Cyberoorlog nieuws 2024 januari

Gepubliceerd op 2 februari 2024 om 14:17

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen maand heeft de digitale arena wederom de epicentra van geopolitieke spanningen en strategische confrontaties gevormd. Diverse landen en organisaties werden zowel doelwit als uitvoerders van cyberaanvallen, wat de complexe aard van de hedendaagse cyberoorlogvoering illustreert. In deze inleiding belichten we de belangrijkste gebeurtenissen en dynamieken op het gebied van cyberconflicten, waarbij zowel aanvallers als slachtoffers onder de loep worden genomen. Van de gecoördineerde aanvallen door Russische hackersgroepen zoals NoName057(16) en APT28, tot de assertieve cyberoperaties van Oekraïense IT-troepen en de subtiele digitale manoeuvres van landen als Iran en Syrië, wordt het duidelijk dat de digitale oorlogsvoering geen grenzen kent.

Aan de ontvangende kant hebben landen als Oekraïne, België, en Israël significante cyberaanvallen doorstaan, variërend van doelgerichte aanvallen op infrastructuur en overheidsinstanties tot subtiele infiltraties in telecomnetwerken. Daarnaast wordt de rol van desinformatie als tactiek in deze digitale strijd niet over het hoofd gezien, met Oekraïne dat Russische leugens ontmaskert en een omvangrijke Russische desinformatiecampagne die aan het licht komt in Duitsland.

Terwijl de wereld getuige is van de groeiende invloed van AI in domeinen zoals verkiezingen, en landen als China en Turkije hun cybercapaciteiten uitbreiden, wordt de urgentie van robuuste cyberverdediging en ethische richtlijnen voor technologiegebruik steeds evidenter. Hieronder presenteren we een gedetailleerd overzicht van de belangrijkste gebeurtenissen in het cyberoorlog nieuws van de afgelopen maand, die de voortdurende evolutie en de uitgebreide reikwijdte van deze moderne strijdterrein belichten.



Russische Hackers NoName057(16) Richten Cyberaanval op Nederlandse Publieke Instanties


Oekraïne Claimt Verantwoordelijkheid voor Cyberaanval op Russisch Ministerie van Defensie

In een recente ontwikkeling heeft de militaire inlichtingendienst van Kyiv aangekondigd dat ze verantwoordelijk zijn voor een cyberaanval op een Russische militaire server die gebruikt werd voor speciale communicatie. Deze aanval, die als zeer opmerkelijk wordt beschouwd, heeft geleid tot de verstoring van belangrijke communicatiekanalen van het Russische Ministerie van Defensie. Deze gebeurtenis benadrukt de voortdurende digitale strijd tussen Oekraïne en Rusland, en de rol van cyberaanvallen in modern conflict. Hoewel de exacte details van de aanval niet zijn vrijgegeven, wordt aangenomen dat Oekraïense cyberexperts geavanceerde technieken hebben gebruikt om toegang te krijgen tot de server en deze te compromitteren. Deze actie heeft waarschijnlijk ernstige gevolgen voor de Russische militaire operaties en onderstreept het belang van cybersecurity in het moderne tijdperk. Het conflict tussen Oekraïne en Rusland, zowel op het digitale als het fysieke front, blijft een bron van zorg voor de internationale gemeenschap en vereist voortdurende aandacht en analyse. [1]


Russische APT28 lanceert phishingaanval op Oekraïense militairen om inloggegevens te stelen

In dit recente nieuwsbericht wordt gemeld dat het Oekraïense National Cyber Security Coordination Center (NCSCC) waarschuwt voor een nieuwe phishingcampagne gericht op Oekraïense militairen, geïnitieerd door de door Rusland gesteunde cybercriminele groep APT28. De groep, ook wel bekend als Fancy Bear of Sandworm Team, staat erom bekend gevoelige doelen aan te vallen. Deze phishingcampagne is bedoeld om toegang te krijgen tot de inloggegevens van militair personeel van Oekraïne. APT28 stuurt phishing-e-mails die er bijna identiek uitzien als de officiële ukr[.]net-website, maar met subtiele verschillen in de URL om gebruikers te lokken om hun gegevens in te voeren. Het NCSCC ontdekte de campagne op 19 januari 2024 en meldde dat de hackers zelfs een nep-HTML-pagina gebruikten die militaire operationele informatie over de Russische invasie nabootste om gebruikers naar een valse inlogpagina te leiden. Zodra gebruikers hun inloggegevens invoeren, worden deze naar een door de groep gecontroleerde server gestuurd. APT28 heeft eerder Ubiquiti Edge-routers gebruikt om gegevens te exfiltreren in eerdere phishingcampagnes. Deze groep wordt in verband gebracht met de Russische militaire inlichtingendienst GRU en heeft in het verleden aanvallen uitgevoerd op hoogwaardige doelen, waaronder de Amerikaanse Democratische Nationale Commissie. Dit is een serieuze bedreiging voor de Oekraïense militairen, en het benadrukt het belang van cybersecuritymaatregelen om dergelijke aanvallen te voorkomen.

🛑 Het Cyber ​​Security Center waarschuwt : APT28 richtte zich via phishing op het Oekraïense leger!

🎯 Ze maken sites die bijna identiek zijn aan ukr[.]net, maar met kleine verschillen in het adres. Gegevensinvoer vangen!

🛡️ Hoe u uzelf kunt beschermen:

- Zorg ervoor dat het websiteadres correct is.

- Voer geen persoonlijke gegevens in op dubieuze pagina's.

- Gebruik tweefactorauthenticatie.

Bescherm uzelf en uw gegevens!


Oekraïne ontmaskert Russische leugen over overgave in cyberoorlog

In een voortdurende strijd tussen Rusland en Oekraïne heeft de Oekraïense autoriteiten een digitale desinformatiecampagne ontmaskerd die valselijk beweert dat het binnengevallen land grondgebied heeft overgedragen aan het Kremlin. De berichten die naar burgers zijn gestuurd, beweren afkomstig te zijn van het kantoor van de president van Oekraïne en beweren een "staakt-het-vuren met de Russische Federatie" en "de overdracht van een deel van het grondgebied aan het agressorland." Deze politiek gemotiveerde e-mails bevatten ook illegaal gekopieerde Oekraïense overheidslogo's om ze overtuigender te maken, wat een veelgebruikte tactiek is bij social engineering en phishing oplichters. Op 29 januari waarschuwde de Cyberpolitie van Oekraïne echter in een bulletin dat deze berichten nep zijn en hoogstwaarschijnlijk zijn verstuurd door een Russische desinformatie-eenheid bekend als de "informatiepsychologische speciale operatie." De politie beweert dat de operatie "tot doel heeft de morele en psychologische toestand van Oekraïense burgers te beïnvloeden en het leiderschap van de staat te discrediteren." Dergelijke campagnes van online intimidatie en misleiding zijn niets nieuws en parallel aan de kinetische of conventionele agressie van Rusland op het slagveld. De Oekraïense Cyberpolitie en het Centrum voor de Bestrijding van Desinformatie dringen er bij burgers op aan om voorzichtig te zijn met ongevraagde links of e-mails die zogenaamd door overheidsministeries naar hen zijn gestuurd, omdat deze waarschijnlijk nep zijn. Ze adviseren om geen verdachte hyperlinks te volgen, geen gevoelige gegevens in te voeren op verdachte sites en alleen programma's en applicaties te downloaden van officiële bronnen, en te vertrouwen op geverifieerde informatie op de officiële pagina's van staatsorganen.


