nog geen schade hebben veroorzaakt. De groep waarschuwt echter dat ze in staat zijn om op grote schaal vernietiging aan te richten indien gewenst. Daarnaast heeft de groep aangegeven door te zullen gaan met het targeten van landen die lid zijn van de NAVO, wat suggereert dat hun agenda verder reikt dan deze specifieke inbreuk. Deze situatie roept bezorgdheid op over de kwetsbaarheid van kritieke infrastructuur en de mogelijkheid van toekomstige cyberaanvallen op NAVO-lidstaten. 

UKR: Hackers verstoren Russische banken en internetproviders

Op 23 juli hebben cyberstrijders van de Oekraïense inlichtingendienst HUR een grootschalige cyberaanval uitgevoerd op Russische banken en betalingssystemen. Deze aanval heeft aanzienlijke verstoringen veroorzaakt in het functioneren van banken, openbaar vervoer, en mobiele diensten in Rusland. Belangrijke banken zoals Alfa-Bank, Sberbank, en Tinkoff Bank ondervonden ernstige problemen, net als grote mobiele operators en internetproviders. Gebruikers meldden dat digitale diensten ontoegankelijk waren of sterk verminderd functioneerden. Een bron binnen de HUR vermeldde dat deze aanval slechts het begin is en dat verdere verstoringen te verwachten zijn. Het doel van deze aanval is om de Russische samenleving terug te brengen naar een tijd zonder moderne financiële en digitale middelen, aldus de bron. 1

ISR: DDoS-aanvallen op Israëlische websites

Op 27 juli 2024 claimde de hackersgroep NoName verantwoordelijk te zijn voor een reeks DDoS-aanvallen op diverse Israëlische websites. De getroffen doelen zijn onder meer de Bank of Israel, de Jerusalem light rail, de tariefhervorming in het openbaar vervoer en het ministerie van Binnenlandse Zaken. Deze cyberaanvallen hebben tot verstoringen geleid in de dienstverlening van deze instellingen. Het incident benadrukt de aanhoudende kwetsbaarheid van vitale infrastructuren voor digitale bedreigingen en de noodzaak van robuuste cyberbeveiligingsmaatregelen.

ESP: Nieuwe vermeende cyberaanvallen op Spaanse organisaties

Verschillende bedreigingsactoren hebben naar verluidt Spaanse organisaties aangevallen, mede vanwege Spanje's NAVO-lidmaatschap en de recente arrestatie van twee cybercriminelen die banden hebben met NoName057(16). Zowel particuliere als publieke organisaties zijn gedurende meerdere dagen aangevallen. De aanvallers hebben hun acties aangekondigd via Telegram-kanalen en ondersteund met CheckHost-rapporten. De doelwitten omvatten onder andere het Spaanse Nationale Cybersecurity Instituut (INCIBE), de luchthaven Barcelona El Prat, Ibercaja Banco, het portal van General Dynamics European Land Systems, CIMSA Ingeniería de Sistemas, het Internationale Samenwerkingsagentschap, de Spaanse Kamer van Koophandel en Industrie, het online platform van het Tribunal Arbitral de Barcelona, het Grondwettelijk Hof, het Ministerie van Justitie, en de havens van Bilbao, Algeciras en Las Palmas.

🇳🇱 Noord-Koreaanse hackersgroep vormt ook bedreiging voor Nederland

Een hackersgroep verbonden aan Noord-Korea heeft geprobeerd nucleaire en militaire informatie van de Verenigde Staten te stelen. Hierbij werden onder andere luchtmachtbases en defensiebedrijven aangevallen. Dave Maasland, directeur van ESET Nederland, waarschuwt dat ook Nederland kwetsbaar is, gezien de aanwezigheid van soortgelijke sectoren. De groep, genaamd Andariel, richt zich op maritieme industrie, defensie en onbemande voertuigen. Deze aanvallen worden vaak gefinancierd door ransomware, waarmee Noord-Korea zijn nucleaire programma ondersteunt. Maasland benadrukt het belang van investeringen in cyberveiligheid om dergelijke bedreigingen tegen te gaan. 1

