Cyberoorlog nieuws 2024 september

Het hackerscollectief LulzSec Black, in samenwerking met Jokeir 07x, beweert meerdere cyberaanvallen te hebben uitgevoerd op doelen in de Verenigde Arabische Emiraten (VAE). Een van de belangrijkste aanvallen was gericht op de overheidswebsite skillset.eif.gov.ae, waarbij de groep claimt de controle over de database te hebben overgenomen. De aanvallen zouden een reactie zijn op de normalisatie van relaties tussen Arabische landen en Israël, en worden uitgevoerd ter ondersteuning van Palestina. Naast de overheidswebsite zou ook het bedrijf Alfa Electronics, gespecialiseerd in verlichting en huishoudelijke apparaten, slachtoffer zijn geworden van een datadiefstal. LulzSec Black waarschuwt voor meer en zwaardere aanvallen in de toekomst. Hoewel deze beweringen nog niet onafhankelijk zijn geverifieerd, roept dit incident bezorgdheid op over de beveiliging van kritieke infrastructuren in de VAE. De getroffen partijen hebben tot nu toe niet officieel gereageerd op de beschuldigingen.

Het ministerie van Defensie heeft een Cyber Academy opgezet om de cybercapaciteit van de krijgsmacht te versterken. Deze nieuwe academie maakt deel uit van de bredere investeringen in het cyberdomein, zoals aangekondigd in de Defensienota van 2024. De nadruk ligt op het verhogen van de digitale weerbaarheid van Defensie en het trainen van personeel in cyberbewustzijn en veiligheid. De Cyber Academy richt zich op het opleiden van zowel nieuwe als bestaande medewerkers om cyberdreigingen beter het hoofd te bieden. Daarnaast wordt het Cyber Warfare & Training Centre verder ontwikkeld om defensiebreed opleidingen te kunnen aanbieden. Het Defensie Cyber Commando, opgericht in 2014, zal ook worden uitgebreid om de operationele slagkracht van Defensie op cybergebied te vergroten. Het doel is om, zelfs tijdens cyberaanvallen of conflicten, veilig en effectief te kunnen opereren. Defensie benadrukt daarbij de noodzaak van gespecialiseerd personeel, waaronder cyberspecialisten en IT-experts. pdf, 1

De Amerikaanse FBI heeft 32 websites in beslag genomen die werden gebruikt door het Russische netwerk "Doppelgänger" in een poging de presidentsverkiezingen van 2024 te beïnvloeden. Doppelgänger, gelinkt aan Russische bedrijven onder controle van de Russische regering, voerde desinformatiecampagnes uit door middel van "cybersquatting", waarbij domeinnamen werden geregistreerd die leken op legitieme nieuwssites. De groep verspreidde propaganda ter ondersteuning van pro-Russische belangen en tegen Oekraïne, en probeerde internationale verkiezingen te beïnvloeden.

Met AI gegenereerde nepnieuws en valse social media profielen werden ingezet om specifieke demografische groepen te bereiken. Naast het in beslag nemen van domeinen, heeft de Amerikaanse overheid ook Russische individuen aangeklaagd voor hun betrokkenheid bij deze operatie. De FBI heeft verzekerd dat deze activiteiten geen invloed zullen hebben op de integriteit van het verkiezingsproces. pdf, 1

Rusland produceert microchips voor militaire toepassingen met behulp van verouderde machines van ASML, een Nederlandse fabrikant van chipmachines. Deze machines, zoals de PAS 5500 en Twinscan, worden gebruikt voor de productie van chips die geschikt zijn voor wapens zoals drones en raketten, die in de oorlog in Oekraïne worden ingezet. Hoewel ASML door internationale sancties geen nieuwe machines aan Rusland mag leveren, blijkt uit onderzoek dat oudere modellen nog steeds in het land aanwezig zijn. Russische bedrijven houden deze machines operationeel door reserveonderdelen te importeren, voornamelijk via tussenhandelaren uit China. Sinds het begin van de oorlog in Oekraïne zijn er al minstens 170 keer onderdelen geïmporteerd voor deze machines. Hoewel de geproduceerde chips technisch gezien verouderd zijn, zijn ze effectief genoeg voor gebruik in moderne oorlogsvoering. Het exacte aantal machines dat momenteel in Rusland actief is, blijft onbekend. 1

Volgens onderzoek worden smartphones steeds vaker gebruikt om gesprekken van gebruikers af te luisteren, ondanks dat techbedrijven dit blijven ontkennen. Hoewel de microfoon van je telefoon vaak uit lijkt te staan, kan deze op subtiele wijze worden geactiveerd door bepaalde apps, met als doel gepersonaliseerde advertenties te genereren. Dit gebeurt zonder dat de gebruiker het doorheeft. Verschillende bedrijven maken gebruik van deze techniek om gerichter advertenties aan te bieden, gebaseerd op gesprekken en achtergrondgeluiden. Hoewel er geen sluitend bewijs is dat grote bedrijven zoals Google of Facebook direct meeluisteren, zijn er wel incidenten geweest waarbij mediabedrijven openlijk aangaven deze technieken te gebruiken. Privacy-experts waarschuwen gebruikers om bewuster te zijn van de machtigingen die ze aan apps geven en adviseren om regelmatig de instellingen van hun smartphone te controleren. Hierdoor kunnen gebruikers enige controle behouden over hun privacy en de toegang tot hun gegevens beperken. 1

De Duitse luchtverkeersleiding (DFS) is het doelwit geworden van een cyberaanval, waarbij de kantoorverbinding van DFS werd gehackt. Hoewel de aanvallers toegang kregen tot systemen, werd het luchtverkeer niet verstoord. DFS heeft onmiddellijk beschermende maatregelen genomen en het incident gemeld bij nationale veiligheidsautoriteiten.