❗️Nederland Investeert in Cyberveiligheid Oekraïne

De Nederlandse overheid heeft aangekondigd 10 miljoen euro te besteden aan het versterken van de Oekraïense cybersecurity. Dit besluit volgt op de voortdurende digitale strijd die parallel loopt aan de fysieke oorlog sinds de Russische invasie in 2022. Oekraïne is het doelwit geweest van talrijke cyberaanvallen, waaronder een grote aanval op het telecombedrijf Kyivistar, waarbij miljoenen mensen tijdelijk geen toegang hadden tot essentiële communicatiediensten. Het vermogen van Oekraïne om dergelijke aanvallen te weerstaan en herstellen, benadrukt de noodzaak van robuuste cybersecurity. Naast de 10 miljoen voor cybersecurity, heeft Nederland 87 miljoen euro toegewezen voor de aanschaf van artilleriegranaten en 25 miljoen euro voor het Internationale Fonds voor Oekraïne. In totaal heeft Nederland meer dan 2,6 miljard euro bijgedragen aan de ondersteuning van Oekraïne. Deze financiële steun onderstreept het belang dat Nederland hecht aan de lange termijn veiligheid en stabiliteit van Oekraïne, en de gedeelde waarden van zelfbeschikking, vrijheid, gelijkheid en mensenrechten. [1]


Oekraïense Coördinatiehoofdkwartier voor Krijgsgevangenen Getroffen door Cyberaanval

Het Oekraïense staatsagentschap dat de behandeling van krijgsgevangenen overziet, herstelde onlangs de toegang tot haar website na een gedistribueerde denial-of-service (DDoS) aanval. Het Coördinatiehoofdkwartier voor de Behandeling van Krijgsgevangenen in Oekraïne, verantwoordelijk voor het werken met families van gevangen of vermiste militairen en het onderhandelen over gevangenenruil en de teruggave van lichamen van gesneuvelde soldaten, is getroffen. Hoewel de verantwoordelijke hackergroep niet is geïdentificeerd, wijst het agentschap naar Moskou, vanwege verbanden met de recente crash van een Russisch transportvliegtuig. De spanningen lopen op, aangezien Rusland Oekraïne beschuldigt van het neerhalen van het Il-76 vliegtuig, wat resulteerde in de dood van alle inzittenden, waaronder Oekraïense krijgsgevangenen die uitgewisseld zouden worden. Oekraïne ontkent noch bevestigt de beschuldiging en roept op tot een internationale onderzoekscommissie, een voorstel dat door Rusland wordt afgewezen. De aanval past binnen een breder patroon van cyberoorlogvoering tussen Oekraïne en Rusland. Recente rapporten tonen aan dat Russische hackers, waaronder de staatsgesponsorde groep Fancy Bear, zich richten op het Oekraïense militaire apparaat, met als doel het ondermijnen van de commandostructuren en het verkrijgen van gevoelige informatie. Dit onderstreept de voortdurende en complexe aard van de cyberconflicten in de regio. [1]


Omvangrijke Russische Desinformatiecampagne Ontmaskerd in Duitsland

Het Duitse ministerie van Buitenlandse Zaken heeft een grootschalige Russische desinformatieoperatie aan het licht gebracht, gericht op het beïnvloeden van de publieke opinie in Duitsland. Uit een grondige analyse, uitgevoerd met gespecialiseerde software, bleek dat op het platform X maar liefst 50.000 nepaccounts actief waren. Deze accounts verspreidden meer dan een miljoen berichten vol leugens en misleidende informatie, met name gericht op het beïnvloeden van de Duitse perceptie over de oorlog in Oekraïne. Opvallend was dat deze nepaccounts taalfouten bevatten en inactief waren op Russische feestdagen, wat wijst op Russische betrokkenheid. Een nepaccount dat zich voordeed als dat van de Duitse minister van Buitenlandse Zaken Baerbock, met valse uitspraken over de oorlog in Oekraïne, onderstreepte deze betrokkenheid verder. De onthulling heeft in Duitsland tot grote bezorgdheid geleid, vooral met het oog op aankomende verkiezingen op nationaal en EU-niveau. Het ministerie vreest dat de desinformatiecampagne het stemgedrag van kiezers zou kunnen beïnvloeden. Deze campagne maakt deel uit van een bredere operatie die ook andere Europese landen als doelwit had, en waarvan eerder al activiteiten werden ontmaskerd door Meta, het moederbedrijf van Facebook en Instagram. [1, 2]


Grootschalige Cyberaanval op Russisch Onderzoekscentrum door Oekraïense Hacktivisten

De Oekraïense militaire inlichtingendienst heeft beweerd dat pro-Oekraïense hacktivisten een grootschalige cyberaanval hebben uitgevoerd op het Russische Centrum voor Ruimtehydrometeorologie, bekend als "Planeta". Deze aanval resulteerde in het wissen van maar liefst 2 petabytes aan data. Planeta, dat gelieerd is aan de Russische ruimtevaartorganisatie Roscosmos, speelt een cruciale rol in het leveren van gegevens voor weersvoorspellingen, klimaatstudies, natuurrampen, en vulkanische monitoring, en ondersteunt sectoren zoals het leger, de burgerluchtvaart, de landbouw, en de maritieme industrie. De aanval werd toegeschreven aan de "BO Team", een groep cyber vrijwilligers. Ze richtten zich specifiek op de grootste vestiging van Planeta in het Verre Oosten van Rusland en vernietigden 280 servers. Deze actie heeft naar verluidt niet alleen de werking van supercomputerclusters belemmerd, maar ook jaren aan uniek onderzoek tenietgedaan. De Oekraïense inlichtingendienst schat de schade op ongeveer 10 miljoen dollar. Daarnaast werd beweerd dat de aanval het HVAC-systeem en de stroomvoorziening van het hoofdgebouw van Planeta lamlegde en een op het eiland Bolshevik gelegen station van het netwerk afsneed. Deze aanval past in een reeks van door Oekraïne uitgevoerde of gesteunde cyberaanvallen op Russische staatsagentschappen, waaronder eerdere aanvallen op de Russische Federale Luchttransportautoriteit en de Russische Federale Belastingdienst. [1]