Noord-Korea gebruikt Log4j-lek en LNK-bestanden voor spionage

Amerikaanse, Britse en Zuid-Koreaanse autoriteiten beschuldigen Noord-Korea van spionageactiviteiten waarbij gebruik wordt gemaakt van de Log4j-kwetsbaarheid en malafide LNK-bestanden. Volgens de FBI en NSA richten de aanvallen zich op sectoren zoals defensie, luchtvaart, nucleaire technologie en engineering om vertrouwelijke informatie en intellectueel eigendom te stelen. Dit zou de militaire en nucleaire programma's van Noord-Korea ondersteunen. De aanvallers verkrijgen toegang tot systemen door bekende kwetsbaarheden uit te buiten, waaronder het Log4j-lek. Via deze toegang worden webshells geïnstalleerd om gevoelige informatie te stelen en verdere aanvallen uit te voeren. Ook verspreiden zij zip-bestanden via e-mail, waarin schadelijke LNK- en HTA-bestanden zitten. Bij het openen van deze bestanden kan malware geïnstalleerd worden. Autoriteiten benadrukken het belang van tijdige beveiligingsupdates, bescherming tegen webshells, monitoring van endpoints en versterkte beveiliging van authenticatie en remote access. De advisory bevat ook Indicators of Compromise om aanvallers te detecteren. 1, 2, 3

China test geheime 'dual use' technologie op ruimtevliegtuig

China test waarschijnlijk technologie op een onbemand herbruikbaar ruimtevliegtuig dat vanaf een raketbooster wordt gelanceerd en landt op een geheime militaire basis. Experts vermoeden dat dit voertuig technologieën test die zowel militaire als civiele toepassingen hebben. In juni voerde het ruimtevaartuig een manoeuvre uit waarbij een object werd vrijgelaten en teruggehaald. Dit lijkt op de Amerikaanse X-37B, die vergelijkbare experimenten uitvoert. Hoewel China de exacte technologieën niet openbaar maakt, wijzen de tests op mogelijk militaire toepassingen zoals het inspecteren of uitschakelen van vijandelijke satellieten. De huidige missie van het Chinese ruimtevliegtuig begon in december 2023, en eerdere missies duurden tot 276 dagen. Het ruimtevliegtuig wordt gelanceerd vanuit Jiuquan en landt in Lop Nur, een gebied dat nauw wordt gecontroleerd door het leger. Wereldwijd groeit de zorg over de militaire implicaties van deze technologieën, vooral gezien de snelle ontwikkelingen in China's ruimtevaartprogramma. 1

Hackers schakelen verwarming uit in 600 gebouwen tijdens de winterpiek

In januari hebben hackers de verwarming uitgeschakeld in honderden gebouwen in de Oekraïense stad Lviv, waardoor duizenden mensen twee dagen lang in de kou zaten. Onderzoekers van Dragos ontdekten dat de aanval werd uitgevoerd met nieuwe malware genaamd FrostyGoop. Deze malware richtte zich op een energiebedrijf in Lviv en zorgde ervoor dat de verwarmingssystemen niet meer werkten. De aanval begon op 22 januari en trof meer dan 600 gebouwen, terwijl de temperaturen buiten rond de -2°C lagen. De hackers hadden maandenlang voorbereidingstijd en kregen voor het eerst toegang tot het netwerk van het energiebedrijf in april 2023 door een fout in een router te benutten. Vervolgens zetten ze extra toegangspunten op om hun controle te verstevigen. Op de dag van de aanval maakten ze gebruik van Modbus-communicatie, een verouderd en onveilig protocol, om de operationele technologie te saboteren. Dit incident benadrukt de dringende noodzaak voor betere beveiligingsmaatregelen in operationele technologieën. 1

Toename van DDoS-aanvallen na arrestaties in Spanje

Na de arrestatie van drie personen door de Spaanse autoriteiten voor het gebruik van het pro-Russische DDoSia-platform om NAVO-entiteiten aan te vallen, is er een sterke toename van DDoS-aanvallen door verschillende hacktivistengroepen waargenomen. In de afgelopen 24 uur zijn er maar liefst 26 aanvallen opgeëist. Deze aanvallen waren gericht op diverse Spaanse overheids- en infrastructuurorganisaties, waaronder het Baskische parlement, het constitutionele hof van Spanje, en verschillende ministeries en havenautoriteiten. Een nieuwe Russisch-sprekende hacktivistencollectief, genaamd Holy League, roept andere pro-Russische hackers op om hun krachten te bundelen en zich te richten op de internetinfrastructuur van Spanje als steunbetuiging aan de gearresteerden.