Cybersecurity-experts vermoeden dat de aanval afkomstig is van de Russische hackersgroep APT28, ook wel bekend als Fancy Bear. Deze groep, die banden heeft met de Russische militaire inlichtingendienst GRU, is al jaren actief en wordt gelinkt aan verschillende aanvallen op overheden en kritieke infrastructuren wereldwijd. APT28 stond eerder in de schijnwerpers vanwege de cyberaanval op de Duitse Bundestag in 2015 en andere geruchtmakende aanvallen, zoals die tijdens de Amerikaanse presidentsverkiezingen van 2016. Deze recente aanval past binnen een breder patroon van cyberaanvallen gericht op Duitsland en andere Europese landen, waarbij vitale sectoren worden getroffen. 1

Een groep Russische hackers, bekend als Cadet Blizzard en Ember Bear, wordt door de Verenigde Staten en bondgenoten gelinkt aan Unit 29155 van de Russische militaire inlichtingendienst (GRU). Deze hackers zijn verantwoordelijk voor wereldwijde cyberaanvallen op kritieke infrastructuur in verschillende landen, waaronder NAVO-lidstaten. Sinds 2020 richten zij zich op sabotage en spionage, waarbij ze gevoelige informatie stelen en schade toebrengen aan systemen. Vanaf 2022 verschuift hun focus naar het verstoren van hulp aan Oekraïne. Onder meer de verspreiding van WhisperGate-malware, gebruikt in Oekraïne in 2022, wordt aan hen toegeschreven. Er is bewijs dat de hackers gebruikmaken van cybercriminelen buiten de GRU om hun operaties uit te voeren. Het Amerikaanse ministerie van Buitenlandse Zaken looft een beloning uit voor informatie over vijf betrokken GRU-officieren. Organisaties worden gewaarschuwd om hun beveiligingssystemen te versterken en kwetsbaarheden snel te dichten om verdere aanvallen te voorkomen. 1, 2, 3

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft gewaarschuwd voor Russische cyberoperaties, uitgevoerd door de beruchte GRU-eenheid 29155. Deze eenheid richt zich op het in kaart brengen en verstoren van westerse steun aan Oekraïne, met name overheden en vitale infrastructuur. Volgens de MIVD vormen de cyberoperaties een ernstige dreiging, vooral voor logistieke ketens die betrokken zijn bij het leveren van hulp aan Oekraïne, waarin Nederland een belangrijke rol speelt. Hoewel Nederland nog niet direct slachtoffer is geworden van deze aanvallen, wordt de dreiging steeds groter. De GRU-eenheid 29155 wordt al langer in verband gebracht met destructieve operaties, zoals fysieke sabotage, en staat bekend om haar rol in eerdere incidenten, zoals de vergiftiging van Sergej Skripal. Door de werkwijze van deze groep bloot te leggen, hopen defensiepartners de dreiging te beperken en beter voorbereid te zijn op toekomstige aanvallen. 1

RADNET64, een bekende cybercriminele groepering, heeft plannen aangekondigd voor een wereldwijde cyberoorlog onder de naam "Operatie Iron Mirage". Deze campagne omvat een reeks gecoördineerde cyberaanvallen op meerdere landen, gericht op verschillende vitale sectoren. De aanval op India, bekend als Operatie Bengal Shroud, zal zich richten op kwetsbare IT-infrastructuur, terwijl in Frankrijk Operatie Guillotine Ghost digitale systemen in de bank-, transport- en overheidssector wil verstoren. In het Verenigd Koninkrijk is Operatie Albion's Eclipse gericht op communicatiehubs en financiële systemen. Duitsland wordt getroffen door Operatie Rhine's VEIL, die industriële controlesystemen aanvalt. Details over Operatie Desert Phantom in Israël zijn nog vertrouwelijk. In de VS richt Operatie Eagle's Fall zich op cloudinfrastructuur en toeleveringsketens, met als doel aanzienlijke verstoringen in de economie en defensie te veroorzaken. RADNET64 lijkt hiermee een aanzienlijke dreiging te vormen voor internationale cyberveiligheid.

Hacktivistengroep Anonymous KSA beweert toegang te hebben verkregen tot vier computerdatabases van de Indiase overheid. Hierbij zouden zij meer dan 14.000 bestanden hebben buitgemaakt. Onder de gelekte gegevens bevinden zich 2.876 documenten van verschillende Indiase sectoren, 1.451 identiteitskaarten, 510 PDF-bestanden, 247 identiteitsfoto’s en 42 betalingsgegevens. In totaal zijn 1.876 overige bestanden gecompromitteerd. De groep claimt dat ze van plan zijn om 7.000 van deze bestanden openbaar te maken. De authenticiteit van het lek en de gegevens is echter nog niet bevestigd. Dit incident benadrukt opnieuw de kwetsbaarheid van overheidsinstanties voor cyberaanvallen en datalekken. Het roept ook vragen op over de beveiligingsmaatregelen die door de Indiase overheid worden genomen om dergelijke inbreuken te voorkomen.

De hackergroep UserSec heeft aangekondigd dat zij Frankrijk als doelwit hebben gekozen voor hun volgende cyberaanvallen. Dit blijkt uit een recente online post van de groep, waarin zij expliciet aangeven zich te richten op het land. Het is nog onduidelijk welke specifieke sectoren of organisaties getroffen zullen worden, maar dergelijke aanvallen kunnen ernstige gevolgen hebben voor zowel de overheid als private instellingen in Frankrijk. Dergelijke groepen maken vaak gebruik van kwetsbaarheden in netwerken om gevoelige informatie te stelen of kritieke infrastructuren te verstoren. Het is daarom belangrijk dat organisaties en overheidsinstanties extra waakzaam zijn en hun beveiligingsmaatregelen versterken om mogelijke aanvallen af te weren. UserSec staat bekend om hun agressieve aanvallen en dreigingen, wat deze situatie bijzonder zorgwekkend maakt. Frankrijk zal naar verwachting passende tegenmaatregelen nemen om deze dreiging het hoofd te bieden.

De Electronic Frontier Foundation (EFF) adviseert leerlingen om schoollaptops en andere apparaten die door scholen worden verstrekt te zien als mogelijke spionagetools. Deze apparaten worden vaak uitgerust met monitoringsoftware die het gedrag van leerlingen nauwlettend in de gaten houdt. Scholen installeren deze software om veiligheidsredenen, maar volgens de EFF wordt de privacy van leerlingen hiermee opgeofferd voor onbewezen veiligheidsclaims. De software zou bijvoorbeeld letten op gedrag zoals drugs- en alcoholgebruik, geweld en zelfmoordneigingen.

De EFF benadrukt dat het belangrijk is om schoolapparatuur alleen voor schoolzaken te gebruiken en raadt aan om deze apparaten uit te schakelen wanneer ze niet in gebruik zijn. Bovendien wordt ouders geadviseerd om te letten op het gebruik van gedeelde schoolaccounts op privé-apparaten, aangezien ook die data door de AI-monitoring kan worden gevolgd. De EFF roept scholen op om alternatieven te vinden die de privacy van leerlingen respecteren. 1

Het hackerscollectief RipperSec heeft een wereldwijde alliantie onthuld met groeperingen uit 14 verschillende landen, waaronder Rusland, Pakistan, Brazilië, en de Verenigde Staten. Deze alliantie bestaat uit een netwerk van talrijke beruchte hackersgroepen, zoals StucxTeam, 4-Exploitation, en SilentCyberForce. De betrokken groepen opereren vanuit landen zoals Indonesië, Iran, China, en Marokko, en hun activiteiten omvatten onder andere cyberaanvallen en hacktivisme. Deze onthulling werpt een licht op de gecoördineerde aard van wereldwijde cyberdreigingen. Door de samenwerking tussen verschillende groepen verspreid over de hele wereld, wordt duidelijk hoe omvangrijk en goed georganiseerd cybercriminaliteit tegenwoordig is. Dit vormt een significante bedreiging voor de internationale cybersecurity, met een groeiend aantal doelgerichte aanvallen en incidenten die door dit netwerk kunnen worden uitgevoerd.

Een recent rapport onthult dat de Chinese hackersgroep Mustang Panda nieuwe strategieën en malware inzet om gevoelige gegevens van overheidsnetwerken te stelen. De groep, die bekend staat om cyberespionage, gebruikt nu de malwaretools FDMTP en PTSOCKET om informatie te verzamelen en te exfiltreren. Deze tools maken deel uit van een grotere aanvalsketen, waarbij de PUBLOAD-malware via geïnfecteerde USB-sticks verspreid wordt met behulp van de HIUPAN-worm. Deze worm verbergt zijn bestanden op de USB en laat een ogenschijnlijk onschuldig bestand achter om gebruikers te misleiden. Mustang Panda richt zich voornamelijk op overheidsinstellingen in de Azië-Pacific regio, maar opereert ook in andere delen van de wereld. De hackers maken vaak gebruik van spear-phishingcampagnes om toegang te krijgen tot systemen, waarbij ze vervolgens backdoors installeren om meer geavanceerde aanvallen uit te voeren. Deze nieuwe tactieken tonen aan dat de groep haar methoden verder verfijnt om gerichte en tijdgevoelige aanvallen uit te voeren. 1

Een functionaris van het Wit-Russische ministerie van Defensie beweert dat het populaire augmented reality-spel Pokémon GO werd gebruikt door westerse inlichtingendiensten om informatie te verzamelen. Alexander Ilanov, hoofd van de ideologische afdeling van het ministerie, stelde tijdens een televisie-interview dat het spel werd ingezet om spionage uit te voeren, met als bewijs dat veel Pokémon verschenen op locaties zoals een militaire luchtmachtbasis. Hoewel er eerder privacyproblemen en misbruik van het spel bekend zijn, is het idee dat Pokémon GO een spionagetool is grotendeels ontkracht. Dit soort beschuldigingen zijn niet nieuw; in het verleden heeft ook Rusland het spel beschuldigd van spionage, en in verschillende andere landen zoals China is het zelfs verboden. Ondanks de ontkenning door de ontwikkelaars, blijft de mogelijkheid van het lekken van locatiegegevens van spelers een zorg, vooral voor militaire doeleinden. 1

Op 13 september 2024 werd de website van London City Airport het doelwit van een DDoS-aanval, uitgevoerd door de hackersgroep UserSec in samenwerking met de People's Cyber Army en NoName. Door deze aanval was de website tijdelijk onbereikbaar. Een DDoS-aanval (Distributed Denial of Service) zorgt ervoor dat een website overbelast raakt door een enorme hoeveelheid verzoeken tegelijk, waardoor de normale functionaliteit wordt verstoord. Deze aanval toont opnieuw de kwetsbaarheid van belangrijke infrastructuur voor cyberdreigingen. Het is nog niet duidelijk of er verdere schade is aangericht of hoelang de website offline zal blijven. London City Airport heeft nog geen officiële verklaring afgegeven. Dit incident benadrukt de noodzaak voor bedrijven en kritieke infrastructuren om hun digitale beveiliging te versterken en beter voorbereid te zijn op dergelijke cyberaanvallen.

In de aanloop naar de Amerikaanse presidentsverkiezingen waarschuwen de Nederlandse inlichtingendiensten voor een toename in dreigingen van Russische hackers. Deze hackersgroep, die onderdeel is van de Russische militaire inlichtingendienst GRU, heeft al eerder Europa aangevallen, waaronder een poging tot een staatsgreep en de vergiftiging van Sergei Skripal. Hoewel Nederland tot nu toe geen doelwit is geweest, is de logistieke sector wel een potentiële kwetsbaarheid door de Nederlandse steun aan Oekraïne.

Volgens experts zouden Russische hackers al toegang kunnen hebben tot belangrijke Nederlandse infrastructuur, zoals bruggen en datacenters, zonder dat dit opgemerkt is. De MIVD roept op tot alertheid en samenwerking tussen inlichtingendiensten om cyberdreigingen tijdig te kunnen detecteren. Hoewel er geen reden tot paniek is, is Nederland door zijn digitale infrastructuur en strategische positie een aantrekkelijk doelwit voor cyberaanvallen.

Meerdere Russische hackersgroepen beweren dat ze een cyberaanval hebben uitgevoerd op de luchthaven van Incheon in Zuid-Korea. Incheon International Airport is een belangrijk knooppunt voor zowel binnenlandse als internationale vluchten. De aanval zou voornamelijk bestaan uit een DDoS-aanval, waarbij grote hoeveelheden verkeer naar de servers van de luchthaven worden gestuurd om deze plat te leggen. DDoS-aanvallen (Distributed Denial of Service) zorgen ervoor dat systemen overbelast raken en tijdelijk niet meer bereikbaar zijn. De aanval lijkt vooral symbolisch, omdat er op dit moment geen meldingen zijn van grote schade of verstoringen van het vliegverkeer. Dit incident benadrukt echter opnieuw de kwetsbaarheid van kritieke infrastructuren, zoals luchthavens, voor cyberaanvallen. In de huidige geopolitieke context, waarin spanningen tussen verschillende landen hoog oplopen, blijven deze digitale dreigingen een serieuze zorg voor zowel overheden als bedrijven wereldwijd.

Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, heeft besloten om Russische staatsmedia, zoals RT en Rossia Segodnja, wereldwijd te verbannen van hun platforms. Dit besluit volgt na beschuldigingen dat deze media betrokken zijn bij geheime online beïnvloedingscampagnes. Meta had eerder maatregelen genomen om de verspreiding van propaganda te beperken, maar deze werden omzeild. Daarom wordt nu overgegaan tot een volledige ban.

De aanleiding voor dit besluit zijn nieuwe onthullingen uit de Verenigde Staten, waarin wordt beweerd dat Rusland, via RT, miljoenen heeft geïnvesteerd in het verspreiden van desinformatie rond de Amerikaanse verkiezingen. Deze acties zouden gericht zijn op het zaaien van verdeeldheid onder de Amerikaanse bevolking, onder andere door nepaccounts te gebruiken. Rusland heeft nog niet officieel gereageerd op de stappen van Meta, maar in het verleden heeft RT soortgelijke beschuldigingen afgedaan als een schending van de persvrijheid. 1

Israël’s geheime dienst Mossad wordt verantwoordelijk gehouden voor een grootschalige cyberaanval op Hezbollah, waarbij duizenden pagers in Libanon en Syrië gelijktijdig ontploften. Het incident, dat meer dan een dozijn doden en duizenden gewonden veroorzaakte, vond plaats in de middag en trof zowel Hezbollah-leden als burgers.

Hezbollah had zijn leden eerder opgedragen om van mobiele telefoons over te stappen op pagers, die minder gemakkelijk te traceren zouden zijn. Mossad wist echter toegang te krijgen tot een nieuwe lading pagers, die voorafgaand aan de levering waren voorzien van explosieven. Door het gebruik van PETN en lithium-ion batterijen konden de explosieven op afstand worden geactiveerd.

De aanval werd waarschijnlijk geactiveerd door een bericht dat op de pagers verscheen en kort daarna de explosies veroorzaakte. Naar schatting raakten 4000 mensen gewond en vielen er minstens 16 doden. Hezbollah heeft wraak gezworen, terwijl Israël officieel nog niet heeft gereageerd.

Lees ook: Explosieve Beepers: Een geavanceerde vorm van elektronische sabotage

Onderzoekers van Microsoft hebben een geheime Russische desinformatiecampagne blootgelegd die gericht is op de Amerikaanse vicepresident Kamala Harris. De campagne verspreidde een nepverhaal over Harris, waarin werd beweerd dat ze in 2011 betrokken was bij een ongeluk in San Francisco waarbij een 13-jarige invalide werd en ze vluchtmisdrijf pleegde. Dit verhaal, ondersteund door een geënsceneerde video met een ingehuurde acteur, is volledig onwaar en werd verspreid via een nepnieuwswebsite.

De verantwoordelijke groep, door Microsoft aangeduid als ‘Storm-1516’, wordt in verband gebracht met het Kremlin en heeft in het verleden vaker dergelijke operaties uitgevoerd. Het doel van deze campagne is het beschadigen van Harris’ imago in aanloop naar de Amerikaanse presidentsverkiezingen van 2024. Deze ontdekking toont aan dat Rusland zijn invloed probeert uit te breiden met misleidende campagnes, vergelijkbaar met eerdere inmengingen in buitenlandse verkiezingen. 1

In een nieuwe golf van gecoördineerde aanvallen heeft Israël dodelijke explosies veroorzaakt door communicatiemiddelen van Hezbollah in Libanon te saboteren. Deze keer waren het ouderwetse walkie-talkies die ontploften, vermoedelijk als onderdeel van een operatie van de Israëlische inlichtingendienst Mossad. De explosies vonden plaats in de hoofdstad Beiroet, waarbij minstens 14 doden en 450 gewonden vielen. Onder de getroffen locaties waren een mobiele reparatiewinkel en een begrafenisstoet.

Deze aanval volgt op eerdere aanvallen op piepers van Hezbollah, waarbij duizenden apparaten werden opgeblazen. Israël heeft officieel geen verantwoordelijkheid opgeëist, maar de Israëlische minister van Defensie verklaarde dat het land zich in een 'nieuwe fase van oorlog' met Hezbollah bevindt. De aanvallen maken deel uit van de oplopende spanningen tussen Israël en door Iran gesteunde milities in de regio.

Hezbollah heeft gezworen wraak te nemen op Israël voor deze aanvallen.

Lees ook: Explosieve Beepers: Een geavanceerde vorm van elektronische sabotage

Een Russische cybergroep, genaamd "Russian Cyber Army Team", zou verantwoordelijk zijn voor aanvallen op watertorens in New Castle, Delaware, Verenigde Staten. De hackers beweren dat deze acties een vergelding zijn voor de stappen die de Amerikaanse regering heeft ondernomen tegen Rusland. De aanvallen zijn onderdeel van een bredere cyberoorlog die Rusland voert in reactie op internationale sancties en politieke spanningen. Het lijkt erop dat de groep zich specifiek richt op kritieke infrastructuur, zoals watertorens, om de openbare voorzieningen te verstoren en angst te zaaien. Dit soort aanvallen laat zien hoe kwetsbaar fysieke infrastructuur kan zijn voor digitale dreigingen. Experts waarschuwen dat overheden wereldwijd waakzaam moeten blijven en hun cybersecurity-strategieën moeten versterken om dit soort aanvallen in de toekomst te voorkomen.

De hackersgroep FSociety heeft op 18 september 2024 de verantwoordelijkheid opgeëist voor een aanval op de Franse overheidswebsite cantal.gouv.fr. Via een bericht op platform X (voorheen Twitter) meldde de groep dat ze de website heeft gehackt als onderdeel van hun operatie #OpFrance. Ze plaatsten daarbij ook bewijs van de aanval, inclusief een ping-test die aantoont dat de website was getroffen. FSociety staat bekend om hun eerdere acties tegen overheden en grote bedrijven. In hun bericht verklaarden ze dat ze "eindelijk vrij en wakker" zijn en dat de aanval deel uitmaakt van hun bredere missie om een wereld te creëren die volgens hen "weer van hen is". De exacte impact van deze aanval is nog niet duidelijk, maar de actie onderstreept opnieuw de kwetsbaarheid van overheidssystemen voor cyberaanvallen, vooral door goed georganiseerde en gemotiveerde hackersgroepen.

Een Noord-Koreaanse hackersgroep, bekend als UNC2970, voert cyberaanvallen uit op de mondiale energie- en luchtvaartsectoren. Ze gebruiken hierbij phishing-methoden die vermomd zijn als sollicitatiegesprekken om hun slachtoffers te misleiden. Zodra slachtoffers reageren op een valse vacature, sturen de aanvallers een geïnfecteerd ZIP-bestand dat de MISTPEN-malware bevat. Deze nieuwe malware wordt verspreid via een aangepaste versie van de PDF-lezer Sumatra. Wanneer het PDF-bestand wordt geopend, wordt de malware actief en geeft het de hackers toegang tot gevoelige bedrijfsinformatie. De aanvallen richten zich specifiek op hogere functionarissen, zoals managers, om vertrouwelijke gegevens te verkrijgen. MISTPEN is ontworpen om na een systeemherstart te blijven werken, en evolueert voortdurend om detectie te ontwijken. Dit is onderdeel van een bredere campagne van Noord-Korea om strategische informatie te verzamelen die hun nationale belangen bevordert. 1

NetGhostSecurity, een bekende hackerorganisatie, heeft aangekondigd dat ze van plan zijn China’s cyberinfrastructuur aan te vallen. Dit werd recentelijk gedeeld op sociale media. Het doel van de aanval is nog niet volledig duidelijk, maar het lijkt erop dat China’s kritieke infrastructuur, zoals overheidsdiensten en communicatieplatforms, mogelijk wordt getroffen. Dit soort aanvallen kan grote gevolgen hebben, zoals verstoring van essentiële diensten en mogelijk dataverlies. De aankondiging komt te midden van een toename van wereldwijde cyberdreigingen, waarbij landen en bedrijven steeds vaker het doelwit worden van hackersgroepen. Het is belangrijk dat overheden en bedrijven waakzaam blijven en hun beveiligingsmaatregelen aanscherpen om zich te beschermen tegen dit soort dreigingen. De exacte datum van de aanval is niet bekendgemaakt, maar experts adviseren om voorbereid te zijn op mogelijke verstoringen.

Mr. Hamza beweert toegang te hebben verkregen tot geheime inlichtingen van het US Army Aviation and Missile Command (AMCOM). Deze informatie, afkomstig van een vermeende cyberaanval, werd gedeeld op het dark web, wat wijst op een serieuze datalek binnen de Amerikaanse defensie. Het is nog onduidelijk hoe de gegevens zijn bemachtigd, maar de potentiële impact van deze informatiebreuk kan groot zijn. Inlichtingendiensten en beveiligingsexperts werken nu samen om de omvang van de schade te bepalen en verdere lekken te voorkomen. Deze aanval benadrukt wederom de kwetsbaarheid van zelfs de meest beveiligde overheidsinstanties voor cybercriminaliteit. De identiteit van Mr. Hamza en zijn motieven zijn vooralsnog onbekend, maar het incident roept belangrijke vragen op over de effectiviteit van de huidige digitale beveiligingsmaatregelen binnen de defensie-industrie.

De Handala Hacktivist Group claimt succesvol te hebben ingebroken bij twee Israëlische defensiegerelateerde bedrijven. Dit werd bekendgemaakt via een bericht op X (voorheen Twitter). De groep stelt gevoelige informatie te hebben verkregen en beschuldigt de Israëlische bedrijven ervan betrokken te zijn bij het leveren van met explosieven besmette batterijen aan Hezbollah, een militante groepering in Libanon. Daarnaast worden er banden gelegd tussen deze bedrijven en de Israëlische geheime dienst Unit 8200. De aanval heeft opnieuw aandacht gevestigd op de kwetsbaarheid van belangrijke defensiesystemen en de groeiende dreiging van cyberaanvallen vanuit activistische groepen. Het blijft onduidelijk in hoeverre de gestolen informatie daadwerkelijk is gecompromitteerd en welke impact dit zal hebben op de veiligheidssituatie in de regio.

De afgelopen twee weken namen hackers en defensieteams van over de hele wereld deel aan de jaarlijkse cyberoefening op vliegbasis Gilze-Rijen. Het Defensie Cyber Commando (DCC) organiseerde de Computer Assisted Exercise (CAX) Cybernet, waarin teams hun cybervaardigheden testten in realistische aanvallen en verdedigingsscenario’s. Naast teams van verschillende krijgsmachtonderdelen deden ook nationale en civiele organisaties mee, waaronder de Nationale Politie en bedrijven als Fox-IT.

De oefening trok internationale teams uit landen als de Verenigde Staten, Japan en Zuid-Korea, evenals een Europees team vanuit PESCO. Tijdens de competitie werd de samenwerking, stressbestendigheid en technische expertise van de deelnemers flink op de proef gesteld. Uiteindelijk eindigde Zuid-Korea als winnaar van de internationale competitie, terwijl het Nederlandse Joint Sigint Cyber Unit (JSCU) de nationale titel pakte, gevolgd door Fox-IT en de Nationale Politie. 1

De hacktivistische groep Twelve voert sinds april 2023 gerichte cyberaanvallen uit op Russische organisaties. Hun acties zijn vooral gericht op het vernietigen van systemen en het exfiltreren van gevoelige gegevens, zonder financieel gewin als doel. In plaats daarvan richten ze zich op het maximaal verstoren van hun doelwitten. Twelve maakt gebruik van bekende malwaretools zoals Cobalt Strike en Mimikatz om inloggegevens te stelen en hun privileges binnen de netwerken van de slachtoffers uit te breiden. Ze benutten ook het Remote Desktop Protocol (RDP) voor laterale beweging in systemen. Deze methoden vertonen overeenkomsten met de werkwijze van de beruchte ransomwaregroep DARKSTAR, aldus experts. Wat Twelve uniek maakt, is dat ze, in tegenstelling tot traditionele ransomwaregroepen, niet alleen data versleutelen, maar ook de IT-infrastructuur van hun slachtoffers vernietigen. De activiteiten van Twelve lijken nauw verbonden te zijn met de spanningen rondom de oorlog tussen Rusland en Oekraïne. 1

Amerikaanse inlichtingendiensten hebben recent onthuld dat Iraanse cyberoperatives gevoelige gegevens van de presidentiële campagne van Donald Trump hebben gestolen. Vervolgens hebben deze operatives geprobeerd om contact op te nemen met leden van de campagne van president Joe Biden om de gestolen informatie te delen. Deze operatie maakt deel uit van een bredere strategie van Iran om chaos te veroorzaken en het vertrouwen in het Amerikaanse verkiezingsproces te ondermijnen. Dit gebeurt parallel aan soortgelijke pogingen van andere landen zoals Rusland en China, die kwetsbaarheden tijdens verkiezingsperiodes willen uitbuiten. De FBI en CISA (Cybersecurity and Infrastructure Security Agency) hebben gewezen op de voortdurende dreiging van buitenlandse actoren voor politieke campagnes in de VS. De gestolen informatie werd per e-mail verzonden naar het team van Biden, maar er kwam geen reactie van hun kant. Deze onthullingen komen op een cruciaal moment met de naderende verkiezingen. 1

Silent Push analisten volgen een Rusland-gelinkte dreigingsactor die crypto scams inzet rondom de Amerikaanse presidentsverkiezingen en bekende Amerikaanse techbedrijven. De oplichters maken gebruik van nep-websites die politieke figuren en bekende merken imiteren om mensen te verleiden cryptocurrency, zoals Bitcoin en Ethereum, naar een aanvallers-wallet te sturen, met de valse belofte dat ze het dubbele bedrag terugkrijgen. Bekende doelwitten in deze scams zijn onder andere Donald Trump, Kamala Harris, en techleiders zoals Elon Musk en Tim Cook. Ook instellingen zoals de Amerikaanse SEC en FTC worden vervalst om de oplichting een legitiem tintje te geven. De scamwebsites gebruiken CAPTCHA’s en chatfuncties om de fraude verder te faciliteren. Ondanks dat enkele van deze sites zijn neergehaald, blijven er nog actieve dreigingen. Silent Push verzamelt en deelt deze informatie met hun gebruikers om verdere aanvallen te helpen voorkomen. 1

Een groep Hongkongse journalisten die vanuit het Verenigd Koninkrijk opereert, is slachtoffer geworden van een cyberaanval. Deze aanval, waarvan wordt vermoed dat deze door de Chinese overheid is uitgevoerd, richtte zich op de e-mailsystemen van hun nieuwswebsite "The Chaser". Google classificeerde de aanval als hoog risico, mogelijk bedoeld om wachtwoorden en persoonlijke gegevens te stelen. De aanval benadrukt de blijvende druk die journalisten uit Hongkong ervaren, zelfs wanneer ze naar het buitenland zijn gevlucht om onafhankelijk te kunnen werken. Het team van The Chaser veroordeelt de aanval fel en benadrukt dat de persvrijheid, zowel in Hongkong als internationaal, ernstig onder druk staat. Ondanks dat de Chinese autoriteiten elke betrokkenheid ontkennen, zien analisten deze aanval als onderdeel van bredere pogingen om kritische stemmen over de Chinese regering wereldwijd te onderdrukken. 1

Op 23 september 2024 claimde de pro-Russische hackersgroep NoName verantwoordelijk te zijn voor een reeks DDoS-aanvallen op verschillende Europese organisaties. De doelwitten waren onder andere het Europees Economisch en Sociaal Comité (EESC) in België en de Europese Bank voor Wederopbouw en Ontwikkeling (EBWO) in het Verenigd Koninkrijk. Deze aanvallen maakten deel uit van een bredere campagne van de hackersgroep, die bekend staat om het verstoren van websites en online diensten van overheidsinstellingen en financiële organisaties. De aanvallen beoogden de digitale infrastructuur van deze instellingen tijdelijk lam te leggen door een grote hoeveelheid verkeer naar hun servers te sturen, wat tot overbelasting en onbeschikbaarheid van hun diensten leidde. De aanvallen benadrukken de aanhoudende dreiging van cyberaanvallen gericht op kritieke infrastructuren in Europa. De betrokken landen onderzoeken momenteel de impact van de aanvallen en werken aan tegenmaatregelen om hun systemen te beschermen.

De FrostyGoop-malware is een cyberaanval die specifiek gericht was op industriële controlesystemen in Oekraïne, te midden van de oplopende geopolitieke spanningen. Deze aanval was bedoeld om kritieke infrastructuur te verstoren, waarbij met name een energiebedrijf in een gemeentelijk district werd getroffen. Het doel was om schade toe te brengen aan de energievoorziening van flatgebouwen. De malware maakt gebruik van het MODBUS TCP-protocol, dat veel wordt gebruikt in industriële netwerken, maar helaas kwetsbaar is vanwege het gebrek aan beveiligingsfuncties zoals versleuteling en authenticatie. Deze zwakke punten maken het relatief eenvoudig voor aanvallers om de communicatie tussen systemen te onderscheppen en te manipuleren. Hoewel antivirusprogramma's tegenwoordig de FrostyGoop-malware kunnen detecteren, slaagde de aanval in eerste instantie doordat de malware eenvoudig van opzet was en geen typische verdedigingsmechanismen, zoals verdoezeling of persistentie, gebruikte. Hierdoor werd de aanval niet tijdig opgemerkt door beveiligingssystemen. 1

Op 24 september 2024 ontdekte men dat de voormalige Israëlische minister van Defensie, Benny Gantz, het slachtoffer was geworden van een gerichte ransomware-aanval door de groep Handala. Deze aanval trof Gantz, die recentelijk harde standpunten innam tegen Hezbollah, in een poging zijn reputatie te schaden door de dreiging om 2.000 privéfoto's van hem vrij te geven. Het incident werd ontdekt om 19:33 uur en benadrukt de steeds groeiende dreiging van cyberaanvallen op publieke figuren en overheidsinstellingen in Israël. Deze aanval lijkt een politieke boodschap te dragen, waarbij de aanvallers persoonlijke informatie gebruiken als chantagemiddel. Het is opnieuw een zorgwekkend voorbeeld van hoe cybercriminelen persoonlijke gegevens misbruiken om invloed uit te oefenen op de publieke sfeer en politieke conflicten.

Amerikaanse waterbedrijven zijn recent het doelwit geworden van cyberaanvallen door het gebruik van standaard wachtwoorden en brute-force technieken. De aanvallers richten zich vooral op operationele technologie (OT) en industriële controlesystemen (ICS) die via het internet toegankelijk zijn. Het Cybersecurity and Infrastructure Security Agency (CISA) meldt dat er bij verschillende waterbedrijven gebruik werd gemaakt van het standaard wachtwoord ‘1111’ van Unitronics Vision-apparaten. Deze apparaten, waaronder programmeerbare logische controllers (PLC’s) en human-machine interfaces (HMI’s), spelen een cruciale rol in de dagelijkse werking van de bedrijven. In enkele gevallen hebben bedrijven moeten terugvallen op handmatige bediening na een cyberincident. CISA roept op tot betere beveiligingsmaatregelen, zoals het loskoppelen van PLC’s en HMI’s van het internet, het implementeren van multifactorauthenticatie en het wijzigen van standaard wachtwoorden. Ook dringt de Amerikaanse overheid er bij fabrikanten op aan om geen standaard wachtwoorden te gebruiken en sterker wachtwoordbeleid in te voeren. 1

Bij verschillende grote treinstations in het Verenigd Koninkrijk, waaronder Londen King’s Cross en Manchester Piccadilly, kregen reizigers die verbinding maakten met het openbare Wi-Fi-netwerk onverwachts boodschappen te zien over terreuraanslagen in Europa. De cyberaanval trof 19 stations, allemaal beheerd door Network Rail, dat direct besloot om de Wi-Fi-diensten tijdelijk offline te halen. Het incident wordt onderzocht door de Britse transportpolitie.

De getroffen stations bevinden zich in steden zoals Londen, Birmingham, Manchester, Glasgow en Edinburgh. De Wi-Fi-dienst werd geleverd door Telent, een telecombedrijf, dat bevestigde dat het op de hoogte is van de aanval en het onderzoek steunt. Hoewel de daders van de aanval nog onbekend zijn, wordt vermoed dat de boodschap gericht was op het zaaien van angst onder het Britse publiek. Dit incident is onderdeel van een bredere reeks cyberaanvallen op publieke diensten in het Verenigd Koninkrijk, waaronder eerdere aanvallen op Transport for London en de NHS.

Birmingham New Street
Bristol Temple Meads
Edinburgh Waverley
Glasgow Central
Guildford
Leeds
Liverpool Lime Street
London Bridge
London Cannon Street
London Charing Cross
London Clapham Junction
London Euston
London King’s Cross
London Liverpool Street
London Paddington
London Victoria
London Waterloo
Manchester Piccadilly
Reading