Cyberaanval op Datacenter 'PARKOVY' in Oekraïne

Het datacenter 'PARKOVY' is recent het doelwit geworden van een ingrijpende cyberaanval, een incident dat duidt op de toenemende intensiteit van cyberoorlogen tussen staten. De aanval op 'PARKOVY' onderstreept hoe essentiële infrastructuur kwetsbaar kan zijn voor digitale aanvallen, die bedoeld zijn om de operationele stabiliteit van een land te verstoren. Ondanks de hoogwaardige cyberdefensie van het datacenter, leidde de aanval tot significante operationele verstoringen. Na de aanval zijn de lokale systemen en kritieke infrastructuur, waaronder klimaatbeheersing, stroomvoorziening, en brand- en beveiligingssystemen, stabiel gebleven. Echter, de impact op de cloudservices toont aan hoe dergelijke aanvallen de digitale ruggengraat van een land kunnen raken, met mogelijk verstrekkende gevolgen voor zowel overheidsdiensten als privésectoren. De reactie op de aanval, met inzet van topexperts op het gebied van cyberveiligheid, benadrukt de ernst waarmee dergelijke cyberdreigingen worden behandeld. De herstelinspanningen zijn gericht op het zo snel mogelijk herstellen van de volledige functionaliteit van de getroffen diensten. Deze gebeurtenis dient als een herinnering aan de constante noodzaak voor verhoogde waakzaamheid en verbeterde cyberbeveiligingsmaatregelen in een tijdperk waarin digitale oorlogsvoering een prominente rol speelt in internationale conflicten. [1]


Telecomstoring in Gaza en Israëlische Mobiele Dienst Gehackt

In Gaza en Israël is onlangs een ernstige telecomstoring opgetreden. De grootste mobiele serviceprovider van Israël, Pelephone, werd getroffen door een cyberaanval uitgevoerd door Anonymous Sudan, een bekende hacktivistengroep. Deze aanval verstoort de digitale communicatie in de regio, wat een nieuwe wending is in de voortdurende conflicten tussen Israël en Hamas. Pelephone, onderdeel van de Israëlische telecomgigant Bezeq, bedient ongeveer twee miljoen abonnees. De storing werd bevestigd door NetBlocks, een wereldwijd internettoezichtsorgaan, die ook meldde dat de Gazastrook te kampen heeft met een bijna volledige telecomblackout. Dit is de tiende keer dat dit gebeurt sinds de start van de oorlog tegen Hamas drie maanden geleden. Anonymous Sudan beweerde verantwoordelijk te zijn voor de aanval op Pelephone en beloofde door te gaan met aanvallen zolang Israël zijn campagne in Gaza voortzet. De groep heeft in het verleden ook andere prominente doelen aangevallen, waaronder SAS Airlines en Microsoft. Hun activiteiten zijn in verband gebracht met de Russisch-gekoppelde KillNet-groep, en ze hebben gezamenlijk meerdere kritieke Israëlische infrastructuursites aangevallen. De telecomblackout in Gaza heeft ernstige gevolgen voor de communicatiemogelijkheden van de bewoners, wat wijst op de blijvende impact van cyberaanvallen in conflictgebieden.


Oekraïense IT-Armee Valt Russische Internetprovider Akado Aan

De Oekraïense IT-Armee heeft voor de derde keer sinds december een cyberaanval uitgevoerd op Akado Telecom, de belangrijkste internetprovider van Moskou. Deze aanval heeft gezorgd voor uitval van wifi-diensten bij meerdere Russische overheidsinstanties, waaronder het kantoor van president Poetin, verschillende inlichtingen- en veiligheidsdiensten. Het ging hier om een Distributed Denial-of-Service (DDoS) aanval, die drie dagen duurde. De IT-Armee heeft de verantwoordelijkheid voor deze aanval opgeëist via hun officiële Telegram-kanaal. De gevolgen van de aanval waren aanzienlijk, met wijdverspreide internetstoringen die verschillende overheidsentiteiten en bankinfrastructuur troffen. Akado biedt diensten aan diverse klanten, waaronder middelgrote en kleine bedrijven, grote ondernemingen, telecomoperators, overheidsinstanties en particulieren. Deze aanval volgt op eerdere cyberaanvallen die gericht waren op Russische telecombedrijven, als vermeende vergelding voor eerdere aanvallen van Rusland op Oekraïense telecomdiensten. De Oekraïense IT-Armee benadrukt dat hun acties gericht zijn op het uitputten van de vijand en het dichterbij brengen van de overwinning, en niet zozeer op wraak. Ze verklaren dat elke dag die van de oorlog wordt afgenomen, menselijke levens redt, wat belangrijker is dan wraak. Tot slot heeft de IT-Armee van Oekraïne ook aanvallen uitgevoerd op andere grote telecomproviders in Moskou, als onderdeel van hun voortdurende cyberactiviteiten. [1]

Lees tip: Digitale frontlinies: De impact van crowdsourced cyberaanvallen in geopolitieke conflicten


Staatsgesponsorde Cyberaanval: Midnight Blizzard Infiltratie bij Hewlett Packard Enterprise

De recente cyberaanval op Hewlett Packard Enterprise (HPE) door de Russische hackersgroep Midnight Blizzard markeert een significante escalatie in de wereld van cyberoorlogvoering. Midnight Blizzard, ook bekend onder namen als Cozy Bear, APT29 en Nobelium, wordt verondersteld te opereren onder de vleugels van de Russische overheid. Deze groep heeft een geschiedenis in het uitvoeren van gecoördineerde aanvallen die gericht zijn op ontwrichting en spionage, eerder dan financieel gewin. Hun betrokkenheid bij de grootschalige SolarWinds-aanval in 2020 is een bekend voorbeeld. In mei 2023 slaagde Midnight Blizzard erin om binnen te dringen in de Microsoft Office 365 e-mailomgeving van HPE, waarbij ze specifiek e-mailboxen van de cybersecurity-afdeling en andere cruciale bedrijfsonderdelen compromitteerden. Deze strategische keuze van doelwitten suggereert een duidelijke intentie om gevoelige informatie te verzamelen en mogelijk de bedrijfsvoering van HPE te ontwrichten. De ontdekking van deze inbraak in december 2023 leidde tot een intensief onderzoek, in samenwerking met externe cybersecurityexperts en wetshandhavingsinstanties. HPE heeft bevestigd dat de aanval geen operationele impact had op hun bedrijf, wat wijst op de veerkracht van hun systemen tegen dergelijke geavanceerde dreigingen. Dit incident bij HPE volgt op eerdere aanvallen waarbij staatsactoren betrokken waren, zoals de Chinese hack in 2018 en de compromittering van hun Aruba Central netwerkmonitoringplatform in 2021. De aanhoudende cyberaanvallen door staatgesponsorde groepen benadrukken de voortdurende dreiging en de noodzaak van verhoogde waakzaamheid en verdediging in de cyberspace. [1]


AI in Amerikaanse Verkiezingen: OpenAI Neemt Maatregelen tegen Misbruik

De inzet van kunstmatige intelligentie (AI) speelt dit jaar een belangrijke rol in de Amerikaanse presidentsverkiezingen, die in november plaatsvinden. Er is groeiende bezorgdheid over de mogelijkheid dat AI gebruikt kan worden voor manipulatie en beïnvloeding van deze verkiezingen. Als reactie hierop heeft OpenAI, de maker van ChatGPT, recent actie ondernomen door een chatbot te blokkeren die zich voordeed als een presidentskandidaat. Deze stap benadrukt het belang van waakzaamheid en het nemen van preventieve maatregelen om de integriteit van de verkiezingsprocessen te beschermen. Het initiatief van OpenAI weerspiegelt de noodzaak om de ontwikkelingen op het gebied van AI nauwlettend te volgen en proactief te handelen om misbruik tegen te gaan, vooral in een context zo invloedrijk als de Amerikaanse presidentsverkiezingen.


❗️Cyberaanvallen volgen Nederlandse steun aan Oekraïne: NoName057(16) richt pijlen op Nederlandse websites

In de schaduw van internationale solidariteit en militaire steun, schetst een recente ontwikkeling een grimmiger beeld van digitale oorlogsvoering. Het collectief bekend als NoName057(16) heeft zijn cyberwapens gericht op Nederland, in reactie op de Nederlandse en Deense steun aan Oekraïne in de vorm van Leopard 2-tanks. Dit artikel belicht de recente cyberaanvallen en onderzoekt de implicaties van deze digitale vijandigheid.

Tanks voor Oekraïne: Een Gebaar van Steun met Digitale Weerklank

De levering van de eerste twee Leopard 2-tanks, een gezamenlijke inspanning van Nederland en Denemarken, markeert een significant moment van steun aan Oekraïne. Na een uitgebreide onderhoudsbeurt bij Rheinmetall, een Duits defensiebedrijf, zijn deze geavanceerde machines klaar om verzonden te worden. Dit nieuws, trots gedeeld door Kaisa Ollongren, hoofd van het Ministerie van Defensie van Nederland, op het sociale netwerk X, symboliseert een stap van solidariteit en ondersteuning.

Digitale Vergelding: De Dreiging van NoName057(16)

In een duistere wending hebben cybercriminelen van NoName057(16) hun ongenoegen geuit over de Nederlandse betrokkenheid. Met een dreigende ondertoon adviseren ze Nederland om meer te investeren in de beveiliging van eigen digitale infrastructuur in plaats van het ondersteunen van wat zij beschrijven als 'Oekraïense nazi’s'. Deze woorden gaan niet alleen gepaard met een boodschap, maar ook met daden. De groep heeft haar vaardigheden ingezet om een reeks Nederlandse websites te saboteren, waaronder:

- OV-kaart (chipkaart voor openbaar vervoer)
- Machtiging ov-chipkaart
- Machtiging op het serviceportaal van de Belastingdienst
- Informatieportaal van de website van het openbaar vervoer Amsterdam

Elk van deze aanvallen, gedocumenteerd en beschikbaar gesteld via check-host.net, markeert een directe aanval op de digitale infrastructuur van Nederland, wat een ernstige zorg vormt voor de nationale veiligheid en de privacy van burgers.

Een Wake-Up Call voor Digitale Veiligheid

Deze reeks cyberaanvallen onderstreept de complexiteit en gevaren van moderne conflicten. Het gaat niet langer alleen om de fysieke levering van militaire apparatuur, maar ook om de digitale veiligheid van de betrokken landen. Nederland, geconfronteerd met deze nieuwe vorm van vijandigheid, staat nu voor de uitdaging om zijn cyberdefensie te versterken en tegelijkertijd zijn steun aan internationale bondgenoten voort te zetten. Het is een delicate balans tussen solidariteit en zelfbescherming in het digitale tijdperk.


Doelgerichte Russische Cyberaanval Infiltreren Microsoft Emailsystemen

In een recente ontwikkeling op het gebied van cyberveiligheid heeft Microsoft toegegeven slachtoffer te zijn geworden van een gesofisticeerde cyberaanval. De aanval, uitgevoerd door een Russische groep bekend als Midnight Blizzard, heeft geleid tot de diefstal van bedrijfsemails van Microsoft. Deze inbreuk kwam aan het licht op 12 januari, maar de aanval was al gaande vanaf november 2023. De tactiek die door de hackers werd toegepast, betrof een password spray aanval op een verouderde, niet meer gebruikte testaccount van Microsoft. Door het systematisch proberen van diverse wachtwoorden konden ze deze account binnendringen, een methode die het belang van sterke wachtwoorden en multifactorauthenticatie onderstreept. Eenmaal binnen, hadden de hackers voor meer dan een maand toegang tot een klein deel van de interne emails van Microsoft. De getroffen accounts behoorden tot het leiderschapsteam en medewerkers van de cybersecurity- en juridische afdelingen, waarbij belangrijke informatie en documenten werden ontvreemd. Interessant is dat deze inbreuk niet het gevolg was van een kwetsbaarheid in Microsoft's producten, maar door een directe aanval op de accounts. Dit benadrukt de voortdurende dreiging van geavanceerde hackpogingen, zelfs bij grote technologiebedrijven. Midnight Blizzard, ook bekend onder andere namen zoals Nobelium, APT29 en Cozy Bear, wordt geassocieerd met de Russische Buitenlandse Inlichtingendienst (SVR). Deze groep is niet onbekend in de wereld van cybercriminaliteit, met eerdere aanvallen zoals de beruchte SolarWinds aanval in 2020. Microsoft heeft bevestigd dat deze inbreuk geen significante impact heeft gehad op hun bedrijfsvoering. Echter, het incident werpt licht op de constante bedreiging die cyberaanvallen vormen voor zowel bedrijven als individuen, en benadrukt het belang van voortdurende waakzaamheid en versterking van cybersecuritymaatregelen. [1, 2]


❗️NMBS Website Hersteld na Grote Cyberaanval (B)

In de nacht van woensdag op donderdag werd de Nationale Maatschappij der Belgische Spoorwegen (NMBS) het doelwit van een grootschalige cyberaanval. De website van de NMBS ervoer een Distributed Denial of Service (DDOS)-aanval, wat resulteerde in een tijdelijke deactivatie van de site uit veiligheidsoverwegingen. Door deze aanval, die begon rond 02:00 uur, was het voor reizigers onmogelijk om gedurende de hele voormiddag via de website dienstregelingen te raadplegen of treintickets aan te kopen. Naast de website, ondervonden ook de NMBS-app en de informatieborden in verschillende stations problemen in de vroege ochtend. Echter, volgens de spoorwegmaatschappij hadden deze problemen geen directe link met de cyberaanval. Rond 07:30 uur waren alle problemen verholpen, hoewel de oorzaak van de storingen in de app en informatieborden nog onbekend is. NMBS heeft inmiddels haar excuses aangeboden aan de getroffen reizigers en aangekondigd een klacht in te dienen bij de bevoegde instanties. De spoorwegmaatschappij benadrukt dat de dienstverlening weer normaal functioneert en benadrukt het belang van cybersecurity in het beschermen van hun digitale infrastructuur. Dit incident onderstreept de kwetsbaarheid van kritieke infrastructuur in het digitale tijdperk en het belang van adequate bescherming tegen dergelijke aanvallen. [1]


Nieuwe Spica-backdoor malware ingezet door Russische FSB-hackers

In een recent artikel wordt onthuld dat een Russische hackinggroep, bekend als ColdRiver en gelinkt aan de Russische Federale Veiligheidsdienst (FSB), een nieuwe soort backdoor malware genaamd Spica inzet. Deze groep gebruikt vervalste PDF-decryptietools om hun doelwitten te misleiden. De aanval begint met phishing e-mails waarin PDF-documenten worden gestuurd die ogenschijnlijk versleuteld zijn. Wanneer de ontvangers aangeven de documenten niet te kunnen openen, wordt hen een link gestuurd naar een vermeende PDF-decryptor met de naam 'Proton-decrypter.exe'. Deze decryptor is echter niets meer dan een façade. Terwijl het programma een afleidings-PDF toont, installeert het tegelijkertijd de Spica malware op het apparaat van het slachtoffer. Deze malware, geïdentificeerd door Google's Threat Analysis Group (TAG), kan diverse schadelijke activiteiten uitvoeren, waaronder het uitvoeren van willekeurige shell-commando's, het stelen van cookies van browsers zoals Chrome, Firefox, Opera en Edge, het uploaden en downloaden van bestanden, en het exfiltreren van documenten. Spica, geschreven in de programmeertaal Rust, communiceert via JSON over websockets met zijn command-and-control server. Het vestigt ook persistentie op geïnfecteerde apparaten door een versluierd PowerShell-commando te gebruiken, wat resulteert in de creatie van een geplande taak genaamd 'CalendarChecker'. Google TAG merkt op dat ze Spica-gebruik hebben waargenomen sinds september 2023, maar geloven dat ColdRiver de backdoor al sinds november 2022 inzet. Google heeft stappen ondernomen om de veiligheid van hun gebruikers te waarborgen door alle domeinen, websites en bestanden die gebruikt worden in deze aanvallen toe te voegen aan hun Safe Browsing phishingbeschermingsservice. Daarnaast zijn Gmail- en Workspace-gebruikers die het doelwit waren van deze aanvallen op de hoogte gebracht. ColdRiver, ook bekend onder namen als Callisto Group, Seaborgium en Star Blizzard, is actief sinds eind 2015 en staat bekend om zijn vaardigheden in open-source intelligence (OSINT) en sociale engineering. De groep werd in december door het Verenigd Koninkrijk en de Five Eyes geallieerden gekoppeld aan de FSB, en Microsoft heeft in het verleden acties van deze groep verstoord die gericht waren tegen verschillende Europese NAVO-landen. Sinds december 2023 biedt het Amerikaanse ministerie van Buitenlandse Zaken een beloning van maximaal 10 miljoen dollar voor informatie die kan leiden tot de locatie of identificatie van ColdRiver-dreigingsactoren. [1]


Microsoft Waarschuwt voor Aanvallen door Iraanse Hackers op Onderzoeksinstituten

In een recent rapport van Microsoft wordt onthuld dat een door Iran gesteunde hackersgroep, bekend als APT35, ook wel Charming Kitten of Phosphorus genoemd, gerichte spearphishing-aanvallen uitvoert op prominente medewerkers van onderzoeksorganisaties en universiteiten in Europa en de Verenigde Staten. Deze aanvallen hebben tot doel om een nieuwe achterdeur-malware, genaamd MediaPl, te installeren. De aanvallen, die sinds november 2023 worden waargenomen, richten zich voornamelijk op individuen die werken aan kwesties gerelateerd aan het Midden-Oosten. De slachtoffers ontvangen op maat gemaakte phishing e-mails, die bijna niet te detecteren zijn en verzonden worden vanuit eerder gecompromitteerde accounts. Deze e-mails lokken de ontvangers om kwaadaardige bestanden te downloaden. MediaPl, de gebruikte malware, is ontworpen om zich voor te doen als Windows Media Player om detectie te ontwijken. Het communiceert met zijn command-and-control server via versleutelde kanalen, gebruikmakend van AES CBC-encryptie en Base64-codering. MediaPl heeft ook de mogelijkheid om automatisch te stoppen, communicatiepogingen tijdelijk te onderbreken en commando's uit te voeren. Naast MediaPl wordt er een tweede, op PowerShell gebaseerde achterdeur-malware, MischiefTut, gebruikt. Deze helpt bij het installeren van extra schadelijke tools en biedt verkenningsmogelijkheden, waardoor de aanvallers commando's kunnen uitvoeren op de gehackte systemen. APT35 staat bekend om het doelgericht aanvallen en stelen van gevoelige gegevens van systemen van hoogwaardige doelen. Ze hebben eerder onderzoekers, professoren, journalisten en anderen die kennis hebben van veiligheids- en beleidskwesties die overeenkomen met Iraanse belangen, getarget. De campagne lijkt gericht op het verzamelen van perspectieven over de Israël-Hamas oorlog en andere Midden-Oosterse aangelegenheden. APT35 heeft tussen maart 2021 en juni 2022 minstens 34 organisaties met de Sponsor-malware geïnfecteerd, gericht op overheden en organisaties in diverse sectoren. Een andere Iraanse dreigingsgroep, APT33, heeft eveneens aanvallen uitgevoerd, waaronder pogingen om defensiecontractanten te compromitteren met nieuwe malware. [1]


❗️Cyberaanvallen in België: NoName057(16) Steunt Boerenprotesten met Digitale 'DDoS-raketten'

Cybercriminaliteit neemt steeds meer toe in zowel omvang als complexiteit. Een recent voorbeeld hiervan is de groep genaamd NoName057(16), die betrokken is bij het uitvoeren van cyberaanvallen in België. Deze groep heeft zich uitgesproken in solidariteit met de protesten van Belgische boeren, waarbij ze gebruikmaken van Distributed Denial-of-Service (DDoS) aanvallen als hun voornaamste wapen. NoName057(16) heeft zich gericht op het Belgische Huis van Afgevaardigden, een cruciaal overheidsorgaan. De groep claimt deze aanval als een teken van solidariteit met de protesterende boeren in België. Door middel van DDoS-aanvallen, bekend als 'DDoS-raketten', proberen ze de online diensten van de overheid te verstoren. Deze tactiek overlaadt de servers met een enorme hoeveelheid aan verkeer, wat leidt tot het onbereikbaar worden van de websites. De aanvallen door NoName057(16) brengen significante uitdagingen met zich mee voor de Belgische overheid. Terwijl ze zich richten op het aanpakken van de eisen van de boeren, moeten ze nu ook de cyberveiligheid verhogen om dergelijke aanvallen in de toekomst te voorkomen. Voor de boeren kan deze vorm van 'steun' van de cybercriminelen zowel positieve als negatieve gevolgen hebben. Enerzijds kan het meer aandacht genereren voor hun protesten, maar anderzijds kan het ook leiden tot negatieve publieke perceptie over de boerenbeweging. De acties van NoName057(16) onderstrepen de complexiteit van moderne protesten en de rol van cyberactivisme. Terwijl ze de aandacht vestigen op de boerenprotesten, brengen ze ook nieuwe uitdagingen met zich mee op het gebied van cybersecurity en publieke perceptie.


Oekraïense IT-Army valt Russische internetprovider Qwerty aan

De Moskou-gebaseerde internetprovider Qwerty is getroffen door een cyberaanval, waarvoor de IT-Army van Oekraïne de verantwoordelijkheid heeft opgeëist. Deze aanval heeft geleid tot een drie dagen durende offline periode. Qwerty, één van de grootste internetproviders in Moskou, kon de dienstverlening niet herstellen vanwege de intensiteit van de aanval. De IT-Army van Oekraïne heeft op hun Telegram-kanaal verklaard dat de aanval niet alleen civiele doelen trof, maar ook speciale diensten in de stad. Deze aanval volgt op een eerdere cyberaanval op 9 januari, gericht tegen een andere grote Russische telecomdienst, M9com. Deze aanval, uitgevoerd door de BlackJack-groep, een andere hacktivistische groep met vermeende banden met de Oekraïense wetshandhaving en inlichtingendiensten, had grote gevolgen voor de internet- en televisiediensten in Moskou. Dit was naar verluidt een vergeldingsactie voor Ruslands aanval op Kyivstar, één van de grootste telecomproviders in Oekraïne, in december, wat leidde tot een uitval van meer dan een week voor meer dan de helft van het door oorlog verscheurde land. De site NetBlocks, die wereldwijd internetmonitoring uitvoert, heeft bevestigd dat de dienst van Qwerty in Rusland niet beschikbaar was, met de grootste daling in connectiviteit rond 15 januari. Volgens de Oekraïense krant Kyiv Post had Qwerty in de voorafgaande 24 uur minstens 127 storingen in Moskou geregistreerd. Russische gebruikers hadden meerdere klachten ingediend volgens de Russische webmonitoringsite DownRadar. Deze gebeurtenissen benadrukken de voortdurende cyberoorlog tussen Oekraïne en Rusland, waarbij telecomdiensten steeds vaker het doelwit worden van hacktivistische groepen.  [1]

"Het is niet alleen koud in Moskou, maar er is ook geen internet meer. De Qwerty-provider, een van de grootste internetproviders in de vijandelijke hoofdstad, kan vanwege onze aanval voor de derde dag het werk niet hervatten. Twijfel er niet aan, het wordt niet alleen gebruikt door burgers, maar ook door verschillende speciale diensten in de stad.

Het eigenaarsbedrijf - Central Telegraph - kondigde de terugkeer aan van telegraafdiensten in plaats van het aanbieden van internet. Grapje natuurlijk, maar het klinkt als een goed plan B voor een land dat gebouwd is op de principes van holbewoners."


Cyberaanval op Moskouse Internetprovider als Vergelding voor Aanval op Oekraïens Kyivstar

Hackers gelinkt aan de Oekraïense geheime dienst hebben een cyberaanval uitgevoerd op een internetprovider in Moskou als vergelding voor een Russische cyberaanval op de Oekraïense telecomgigant Kyivstar. Deze informatie werd door een bron met directe kennis van de operatie aan Reuters onthuld. De hackers, bekend als "Blackjack" en eerder gelinkt aan de Oekraïense Veiligheidsdienst (SBU), hebben 20 terabyte aan gegevens van M9 Telecom, een kleine Russische internet- en televisieprovider, gewist. Dit leidde tot internetproblemen voor sommige inwoners van Moskou. Deze digitale inbraak zou slechts een voorbereiding zijn op een grotere cyberaanval, bedoeld als serieuze wraak voor de aanval op Kyivstar. M9 Telecom heeft niet gereageerd op een verzoek om commentaar en hun website was op dinsdag nog online, ondanks beweringen van de hackergroep dat deze vernietigd zou zijn. Reuters kon de volledige omvang van de hack niet onafhankelijk verifiëren. Andrey Pavlovsky, CEO van M9 Telecom, weigerde telefonisch commentaar te geven. Kyivstar, Oekraïne's grootste mobiele netwerkoperator, werd vorige maand offline gehaald door Russische spionnen in wat leek op de grootste cyberaanval sinds Moskou in februari 2022 haar oorlog tegen het land begon. Russische hackers waren maanden voor de aanval al in de systemen van Kyivstar, wat leidde tot "rampzalige" vernietiging, aldus Illia Vitiuk, hoofd van Oekraïne's cyber spionagedienst. Daarnaast verklaarde de Oekraïense militaire inlichtingendienst GUR dat zij een grote hoeveelheid geclassificeerde Russische militaire data had ontvangen van het Special Technology Centre (STC), een gesanctioneerd Russisch bedrijf dat de Orlan drone en een reeks inlichtingenapparatuur voor Moskou produceert. [1]


China Beweert AirDrop van Apple te hebben Gekraakt voor Identificatie Gebruikers

Een Chinees onderzoeksinstituut, gesteund door de staat, beweert de codering van Apple's AirDrop te hebben doorbroken, waardoor het mogelijk is geworden om telefoonnummers en e-mailadressen van gebruikers te identificeren. Dit is een belangrijke ontwikkeling gezien China's geschiedenis van censuur en controle over internet en communicatie, inclusief de Grote Firewall en het blokkeren van versleutelde berichten-apps zoals Signal. AirDrop, bekend om zijn gebruik van Bluetooth en privé Wi-Fi-netwerken voor het delen van afbeeldingen en foto's, werd in het verleden vaak ingezet door demonstranten in Hong Kong en China om pamfletten en anti-regeringsboodschappen te verspreiden. Als reactie hierop beperkte Apple in iOS 16.1.1 het ontvangen van AirDrop-berichten van 'Iedereen' tot slechts 10 minuten voor telefoons verkocht in China. Deze beperking werd later toegepast op alle iOS-apparaten wereldwijd. Het Wangshendongjian Judicial Appraisal Institute beweert nu een methode te hebben gevonden om uit apparaatlogboeken de telefoonnummers, e-mailadressen en apparaatnamen te extraheren van zenders en ontvangers van AirDrop-berichten. Dit onderzoek werd gemotiveerd door het gebruik van AirDrop voor het verspreiden van "ongepaste" opmerkingen in de metro van Peking. Volgens de Chinese overheid was het vanwege de anonimiteit en moeilijk traceerbare aard van AirDrop noodzakelijk om de bron van deze berichten te identificeren. De onderzoekers gebruikten rainbow tables om de gehashte informatie in de iOS-apparaatlogboeken te ontcijferen, waardoor ze toegang kregen tot de persoonlijke gegevens van de zenders. China claimt deze forensische mogelijkheid al te hebben gebruikt om meerdere verdachten in verband met de zaak te identificeren. Dit roept vragen op over de privacy en veiligheid van AirDrop-gebruikers, zowel binnen als buiten China. [1, 2]


De Impact van de Kyivstar Cyberaanval: Een Analyse

In december 2023 werd Kyivstar, een van de grootste mobiele operators in Oekraïne, het slachtoffer van een langdurige cyberaanval door Russische hackers. Deze aanval, die zes maanden onopgemerkt bleef, trof 24 miljoen gebruikers en veroorzaakte ernstige verstoringen in de telecomdiensten. Het meest verwoestende deel van de aanval vond plaats maanden na de eerste infiltratie, waarbij duizenden virtuele servers en computers werden vernietigd. De aanval op Kyivstar had brede gevolgen. Zo werden tijdens de aanval luchtalarmen in Kiev verstoord, ervoeren meerdere banken storingen, en waren er problemen met betaalterminals en openbaar vervoer. Het hoofd van Counter Adversary Operations bij Crowdstrike, Adam Meyers, wees op de mogelijke samenhang tussen deze incidenten en de cyberaanval. De verantwoordelijkheid voor de aanval werd opgeëist door de groep Solntsepek, die eerder gelinkt is aan het beruchte Sandworm. Zij beweerden dat de aanval gericht was tegen Kyivstar omdat het communicatiediensten levert aan de Oekraïense strijdkrachten, overheidsinstanties en wetshandhavingsorganen. De CEO van Kyivstar en de Oekraïense Veiligheidsdienst wezen op de mogelijke betrokkenheid van Russische hackers. Meyers benadrukte dat Russische cyberoperaties sinds het begin van het conflict in Oekraïne gericht zijn geweest op spionage, informatieoperaties en destructieve doeleinden. Sandworm, een beruchte, door de staat gesponsorde APT-groep, heeft verschillende cyberaanvallen op Oekraïne uitgevoerd, waaronder een poging om de resultaten van de verkiezingen in 2014 te vervalsen en een aanval op het Oekraïense elektriciteitsnet in 2022, die 260.000 mensen zonder stroom achterliet. De specifieke details van de cyberaanval op Kyivstar blijven onduidelijk, maar deskundigen vermoeden dat een phishingaanval de oorzaak kan zijn geweest. Mike Newman, CEO van My1Login, suggereerde dat als de aanvallers via phishing toegang hadden verkregen tot inloggegevens van een werknemer, dit hen in staat zou hebben gesteld onder de radar te opereren en hun netwerkprivileges te vergroten voordat ze de verwoestende aanval lanceerden. Kyivstar heeft zijn dankbaarheid geuit voor de voortdurende steun en begrip en benadrukte dat de vijand er alles aan doet om communicatie te verstoren en mensen van elkaar te isoleren.


Syrische Hackers Verspreiden Geavanceerde Silver RAT Malware

Een groep hackers, bekend onder de naam Anonymous Arabic, heeft een geavanceerde Remote Access Trojan (RAT) genaamd Silver RAT ontwikkeld, die beveiligingssoftware kan omzeilen en verborgen controle over systemen kan nemen. Volgens een rapport van het cybersecuritybedrijf Cyfirma, zijn deze dreigingsactoren van Syrische afkomst en actief op diverse hackersfora en sociale media. Ze hebben eerder een andere RAT, S500 RAT, ontwikkeld en beheren een Telegramkanaal waar ze onder andere gehackte RAT's, gelekte databases, en bots voor Facebook en X (voorheen Twitter) aanbieden. Silver RAT v1.0 werd voor het eerst waargenomen in november 2023 en was al in oktober 2023 gekraakt en gelekt op Telegram. De malware, geschreven in C#, heeft een breed scala aan functies, zoals verbinding maken met een command-and-control (C2) server, het loggen van toetsaanslagen, het vernietigen van systeemherstelpunten en zelfs het versleutelen van gegevens met ransomware. Er zijn ook aanwijzingen dat er gewerkt wordt aan een Android-versie. Een opvallende functie van Silver RAT is het vermogen om de uitvoering van de payload uit te stellen en apps heimelijk te starten om controle over het gecompromitteerde systeem te krijgen. Analyse van de online aanwezigheid van de malwareontwikkelaar wijst uit dat een van de leden van de groep waarschijnlijk in de twintig is en in Damascus woont. De ontwikkelaar lijkt Palestina te steunen, gebaseerd op hun Telegramberichten. Leden van deze groep zijn actief op verschillende gebieden, waaronder sociale media, ontwikkelplatforms, ondergrondse fora en Clearnet-websites, wat wijst op hun betrokkenheid bij het verspreiden van verschillende soorten malware. [1]


Cyberaanval treft Internationale Luchthaven van Beiroet

De Internationale Luchthaven Rafic Hariri in Beiroet, Libanon, is recent getroffen door een cyberaanval. Deze aanval richtte zich op het Flight Information Display System (FIDS) van de luchthaven, waardoor hackers in staat waren een bericht op de schermen weer te geven. De inhoud van dit bericht beschuldigde Hezbollah en Iran ervan Libanon naar oorlog te leiden, tegen de wil van het Libanese volk in, en waarschuwde voor mogelijke bombardementen als gevolg van wapensmokkel. De luchthaven, vernoemd naar voormalig premier Rafic Hariri, is de primaire internationale luchthaven die Beiroet bedient en ligt ongeveer 9 kilometer van het stadscentrum. Als belangrijk knooppunt voor zowel binnenlandse als internationale luchtvaart speelt de luchthaven een cruciale rol in de regio. Naast de inbraak in het FIDS, werd ook het bagage-inspectiesysteem, bekend als het Baggage Handling System (BHS), verstoord. Dit dwong het luchthavenpersoneel om politiehonden in te zetten voor de inspectie van bagage. Er wordt gespeculeerd dat de cyberaanval een gevolg is van de oplopende spanningen tussen Israël en Libanon. Tot op heden heeft echter geen enkele hackersgroep de verantwoordelijkheid voor deze inbreuk opgeëist. Deze cyberaanval onderstreept de kwetsbaarheid van kritieke infrastructuur voor cyberdreigingen en de mogelijke impact die dergelijke aanvallen kunnen hebben op de nationale veiligheid en openbare diensten. [1]


❗️Turkse Cyberspionagecampagnes in Nederland

In de afgelopen jaren heeft het onderzoeksteam van Hunt & Hackett meerdere cyberaanvallen in Nederland waargenomen die naar verluidt georkestreerd zijn door de Turkse geavanceerde persistente dreigingsactor (APT) genaamd Sea Turtle. Deze groep, ook bekend onder namen als Teal Kurma, Marbled Dust, SILICON en Cosmic Wolf, richt zich voornamelijk op spionage door informatiediefstal en heeft voornamelijk overheidsinstanties, Koerdische (politieke) groepen, telecommunicatiebedrijven, internetdienstverleners, IT-serviceproviders en media- en entertainmentorganisaties in Europa, het Midden-Oosten en Noord-Afrika als doelwit. Sea Turtle staat bekend om zijn DNS-kapingstactieken tussen 2017 en 2019. Hun methoden zijn sindsdien geëvolueerd, waarschijnlijk om detectie te ontwijken. Deze groep richt zich op waardevolle en gevoelige gegevens en gebruikt strategieën zoals eilandhoppen en aanvallen op toeleveringsketens om toegang te krijgen tot netwerken. Hun modus operandi omvat het onderscheppen van internetverkeer naar gecompromitteerde websites, wat kan leiden tot ongeautoriseerde toegang tot overheidsnetwerken en systemen van organisaties. De campagnes van Sea Turtle in Nederland lijken zich te concentreren op telecommunicatie, media, ISP's en IT-serviceproviders, en in het bijzonder op Koerdische websites. De gestolen informatie wordt waarschijnlijk gebruikt voor surveillance of het verzamelen van inlichtingen over specifieke groepen of individuen. Hunt & Hackett heeft ook defensie ontwijkingstechnieken en het verzamelen van gevoelige gegevens, zoals e-mailarchieven, waargenomen. Hunt & Hackett heeft de modus operandi van Sea Turtle geanalyseerd aan de hand van het MITRE ATT&CK-framework. Ze hebben waargenomen dat Sea Turtle gebruikmaakt van malware genaamd SnappyTCP voor Linux/Unix, openbaar beschikbare GitHub-repositories, en SSH voor initiële toegang tot IT-omgevingen. Hun activiteiten omvatten ook anti-forensische technieken zoals het verwijderen van commando- en MySQL-geschiedenisbestanden en het overschrijven van Linux-systeemlogboeken. Hunt & Hackett adviseert organisaties, met name in de telecommunicatie, ISP's en de IT-sector, om EDR te implementeren, systemen te monitoren voor netwerkverbindingen, processen, bestandscreatie/-wijziging/-verwijdering en accountactiviteit. Ook wordt geadviseerd om wachtwoordbeleid te handhaven, software up-to-date te houden, en externe toegang via SSH te beperken. In hun rapport biedt Hunt & Hackett een overzicht van de indicatoren van compromittering die zijn waargenomen tijdens het volgen van Sea Turtle, om organisaties te helpen zich beter voor te bereiden en te beschermen tegen de methoden en hulpmiddelen die door deze APT-groep worden gebruikt. [1]


Russische hackers zaten maandenlang binnen telecomgigant in Oekraïne

In mei 2023 werden Russische hackers geïdentificeerd binnen het systeem van het Oekraïense telecomgigant Kyivstar, wat grote waarschuwingen aan het Westen opleverde. Illia Vitiuk, hoofd van de cybersecurityafdeling van de Oekraïense Veiligheidsdienst SBU, onthulde dat deze cyberaanval aanzienlijke vernietiging veroorzaakte en zowel psychologische impact had als gericht was op het verzamelen van inlichtingen. Kyivstar, de grootste telecomoperator van Oekraïne met ongeveer 24 miljoen gebruikers, ondervond ernstige verstoringen van hun diensten door deze aanval. De aanvallers, vermoedelijk de Russische militaire spionage-eenheid Sandworm, hadden mogelijk al vanaf maart of eerder toegang tot het systeem. De SBU constateerde dat persoonlijke informatie, telefoonlocaties en SMS-berichten mogelijk gecompromitteerd konden worden. Een woordvoerder van Kyivstar meldde dat er geen persoonlijke of abonneegegevens gelekt waren. De SBU assisteerde Kyivstar bij het herstellen van hun systemen en het afweren van nieuwe cyberaanvallen. De aanval had vooral impact op burgers in kleine steden en dorpen, waar Kyivstar vaak de enige provider was. Dit leidde tot lange rijen voor nieuwe SIM-kaarten en verstoringen in geldautomaten en luchtalarmen, hoewel het Oekraïense leger, dat andere communicatiemiddelen gebruikt, niet significant getroffen werd. Vitiuk wees erop dat de aanval op Kyivstar mogelijk vergemakkelijkt werd door overeenkomsten met de Russische mobiele operator Beeline. Het onderzoek naar de exacte penetratiemethode van Kyivstar loopt nog. De CEO van Kyivstar, Oleksandr Komarov, bevestigde dat alle diensten van het bedrijf landelijk hersteld waren. Vitiuk prees de snelle en effectieve respons van de SBU bij het veilig herstellen van de systemen. [1]


Oekraïne Hackt Russisch Waterbedrijf Rosvodokanal en Verkrijgt 1,5TB Data

In een recente cyberoperatie heeft een Oekraïense hackersgroep, bekend als Blackjack, het Russische waterbedrijf Rosvodokanal, een van de grootste privébedrijven in Rusland, succesvol gehackt. Deze actie, waarbij 1,5 terabyte aan gegevens werd buitgemaakt, werd vermoedelijk ondersteund door cyberexperts van de Oekraïense Veiligheidsdienst (SBU). Volgens bronnen werd de IT-infrastructuur van Rosvodokanal verwoest tijdens een krachtige cyberaanval. De hackers hebben 6.000 computers versleuteld en meer dan 50TB aan data verwijderd. Deze data omvatte het interne documentbeheersysteem, zakelijke e-mails, cyberbeveiligingsdiensten en back-ups. Naast het verwijderen van data, is er ook 1,5TB aan data in beslag genomen en momenteel in analyse door specialisten van de SBU. De operaties van Rosvodokanal zijn ernstig verstoord als gevolg van deze cyberaanval. Het bedrijf, dat deel uitmaakt van de in Moskou gevestigde Alfa Group, voorziet ongeveer 7 miljoen consumenten van water. Deze cyberaanval past binnen het bredere kader van de cyberoorlog tussen Oekraïne en Rusland, die is geïntensiveerd sinds de Russische invasie van Oekraïne bijna twee jaar geleden. Eerder voerde Oekraïne aanvallen uit op de Russische belastingdienst en een Russische mediadatabase. Daarnaast werd de Oekraïense telecomgigant Kyivstar ook getroffen door een cyberaanval, wat resulteerde in een onderbreking van de internetdiensten voor miljoenen gebruikers. Deze recente gebeurtenissen benadrukken de voortdurende en escalerende digitale confrontatie tussen de twee landen.



Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen