Verbeterd Digitaal Wapen Rusland Bedreigt Veiligheid

Gepubliceerd op 1 februari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

En dat baart directeur Dave Maasland van ESET Nederland zorgen. 'Rusland is de laatste maanden een soort verbeterd digitaal wapenarsenaal aan het inzetten. Daarbij lijken ze een bepaald ritme te hebben gevonden, en beter te zijn geworden in het ontwikkelen van die wapens', zegt de directeur van de internetbeveiligingsorganisatie.

Wapens die data uitwissen

Rusland zet daarbij zogeheten wipers in. Dat zijn wapens die data uitwissen, waardoor systemen kapotgaan. 'Ze doen twee dingen: enerzijds zetten ze oude wipers in die ze tijdens de invasie hebben ingezet. Die passen ze dan aan in de hoop dat ze effectiever zijn. Anderzijds hebben we twee nieuwe wipers gezien, waarvan één in een soort nieuwe programmeertaal. Dat is verontrustend, want die is makkelijker aan te passen aan verschillende systemen', legt Maasland uit. Ook lijken de Russen hun fysieke aanvallen te coördineren met cyberaanvallen. Maasland: 'In oktober werd een digitale aanval ingezet op een Oekraïens energiebedrijf, exact op hetzelfde tijdstip dat men ook fysiek die energiecentrales aan het aanvallen was. Of daar echt coördinatie tussen is weten we niet, maar wel dat het militaire doel hetzelfde is.'

Aanval van binnenuit

Rusland probeert al sinds 2014 vitale infrastructuur digitaal aan te vallen. Volgens de ESET-directeur komt dat doordat die infrastructuur fysiek vrij weerbaar is. Daarom, beweert hij, proberen de Russen die vitale gebouwen nu van binnenuit aan te vallen. 'Als zo'n aanval eenmaal succesvol is, is de impact meteen voelbaar in de maatschappij. Dat is ook de reden dat we dit soort aanvallen in de gaten houden.' Maasland onderschat de Russen niet op cybergebied. 'In de afgelopen zes jaar voor de oorlog hebben we acht wiper-incidenten gezien. In deze oorlog heeft Rusland al 56 wiperaanvallen uitgevoerd. Wat de Russen laten zien is best indrukwekkend. Als deze ontwikkeling verder gaat is dat een reden tot zorg voor westerse organisaties.'

Sandworm

Eén van de groeperingen die Maasland zorgen baart is Sandworm. 'Ik durf wel te zeggen dat dat de meest beruchte is. Die wordt rechtstreeks gelinkt aan militaire inlichtingen- en veiligheidsdiensten, de special forces onder de beveiligingstroepen. Dus ja, als je die op je gericht krijgt, word je daar niet vrolijk van.' Toch kunnen we ons hier volgens Maasland tegen wapenen. Daarbij is internationale samenwerking cruciaal. 'Je moet je verdediging opbouwen in lagen. We zien in Oekraïne dat dat wel kan. Maar de Oekraïners zeggen ook: zonder hulp van onze partners zou dit nooit kunnen. Dus voor westerse vitale infrastructuur is er echt nog wel werk aan de winkel.'

Russische geassocieerde APT-groepen blijven actief bij cyberaanvallen op Oekraïne, waarbij ze destructieve wipers en ransomware gebruiken. Naast Russische groepen zijn ook groepen gelieerd aan China (Goblin Panda) en Iran actief.

Dit blijkt uit het APT Activity Report van ESET Research. Het rapport geeft een update over de aanvallen van APT-groepen op Oekraïne en geeft een overzicht van alle waarnemingen, onderzoeken en analyses van onderzoekers tussen september en eind december 2022.

Cyberaanval Oekraïne: Sandworm's NikoWiper en SwiftSlicer

Onderzoekers ontdekten in Oekraïne meerdere nieuwe wipers die in werden gezet door APT-groep Sandworm. Eén daarvan was NikoWiper. Deze wiper werd in oktober 2022 gebruikt tegen een bedrijf in de energiesector in Oekraïne. NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma van Microsoft dat wordt gebruikt voor het veilig wissen van bestanden. De onderzoekers vermoeden dat de APT-groepen zijn aangestuurd door Statelijke, of door de staat gesponsorde, actoren. De aanval met NikoWiper vond plaats in oktober, in dezelfde periode waarin Russische strijdkrachten begonnen met raketaanvallen op energie-infrastructuur. Hoewel de onderzoekers niet konden aantonen dat die gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en het Russische leger verwante doelstellingen hebben.

Vorige week ontdekten onderzoekers opnieuw een nieuwe wiper gericht op Oekraïne. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. Deze wiper wordt net als NikoWiper, toegeschreven aan Sandworm.

Sandworm-aanvallen: Ransomware als wiper

Naast malware die gegevens wist, ontdekte onderzoekers ook Sandworm-aanvallen waarbij ransomware als wiper werd gebruikt. Bij deze aanvallen is weliswaar ransomware gebruikt, maar het einddoel was hetzelfde als bij de wipers: het vernietigen van gegevens. In tegenstelling tot traditionele ransomware-aanvallen zijn de Sandworm-operators niet van plan een decryptiesleutel te verstrekken.

In Oktober 2022 ontdekten onderzoekers de inzet van Prestige ransomware tegen logistieke bedrijven in Oekraïne en Polen. Een maand later werd een nieuwe .NET geschreven ransomware ontdekt, genaamd RansomBoggs. Naast Sandworm hebben Russische APT-groepen zoals Callisto en Gamaredon hun activiteiten in de oorlog in Oekraïne voortgezet. Deze groepen gebruiken spearphishingcampagnes om inloggegevens te stelen en systemen te infiltreren.

APT-dreigingen: China, Iran en Noord-Korea

Het APT-rapport geeft niet alleen inzicht in de activiteiten in verband met de oorlog in Oekraïne, maar richt zich ook op het bredere dreigingsbeeld, waarbij groeperingen uit China, Iran en Noord-Korea in het bijzonder worden besproken. De onderzoekers ontdekten bijvoorbeeld een spearphishingcampagne van MirrorFace gericht op politieke groepen in Japan, evenals een nieuwe backdoor van Goblin Panda bij een EU-overheid. Mustang Panda richt zich nog steeds op Europese organisaties, zoals in september toen een Korplug loader door de groep werd gebruikt bij een Zwitsers bedrijf in de energie- en engineeringsector.

Iran & Noord-Koreaanse bedreigingen: Groeperingen blijven actief

Ook groepen met banden met Iran blijven hun aanvallen uitvoeren. POLONIUM richt zich nu niet alleen op Israëlische bedrijven, maar ook op buitenlandse dochterondernemingen van deze bedrijven. MuddyWater lijkt tevens een managed security service provider te hebben gehackt.

Groepen verbonden met Noord-Korea compromitteerden cryptocurrency bedrijven en exchanges wereldwijd door oude exploits te gebruiken. Het opvallende feit is dat Konni zijn taalrepertoire in lokdocumenten uitbreidde met het Engels, wat erop duidt dat het zich wellicht niet langer op zijn gebruikelijke Russische en Zuid-Koreaanse doelen richt.

Eset Apt Activity Report T 32022
PDF – 3,9 MB 278 downloads

Bron: welivesecurity.com, bnr.nl

Meer info over cyberoorlog

Meer nieuws over cyberoorlog