Russische Hackers Dreigen Olympische Spelen in Parijs te Verstoren

Volgens cyberbeveiligingsbedrijf Mandiant plannen Russische hackers destructieve aanvallen op de Olympische Spelen van 2024 in Parijs. De dreigingen zijn gericht op vier gebieden: cyberspionage, destructieve aanvallen, informatieoperaties, en financiële motieven. Hackers willen psychologische schade en reputatieschade veroorzaken door middel van DDoS-aanvallen, wiper-malware en desinformatiecampagnes. De Franse steun aan Oekraïne en uitsluiting van Rusland door het Internationaal Olympisch Comité vormen extra motivatie voor deze aanvallen. De Franse autoriteiten hebben al veiligheidsmaatregelen getroffen om deze dreigingen tegen te gaan. 1

Hacktivisten Groep NoName057(16) Voert DDoS-aanvallen uit op Japanse Infrastructuur

Het politiek gemotiveerde hacktivistencollectief NoName057(16) heeft een reeks DDoS-aanvallen uitgevoerd op Japanse infrastructuur. De groep verklaart dat deze aanvallen een reactie zijn op de recente beslissing van Japan om $3,3 miljard toe te wijzen aan Oekraïne en hun banden met de NAVO en de VS te versterken, ondanks dat Japan geen NAVO-lid is. De doelwitten van de aanvallen omvatten onder andere de websites van de Seikan veerboot, Tsugaru Straits Ferry, het informatieplatform van het Shimokita-schiereiland, de luchthaven van Aomori en gerelateerde bouwbedrijven, de Konan Busmaatschappij, de Japanse Commissie voor Commerciële Arbitrage en het Research Institute of Economy, Trade and Industry. NoName057(16) blijft doorgaan met hun campagne om druk uit te oefenen op Japanse instellingen en infrastructuren als een vorm van protest tegen de geopolitieke keuzes van het land.

Cyberaanval Gericht op Israëlische Organisaties door Handala Hack

Onlangs heeft de cybercriminelen groep "Handala Hack" aangekondigd Israëlische organisaties te hebben aangevallen. De groep beweert verantwoordelijk te zijn voor aanvallen op het Chaim Sheba Medisch Centrum en Innovalve Bio Medical LTD. Volgens hun berichten op Telegram zouden deze aanvallen politiek of religieus gemotiveerd zijn. In een van de berichten heeft de groep documenten gepubliceerd die naar verluidt toebehoren aan de doelwitten. In een ander bericht is een link gedeeld naar vermeende data die van de doelwitten is verkregen. Deze incidenten benadrukken opnieuw de kwetsbaarheid van gevoelige gegevens en de noodzaak voor robuuste cyberbeveiligingsmaatregelen.

Hacktivistische Groepen Richten Zich op Roemenië vanwege Geopolitieke Spanningen

Geopolitieke spanningen hebben geleid tot een toename van DDoS-aanvallen op Roemenië. Onderzoek door ASERT toont aan dat hacktivistische groepen zoals CyberDragon en de Cyber Army of Russia deze aanvallen uitvoeren. De aanvallen begonnen op 2 juni 2024, samenvallend met Roemenië's mogelijke levering van Patriot-raketten aan Oekraïne. Op één dag werden 352 directe aanvallen geregistreerd, met een piek van 1016 aanvallen op 5 juni. Vooral overheidsinstanties en de banksector worden getroffen. De spanningen escaleren door Roemenië's betrokkenheid bij wapenleveranties aan Europa en uitbreiding van defensiesamenwerkingen met Zuid-Korea. DDoS-bescherming is cruciaal om deze bedreigingen te mitigeren. 1

Sollicitanten met macOS Doelwit van Noord-Koreaanse Cyberaanval via Besmette MiroTalk

Aanvallers hebben een besmette versie van de videoconferentietool MiroTalk gebruikt om sollicitanten met macOS aan te vallen. Volgens beveiligingsonderzoekers zijn de daders vermoedelijk een Noord-Koreaanse groep die zich richt op zowel spionage als het verkrijgen van inkomsten. De aanvallers deden zich voor als recruiters en benaderden doelwitten via platforms zoals LinkedIn. Sollicitanten werden gevraagd om een gesprek via MiroTalk te voeren, waarvoor een besmette versie van de tool werd aangeboden. Deze versie stal in de achtergrond gevoelige informatie, zoals wachtwoorden, browsergegevens en cryptovaluta-gerelateerde informatie, en installeerde een backdoor voor blijvende toegang tot het systeem. De malafide website die werd gebruikt, was een exacte kopie van de officiële MiroTalk-site, wat het moeilijk maakte voor slachtoffers om het verschil te zien. Deze aanvalsmethode is een herhaling van eerdere soortgelijke aanvallen, waarbij sociale engineering een belangrijke rol speelt. 1

🇪🇺🇧🇪 NAVO opent Cybersecurityhub in Belgische Stad Bergen

De NAVO-lidstaten gaan een nieuw NATO Integrated Cyber Defence Centre (NICC) oprichten in de Belgische stad Bergen. Dit centrum zal een cruciale rol spelen bij de bescherming tegen geavanceerde cyberaanvallen. Het akkoord voor de oprichting van het NICC werd bereikt tijdens de NAVO-top in Washington D.C. Het centrum zal zowel militair als burgerpersoneel van de NAVO en haar geallieerden, evenals experts uit de industrie, samenbrengen. Het NICC zal commandanten van de NAVO informeren over potentiële dreigingen en kwetsbaarheden in cyberspace, inclusief civiele kritieke infrastructuren die nodig zijn voor militaire operaties. In de komende maanden zullen de structuur en functies van het centrum verder worden uitgewerkt. 1

🇧🇪🇳🇱Cybercriminelen van NoName057(16) Richten Zich op Websites in België en Nederland

De cybercriminelen van NoName057(16) hebben hun pijlen gericht op websites in België en Nederland. Deze hackersgroep, bekend om hun kwaadaardige activiteiten, is opnieuw in actie gekomen.

Hun boodschap:

"Wij zijn NoName057(16), en we hebben een reeks aanvallen uitgevoerd op websites in België en Nederland. Deze landen hebben ons geprovoceerd door hun betrokkenheid bij de oorlog in Oekraïne. We zullen doorgaan met onze aanvallen totdat ze stoppen met hun inmenging."

Analyse en impact:
De boodschap van NoName057(16) toont aan dat hun aanvallen politiek gemotiveerd zijn. Dit soort cyberaanvallen kan leiden tot aanzienlijke verstoringen voor bedrijven en overheidsinstellingen, wat benadrukt hoe belangrijk het is om goede cyberbeveiligingsmaatregelen te hebben.

Advies voor bedrijven en organisaties:

1. Regelmatige updates: Zorg ervoor dat alle systemen en software up-to-date zijn om kwetsbaarheden te minimaliseren.
2. Back-ups: Maak regelmatig back-ups van cruciale gegevens en zorg ervoor dat deze back-ups veilig zijn opgeslagen.
3. Bewustwordingstraining: Train medewerkers in het herkennen van phishing-aanvallen en andere vormen van social engineering.
4. Incident Response Plan: Stel een gedetailleerd incident response plan op zodat iedereen weet wat te doen in geval van een cyberaanval.

Overheid adviseert softwareontwikkelaars OS-commandoinjectiekwetsbaarheden te elimineren

De Cybersecurity and Infrastructure Security Agency (CISA) en de FBI hebben softwarebedrijven opgeroepen om hun producten te controleren en eventuele OS-commandoinjectiekwetsbaarheden te verwijderen voordat ze worden verzonden. Dit advies volgt op recente aanvallen waarbij meerdere OS-commandoinjectiebeveiligingsfouten werden misbruikt om Cisco, Palo Alto en Ivanti netwerkedge-apparaten te compromitteren. De Chinese staatshackers Velvet Ant zijn verantwoordelijk voor deze aanvallen, waarbij aangepaste malware werd ingezet om persistentie op gehackte apparaten te verkrijgen als onderdeel van een cyber spionagecampagne. CISA beveelt ontwikkelaars aan bekende maatregelen te implementeren om OS-commandoinjectiekwetsbaarheden op schaal te voorkomen. Daarnaast moeten tech-leiders actief betrokken zijn bij het ontwikkelingsproces en maatregelen nemen, zoals het reviewen van dreigingsmodellen en het uitvoeren van codebeoordelingen, om de kwaliteit en beveiliging van de code te waarborgen. 1

Japan waarschuwt voor aanvallen gekoppeld aan Noord-Koreaanse Kimsuky-hackers

Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) waarschuwt dat Japanse organisaties worden aangevallen door de Noord-Koreaanse 'Kimsuky' hackers. De Amerikaanse overheid heeft Kimsuky geïdentificeerd als een Noord-Koreaanse geavanceerde dreigingsgroep die wereldwijd aanvallen uitvoert om informatie te verzamelen voor de Noord-Koreaanse regering. De hackers maken gebruik van social engineering en phishing om toegang te krijgen tot netwerken, om vervolgens op maat gemaakte malware in te zetten om gegevens te stelen en persistentie op netwerken te behouden. Japan heeft bevestigd dat er aanvallen van Kimsuky zijn gedetecteerd, en benadrukt het belang van waakzaamheid tegen CHM-bestanden die kwaadaardige scripts kunnen bevatten. 1

Oost-Europese landen waarschuwen voor invloed van Russische media

In Europa maken Letland, Estland en Litouwen zich zorgen over de invloed van Russische media, die haat, desinformatie en propaganda verspreiden. Na de Russische inval in Oekraïne zijn verschillende Russische media in Europa geblokkeerd door de Europese Commissie. Echter, Nederlandse organisaties zijn het niet eens met deze maatregelen, omdat zij de pers- en informatievrijheid in gevaar vinden. Het Europees Hof van Justitie buigt zich over deze zaak en moet bepalen welke belangen zwaarder wegen: de vrijheden van meningsuiting en pers, of het voorkomen van Russische invloed. De Baltische staten zien de Europese maatregelen als steun in hun strijd tegen Russische invloed. De zaak draait om mensenrechten en de uitspraak van het Hof wordt met spanning afgewacht. 1

🇳🇱 AIVD en MIVD waarschuwen socialmediabedrijven voor Meliorator-software

De AIVD, MIVD en FBI waarschuwen socialmediabedrijven voor de Meliorator-software die door de Russische overheid wordt gebruikt voor beïnvloedingsoperaties. Deze 'AI-enabled bot farm generation en management software' verspreidt desinformatie via fictieve online personen. Het doel van de software is om desinformatie te verspreiden die Rusland zou kunnen helpen. De software is tot nu toe alleen op X aangetroffen, maar onderzoek wijst uit dat de ontwikkelaars ook andere socialmediaplatformen willen ondersteunen. De diensten adviseren socialmediabedrijven om processen te implementeren om te valideren dat accounts echt door mensen zijn aangemaakt en om voor gebruikersaccounts een Secure by Default te hanteren, met onder andere multifactorauthenticatie en het verwijderen van persoonlijk identificeerbare informatie.

AI-aangedreven bot farm die Russische propaganda op Twitter verspreidt

In een gezamenlijke internationale operatie onder leiding van het Amerikaanse ministerie van Justitie werden bijna duizend Twitter-accounts die door een grote bot farm werden gebruikt om Russische propaganda te verspreiden, weggehaald. De bots werden beheerd door een adjunct-hoofdredacteur bij de door de Russische staat gerunde nieuwsorganisatie Russia Today (RT) en een Russische FSB-officier. Ze verspreidden desinformatie via Twitter met behulp van AI-software genaamd Meliorator. Deze bot farm stelde RT in staat om informatie wijdverspreid te verspreiden en valse verhalen te versterken. Het FBI merkte op dat de bedoeling van de bot farm was om AI gegenereerde buitenlandse desinformatie te verspreiden en zo de geopolitieke narratieven die gunstig waren voor de Russische regering te beïnvloeden.

Westerse landen beschuldigen Chinese overheid van cyberspionage

In een adviesrapport beschuldigen Amerikaanse, Australische, Britse, Canadese, Duitse, Japanse, Nieuw-Zeelandse en Zuid-Koreaanse overheidsdiensten de Chinese overheid van cyberspionage. De spionagegroep APT40, handelend in opdracht van het Chinese Ministerie van Staatsveiligheid, richt zich vooral op kwetsbare servers en netwerkapparaten. De groep maakt gebruik van gecompromitteerde SOHO-apparaten om niet op te vallen tijdens aanvallen. Door het onderzoek van deze apparaten konden de diensten de werkwijzen van de groep in kaart brengen. Organisaties worden geadviseerd om logs centraal op te slaan, patchmanagement toe te passen, netwerken te segmenteren en multifactorauthenticatie te gebruiken om zich te beschermen tegen dergelijke aanvallen. 1

LulzSec Black en Marokkaanse soldaten voeren grote aanvallen uit op Turkse infrastructuur

In een recente golf van cyberaanvallen wordt beweerd dat de hacker groep LulzSec Black, in samenwerking met Marokkaanse soldaten, met succes verschillende prominente Turkse instellingen heeft aangevallen. Deze aanvallen zouden een reactie zijn op de acties van Turkije tegen Syriërs, zoals vermeld door de vermeende hackergroepen. Belangrijke doelwitten zijn onder meer de internationale luchthaven Sabiha Gökçen en verschillende Turkse universiteiten. De Marokkaanse soldaten hebben aangekondigd dat ze met succes verschillende andere Turkse websites hebben gehackt en van plan zijn de details binnen 24 uur bekend te maken. De cyberaanvallen door LulzSec Black en Marokkaanse soldaten vertegenwoordigen een ernstige escalatie in het lopende digitale conflict met Turkije, waarbij belangrijke instellingen worden getroffen en aanzienlijke verstoring wordt veroorzaakt.

SiegedSec lanceert “Zeven Dagen van Belegering” met aanval op Israëlisch IT-bedrijf

SiegedSec, een hackersgroep, heeft de start aangekondigd van hun campagne "Zeven Dagen van Belegering", waarin ze dagelijks hacks zullen onthullen. De eerste dag richtte zich op Impact Networks, een IT-bedrijf in Israël. SiegedSec claimde toegang te hebben gekregen tot een beheerdersportaal en verschillende netwerken van het bedrijf te hebben verstoord. Deze aanval maakt deel uit van hun voortdurende campagne, OpIsrael, die gericht is op Israëlische instellingen. In hun verklaring reflecteerde de groep poëtisch op hun hacking-avonturen en benadrukten ze hun langdurige affiniteit voor digitale infiltratie. De aanval trof meerdere prominente netwerken in Israël, waaronder de ambassade van Finland, Xtend Defense Systems, de Joodse Agentschap voor Israël, Ben-Gurion Universiteit, Blumberg Capital, BrightSource Energy, Merkaz Klita opvangcentra en de Oxford Tower.

Nepnieuws Over Bugatti-aankoop door Oekraïense First Lady Ontmaskerd

Er is onlangs vals nieuws verspreid dat Olena Zelenska, de first lady van Oekraïne, een Bugatti-hypercar van $4,8 miljoen zou hebben gekocht. Deze desinformatie, waarschijnlijk afkomstig uit Rusland, was bedoeld om Oekraïne te ondermijnen en internationale steun voor het land te verminderen. Het nepnieuws verscheen voornamelijk op obscure websites en werd ondersteund door vervalste 'bewijzen', waaronder een valse factuur en een deepfake-video van een zogenaamd Bugatti-medewerker. Dit incident, dat plaatsvond vlak voor een belangrijke NAVO-top, is door experts en burgers snel ontkracht. Het Oekraïense Centrum voor Bestrijding van Desinformatie noemde het een poging van Russische propagandisten om de Oekraïense leiders te discrediteren op het internationale toneel. Dit soort propaganda zal naar verwachting toenemen rond grote evenementen zoals de komende NAVO-top en de Olympische Spelen van 2024.

Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen