Cyberoorlog nieuws 2024 februari

Gepubliceerd op 6 maart 2024 om 19:28

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de turbulente maand februari is de digitale wereldarena opnieuw het toneel geweest van een reeks verontrustende cyberconflicten die de grenzen van traditionele oorlogsvoering hebben verlegd naar het virtuele domein. Met een ongekende reeks van cyberaanvallen die over de hele wereld zijn uitgevoerd, is duidelijk geworden hoe diep en wijdverspreid de tentakels van de cyberoorlog zich hebben uitgestrekt. Aanvallende naties zoals Rusland, Oekraïne, China, Noord-Korea, evenals niet-staatsactoren zoals Anonymous Sudan, en zelfs acties vanuit de Verenigde Staten, hebben een nieuwe dimensie van digitale strijd onthuld die zowel verbazingwekkend geavanceerd als angstaanjagend onvoorspelbaar is.

Deze periode heeft een scala aan cyberagressie getoond, van geavanceerde infiltratiepogingen in de privésystemen van overheidsfunctionarissen tot doelgerichte verstoringen van nationale infrastructuur, die de kwetsbaarheid van onze digitale afhankelijkheden blootlegt. De activiteiten van de groep 'Just Evil', ook bekend als 'Killnet', tegen Moldavië en de NAVO-landen, samen met de verrassende cyberaanvallen uitgevoerd door de HUR van Oekraïne op Russische dronebesturingssystemen, onderstrepen de toenemende rol van cyberactiviteiten in het geopolitieke spel.

De dreiging is niet beperkt tot enkele regio's; van de verstoring van essentiële diensten in Litouwen tot de langdurige infiltratie in de Amerikaanse infrastructuur door Chinese hackers, de cyberaanvallen van afgelopen maand hebben een breed spectrum aan doelwitten getroffen. Noord-Koreaanse cyberespionage-inspanningen gericht op de wereldwijde defensiesector en de opvallende acties van Anonymous Sudan tegen de Zweedse gezondheidszorg en Israëlische telecominfrastructuur benadrukken verder de wereldwijde aard van deze bedreigingen.

Slachtoffers van deze aanvallen variëren aanzienlijk, van nationale overheden en militaire organisaties tot kritieke publieke diensten en de civiele bevolking, die indirect getroffen wordt door de ontwrichting van essentiële diensten. De verdediging tegen deze cyberdreigingen vereist een gecoördineerde inspanning en een diepgaand begrip van de complexiteit van moderne cyberoorlogsvoering.

Naast directe aanvallen heeft de afgelopen maand ook een toename laten zien in desinformatiecampagnes en psychologische operaties, ontworpen om te manipuleren, misleiden, en verdeeldheid te zaaien onder bevolkingen. Het gebruik van nieuwssites voor het verspreiden van pro-Chinese desinformatie en Russische desinformatiecampagnes in Duitsland zijn voorbeelden van hoe cyberspace wordt gebruikt als een slagveld voor informatieoorlogsvoering.

In dit uitgebreide overzicht van de cyberoorlog nieuwsgebeurtenissen van afgelopen maand februari wordt de complexiteit en veelzijdigheid van de hedendaagse cyberdreigingen belicht. Van aanvallers die hun cyberkracht inzetten voor geopolitieke doeleinden tot slachtoffers die worstelen met de gevolgen van deze aanvallen, de digitale arena blijft een belangrijk front in de wereldwijde strijd voor veiligheid en stabiliteit.

Hieronder vindt u het volledige overzicht van de cyberoorlog nieuwsgebeurtenissen van afgelopen maand, waarmee de schaal en diversiteit van cyberdreigingen die onze wereldwijde gemeenschap beïnvloeden, worden onthuld.



Just Evil (Killnet) Cybercriminelen Richten Hun Pijlen op Moldavische Justitie

In een recente en zorgwekkende ontwikkeling hebben cybercriminelen van de groep 'Just Evil (Killnet)' aangekondigd dat zij succesvol toegang hebben verkregen tot de privésystemen van senior medewerkers van het Ministerie van Justitie van Moldavië. Deze onthulling werpt een schokkende blik op de diepte van cyberinfiltratie waarmee overheidsinstellingen wereldwijd te kampen hebben.

De groep heeft in een bericht aangegeven dat deze inbraak hen in staat stelt een reeks illegale diensten aan te bieden die betrekking hebben op de verkregen toegang en informatie. Volgens hun bericht omvat hun "aanbod":

  1. Volledige Toegang: Voor een prijs van 40.000 euro bieden zij volledige toegang tot de systemen van een medewerker van het "Beheer" van het Ministerie van Justitie.
  2. Documenten op Aanvraag: Ze beweren in staat te zijn alle documenten te leveren van 2014 tot heden, met een prijs die onderhandelbaar is.
  3. Aanpassingen in Documentenstroom: Daarnaast bieden zij de mogelijkheid aan om aanpassingen aan te brengen in het documentenstroomsysteem van het ministerie.

Het bericht benadrukt ook dat hun database dagelijks wordt bijgewerkt, wat suggereert dat zij voortdurend nieuwe informatie vergaren en hun illegale diensten verder uitbreiden. Ze moedigen geïnteresseerden aan contact op te nemen via een bot voor meer details.

Deze ongekende toegang tot gevoelige regeringsdocumenten en systemen belicht niet alleen de kwetsbaarheid van overheidsinstellingen voor cyberaanvallen, maar onderstreept ook de noodzaak van verhoogde cyberbeveiligingsmaatregelen. Terwijl de Moldavische autoriteiten nog moeten reageren op deze specifieke claims, benadrukt deze situatie de voortdurende strijd tegen cybercriminaliteit en de groeiende dreiging die dergelijke groepen vormen voor de nationale veiligheid en privacy van gegevens wereldwijd.


Russische Hackers Misbruiken Ubiquiti Routers voor Onopgemerkte Aanvallen

Russische militaire hackers, bekend als APT28 of Fancy Bear, misbruiken gecompromitteerde Ubiquiti EdgeRouters om detectie te ontwijken, volgens een gezamenlijke waarschuwing van de FBI, NSA, U.S. Cyber Command, en internationale partners. Deze groep, onderdeel van de Russische militaire inlichtingendienst GRU, zet deze populaire routers in om uitgebreide botnets te bouwen voor het stelen van inloggegevens, verzamelen van NTLMv2 digests, en het routeren van kwaadaardig verkeer. Ze hosten ook aangepaste tools en phishing landingspagina's voor heimelijke cyberoperaties tegen militairen, overheden en andere organisaties wereldwijd. De routers, vaak geleverd met standaard inloggegevens en beperkte firewallbescherming, worden niet automatisch bijgewerkt, wat ze kwetsbaar maakt. Eerder deze maand verstoorden de FBI een botnet van met Moobot malware geïnfecteerde Ubiquiti EdgeRouters, oorspronkelijk opgezet door andere cybercriminelen, maar later gerepurposeerd door APT28 voor wereldwijde cyberespionage. Tijdens het onderzoek ontdekte de FBI diverse APT28-tools op de gehackte routers. APT28 is verantwoordelijk voor meerdere prominente cyberaanvallen sinds hun oprichting, waaronder inbraken in het Duitse federale parlement en aanvallen op de Democratic Congressional Campaign Committee (DCCC) en de Democratic National Committee (DNC) voorafgaand aan de Amerikaanse presidentsverkiezingen in 2016. Om besmette Ubiquiti EdgeRouters te herstellen, adviseren de FBI en partneragentschappen een hardware factory reset, firmware-updates, wijziging van standaard gebruikersnamen en wachtwoorden, en het implementeren van strategische firewallregels. De FBI vraagt om melding te maken van verdachte of criminele activiteiten gerelateerd aan deze aanvallen om verdere misbruik van deze technieken te voorkomen en de verantwoordelijken ter verantwoording te roepen. [1]


Geavanceerde Aanval op Finse Entiteit door UAC-0184 met Steganografie en Remcos RAT

Een Oekraïense entiteit in Finland werd het doelwit van een geavanceerde cyberaanval door de hackergroep UAC-0184, die steganografie gebruikte om de Remcos remote access trojan (RAT) te verspreiden. Deze groep, die eerder aanvallen op de Oekraïense strijdkrachten uitvoerde, heeft nu haar activiteiten uitgebreid naar organisaties buiten Oekraïne. De aanval, ontdekt door Morphisec analisten begin 2024, begon met een phishing-email, gevolgd door het activeren van een kwaadaardige uitvoerbare file die een modulaire malware loader, genaamd 'IDAT', lanceerde. IDAT kenmerkt zich door een complexe structuur met technieken als code-injectie en dynamische API-functies om detectie te ontwijken. Het decodeert en voert een in een PNG-afbeelding ingebedde payload uit, waarna het de Remcos RAT initieert voor stiekeme gegevensdiefstal en activiteitenmonitoring. Morphisec meldt dat IDAT ook andere malware kan leveren, zoals Danabot en RedLine Stealer, hoewel het onduidelijk is of deze in Finland of in andere aanvallen werden gebruikt. [1, 2]


Russische desinformatiecampagne richt zich op Duitsland tijdens verkiezingsaanloop

Een recent onderzoek van het Amerikaanse cybersecuritybedrijf SentinelLabs onthult een gerichte desinformatiecampagne door Doppelgänger, een met Rusland gealigneerde informatiegroep, tegen de Duitse regering en haar kiezers. Deze campagne, geïdentificeerd sinds mei 2022, heeft als doel de binnenlandse steun voor de Duitse coalitieregering en haar financiële steun aan Oekraïne te ondermijnen. Doppelgänger maakt gebruik van nepnieuwssites die bestaande nieuwsportalen imiteren om legitimiteit te verlenen aan hun anti-Oekraïne narratief. SentinelLabs observeerde hoe deze websites, waaronder een die zich voordeed als de Duitse nationale dagblad Die Welt, werden gebruikt om de Duitse steun voor Oekraïne kritisch te benaderen, met name in de context van binnenlandse kwesties zoals landbouwsubsidies en immigratiebeleid. De campagne lijkt tevens gericht op het beïnvloeden van de publieke opinie ten aanzien van de Duitse immigratiepolitiek door deze te koppelen aan de financiële en militaire steun voor Oekraïne. SentinelLabs benadrukt dat Duitsland, als een van de grootste donateurs aan Oekraïne, een belangrijk doelwit is voor Rusland om te proberen deze steun te ontsporen. [1]


Intensivering van Russische PSYOP-campagnes tegen Oekraïners

Een door Rusland gesteunde actor heeft nieuwe PSYOP (psychologische operatie) campagnes gelanceerd, gericht op het demoraliseren van de Oekraïense bevolking door het verspreiden van propaganda. Volgens onderzoek van cybersecuritybedrijf ESET omvatten deze campagnes valse beweringen over voedsel-, medicijn- en verwarmingstekorten, en zelfs suggesties voor zelfverminking om militaire dienst te ontlopen. De eerste golf van deze misleidende e-mails begon op 20 november 2023, gericht op Oekraïense overheidsmedewerkers, energiebedrijven, en burgers. Valse aanbevelingen bevatten bizarre adviezen zoals het koken van hennep met bakpoeder en gecondenseerde melk voor stressverlichting, en het eten van "duivenrisotto", compleet met recepten en foto's. De tweede golf, nog verwerpelijker, suggereerde zelfamputatie om dienstplicht te ontwijken en riepop tot het verdrijven van 'Satanisten' om het Kievse Rijk te herstellen. Daarnaast werden dezelfde infrastructuur en domeinen gebruikt voor spearphishing-aanvallen gericht op het stelen van inloggegevens en voor het versturen van nepmedicijnspam, wat wijst op een verband met Russische cybercriminelen. Deze operaties, onderdeel van een breder scala aan cyberoorlogsvoering en spionageactiviteiten door Rusland-gealigneerde groepen, onderstrepen de voortdurende psychologische druk en desinformatiecampagnes gericht tegen Oekraïne. [1]


Cyberaanval op Moldavische Presidentiële Website: Een Waarschuwing van 'Just Evil'

In een recente ontwikkeling hebben cybercriminelen, die zichzelf identificeren als 'Just Evil (Killnet)', zich gericht op de officiële website van de president van Moldavië. De aanval, die bedoeld lijkt om zowel verwarring als ontregeling te veroorzaken, werd aangekondigd via een provocerende boodschap gericht aan de Moldavische autoriteiten en burgers. De groep plaatste een bericht met de intentie om hun hack te verduidelijken, door te verwijzen naar de officiële link van de presidentiële website van Moldavië, met daarbij een uitnodiging aan lezers om de link te bezoeken en "te glimlachen". Dit wijst op een mogelijke defacement of manipulatie van de website-inhoud, alhoewel de exacte aard van de cyberaanval niet direct duidelijk is vanuit hun boodschap. Verder dreigden ze met het uploaden van ongepaste inhoud, specifiek verwijzend naar 'zooporn', op de website binnen een tijdsbestek van tien minuten, en beweerden ze tweefactorauthenticatie (2FA) te hebben ingeschakeld om hun controle over de website te versterken. Deze actie onderstreept de voortdurende dreiging van cybercriminaliteit en de noodzaak voor overheidsinstellingen om hun digitale infrastructuur te versterken. Het benadrukt ook het belang van cybersecurity bewustzijn en voorbereidingen om dergelijke aanvallen te mitigeren en te voorkomen. Terwijl de autoriteiten de situatie onderzoeken en aanpakken, blijft de gemeenschap alert op mogelijke verdere ontwikkelingen of aanvallen van deze groep of andere cybercriminelen.


Dynamiek in Hacktivist Landschap van Rusland-Oekraïne Conflict

In de meest recente editie van Cyberknow's Newsletter, gepubliceerd op 21 februari 2024, biedt de auteur een diepgaande update over de cyberactiviteiten gerelateerd aan de oorlog tussen Rusland en Oekraïne. De nieuwsbrief, die zich richt op situational awareness en threat intelligence, onthult dat er sinds 24 februari 2022 meer dan 380 hacktivistische groepen zijn gevolgd die betrokken zijn bij het conflict. De auteur benadrukt dat de analyse van deze groepen is gebaseerd op hun intenties, niet op hun capaciteiten. Een opvallende observatie is de voortdurende activiteit en evolutie binnen het hacktivistische landschap, waarbij nieuwe groepen oude vervangen en DDoS-aanvallen de overheersende aanvalsmethode blijven voor zowel pro-Russische als pro-Oekraïense groeperingen. Interessant is dat pro-Russische groepen in aantal blijven overheersen, hoewel dit geen reflectie is op de impact van hun aanvallen. De nieuwsbrief meldt ook de verschuivingen binnen specifieke groepen, zoals de vervanging van Killnet en Killmilk door respectievelijk Killnet2.0 en JustEvil, en de aanhoudende succesvolle aanvallen van Anonymous Sudan, waarschijnlijk ondersteund door het Skynet botnet. Dit alles toont een dynamisch en zich steeds ontwikkelend cyberfront in het conflict tussen Rusland en Oekraïne, met hacktivisten die streven naar verbeterde mogelijkheden om hun hoge intenties na te streven.

Cybertracker 26. Russia-Ukraine War
Afbeelding – 333,8 KB 113 downloads
Cybertracker 26. Russia-Ukraine War
Afbeelding – 45,9 KB 110 downloads

Onthulling van de Zakelijke Facet van China's Cyberespionage

Een recente datalek bij een van China's vooraanstaande particuliere cybersecuritybedrijven heeft onthullende inzichten geboden in de commerciële kant van de vele door de staat gesponsorde hackergroepen van het land. Dit lek toont aan hoe Chinese overheidsagentschappen hun buitenlandse spionagecampagnes steeds vaker uitbesteden aan de groeiende en zeer competitieve cybersecurity-industrie van het land. De gelekte documenten, afkomstig van i-SOON, een technologiebedrijf uit Shanghai, bekend om zijn cybersecuritytrainingen, belichten een minder bekende zijde van het bedrijf. Deze zijde houdt zich bezig met het initiëren en onderhouden van cyberespionagecampagnes in opdracht van diverse Chinese overheidsinstanties. De documenten wijzen op betrokkenheid van i-SOON bij talrijke cyberinbraken, gericht op overheidsystemen in het Verenigd Koninkrijk en verschillende Aziatische landen. Hoewel specifieke gestolen data ontbreekt in de lek, bevatten de documenten gedetailleerde lijsten met het niveau van toegang en de soorten data die bij elke inbraak zijn blootgesteld. Experts geloven dat deze informatie legitiem is en dat i-SOON nauw samenwerkt met het Chinese Ministerie van Staatsveiligheid en het leger, waardoor het lek waardevolle inzichten biedt in het volwassen wordende ecosysteem van China's cyberespionage. Dit incident benadrukt de complexe relatie tussen de Chinese overheid en haar private sector op het gebied van cyberoperaties, en werpt licht op een zelden geziene kant van China's strategische benadering van cyberoorlogsvoering en informatiecontrole. [1]


🇧🇪 Cyberaanvallen Teisteren België: NoName057(16) Eist Verantwoordelijkheid

In een recente golf van cyberaanvallen zijn meerdere Belgische overheidswebsites het doelwit geworden, waaronder die van de Eerste Minister, het Huis van Afgevaardigden, en de stad Brussel. De aanvallen zijn opgeëist door de cybercriminele groep NoName057(16), die stelt te handelen als vergelding voor België's financiële steun aan Oekraïne.

Achtergrond van de Aanval

De cybercriminelen van NoName057(16) hebben hun acties toegelicht in een verklaring waarin ze België, naast andere landen die zij als 'Russofoob' beschouwen, beschuldigen van het ondersteunen van het "criminele regime" van de Oekraïense president Zelenski. Volgens berichtgeving van het Oekraïense Ministerie van Financiën heeft België vorig jaar financiële steun verleend aan Oekraïne, een actie die door de groep als provocatie wordt gezien.

Doelwitten van de Cyberaanvallen

De aanvallen richten zich op kritieke online infrastructuur:

  • Website van de Eerste Minister van België: Als centrum van de Belgische federale regering, vormt de website van de Eerste Minister een cruciaal communicatiekanaal voor officiële mededelingen en beleidsinformatie.
  • Het Belgische Huis van Afgevaardigden:*Als lagerhuis van het Federaal Parlement, speelt deze website een sleutelrol in de wetgevende communicatie en publieke toegankelijkheid van parlementaire activiteiten.
  • Website van Brussel: De aanval op de website van de hoofdstad legt de kwetsbaarheid bloot van lokale overheden voor cybercriminaliteit, met potentieel verstorende gevolgen voor stedelijke diensten en inwonersinformatie.

Reactie en Implicaties

De cyberaanvallen onderstrepen de toenemende dreiging van cybercriminaliteit en de noodzaak voor overheden om hun digitale infrastructuur te versterken. Terwijl Belgische autoriteiten zich haasten om de getroffen systemen te herstellen en de beveiliging te verhogen, blijft de vraag naar de effectiviteit van internationale samenwerking tegen cyberdreigingen prominent.

Deze incidenten werpen ook licht op de complexe geopolitieke dynamieken die ten grondslag liggen aan cyberconflicten, waarbij nationale belangen en internationale relaties steeds vaker worden beïnvloed door digitale oorlogsvoering. Naarmate landen navigeren door deze uitdagende digitale landschap, wordt de balans tussen veiligheid, vrijheid en samenwerking des te kritieker.


Vluchten Naar Tel Aviv Omgeleid Naar Beiroet Door Hackers

Vliegtuigen die naar Tel Aviv, Israël, vliegen worden door hackers via spoofing 'omgeleid' naar Beiroet, Libanon. Dit fenomeen is opgemerkt door de vliegtuigvolgsite Flightradar24, waarbij de manipulatie van gegevens op internet de oorzaak lijkt te zijn. Ondanks de politieke spanningen tussen Israël en Hezbollah, wat een omleiding naar Beiroet onwaarschijnlijk maakt, tonen de gegevens van Flightradar24 een ongewoon hoog aantal dergelijke omleidingen. Spoofing, het opzettelijk manipuleren van gegevens van het Global Navigation Satellite System (GNSS), wordt aangewezen als de hoofdoorzaak. Deze acties, waaronder ook het hacken van informatieborden op vliegvelden, worden versterkt door sterke GNSS-interferentie in de regio. Deze ontwikkelingen baren zorgen over de veiligheid van het luchtverkeer naar Israël en de mogelijkheden van hackers om invloed uit te oefenen op internationale vluchtroutes. [1]


Waarschuwing voor Cyber-Espionage Gericht op Wereldwijde Defensiesector door Noord-Koreaanse Hackers

In een gezamenlijke waarschuwing van de Duitse federale inlichtingendienst (BfV) en de Zuid-Koreaanse Nationale Inlichtingendienst (NIS) wordt aandacht besteed aan een lopende cyber-espionage operatie, uitgevoerd door Noord-Koreaanse hackers, gericht op de wereldwijde defensiesector. Deze operatie heeft als doel geavanceerde militaire technologie-informatie te stelen om Noord-Korea te helpen bij het moderniseren van conventionele wapens en het ontwikkelen van nieuwe militaire capaciteiten. Specifiek wordt de Lazarus-groep, een bekende Noord-Koreaanse acteur, genoemd in verband met twee cases die de gebruikte tactieken, technieken en procedures (TTP's) van de aanvallers illustreren. Eén geval betreft een supply-chain aanval eind 2022, waarbij een Noord-Koreaanse cyberacteur systemen van een onderzoekscentrum voor maritieme en scheepvaarttechnologieën binnendrong via het compromitteren van de webserveronderhoudsoperaties van het doelwit. De aanvaller maakte gebruik van gestolen SSH-credentials, legitieme tools voor het downloaden van kwaadaardige bestanden en lateral movement in het netwerk om verborgen te blijven. Een tweede voorbeeld betreft de "Operation Dream Job", een tactiek waarbij de Lazarus-groep nepaccounts op online jobportalen creëert om medewerkers van defensieorganisaties te benaderen en vertrouwen te winnen voor het verspreiden van kwaadaardige PDF- of ZIP-bestanden. Deze incidenten benadrukken het belang van beperkte toegang voor IT-dienstverleners, strenge gebruikersauthenticatie, multifactorauthenticatie (MFA), en het trainen van werknemers over de laatste trends in cyberaanvallen om de veiligheid te verbeteren en succesvolle sociale engineering aanvallen te voorkomen. [pdf]


🇪🇺 Aanvallen gericht op overheden, militaire organisaties en academische instellingen in Oekraïne, Georgië, Polen, en België

Zeker tachtig organisaties, waaronder de Iraanse ambassade in Nederland, zijn getroffen door cyberaanvallen via een zerodaylek in Roundcube Webmail, volgens onderzoek van het securitybedrijf Recorded Future. Dit beveiligingslek, geïdentificeerd als CVE-2023-5631, stelde aanvallers in staat om stored cross-site scripting (XSS) aanvallen uit te voeren. Door het versturen van een kwaadaardige e-mail konden zij JavaScript-code in de browsers van hun slachtoffers uitvoeren, wat resulteerde in het stelen van alle e-mails uit de getroffen accounts. De aanvallen waren voornamelijk gericht op overheden, militaire organisaties en academische instellingen in Oekraïne, Georgië, Polen, en België. Een aan Rusland gelieerde groepering wordt verantwoordelijk gehouden voor deze cyberaanvallen. Het lek in de Roundcube-software werd reeds in oktober gedicht. Recorded Future heeft ook gewaarschuwd voor een ander recent ontdekt zerodaylek in Roundcube, waarover nog geen verdere details bekend zijn gemaakt. [1]


VS Voert Cyberaanval Uit op Iraans Marineschip ter Vergelding

De Verenigde Staten hebben een cyberaanval uitgevoerd op het Iraanse marineschip MV Beshad, dat actief was in de Rode Zee en de Golf van Aden. Dit schip zou informatie over vrachtschepen verzameld en doorgespeeld hebben aan de Houthi-rebellen in Jemen. Deze rebellen hebben in de afgelopen maanden herhaaldelijk aanvallen uitgevoerd op dergelijke schepen. De cyberaanval was een reactie op een droneaanval in Jordanië, waardoor minstens drie Amerikaanse soldaten omkwamen, vermoedelijk uitgevoerd door een door Iran gesteunde Iraakse militie. Het doel van de cyberoperatie was het blokkeren van de communicatie van het schip naar de Houthi's, als onderdeel van een reeks Amerikaanse vergeldingsacties. De actie is bevestigd door The New York Times, maar verdere details over de uitvoering en de gevolgen van de aanval zijn niet openbaar gemaakt. Het Pentagon,bij monde van woordvoerder Sabrina Singh, heeft geen commentaar gegeven op de specifieke operatie, hoewel dit niet de eerste keer is dat de VS cyberaanvallen gebruiken als vergelding. [1]


Amerikaanse Justitie Ontregelt Russisch Spionage Botnet

Het Amerikaanse Ministerie van Justitie (DoJ) heeft met succes een wereldwijd botnet ontmanteld dat werd beheerd door de militaire inlichtingendienst van Rusland, de GRU. Dit netwerk, opgebouwd uit honderden routers in kleine kantoren en huishoudens, werd gebruikt voor cybercriminaliteit, waaronder spearphishing en het verzamelen van inloggegevens gericht tegen overheden, militaire en beveiligingsorganisaties. Deze actie maakt deel uit van versnelde inspanningen om de cyberaanvallen van de Russische overheid tegen de VS en zijn bondgenoten te verstoren. Het botnet gebruikte Moobot-malware, geïnstalleerd op routers die nog steeds standaard beheerderswachtwoorden gebruikten, om ze te veranderen in een platform voor cyberespionage. De FBI speelde een sleutelrol in het verstoren van de toegang van Rusland tot deze apparaten. Hoewel deze ingreep de operaties van de GRU vertraagt, waarschuwen beveiligingsexperts dat het slechts een deel van een veel groter geheel van nationale cyberaanvallen betreft. Dit initiatief is onderdeel van een bredere strategie van het DoJ, inclusief de oprichting van een nieuwe Nationale Veiligheid Cyber Sectie, om dergelijke dreigingen proactief aan te pakken. [1]


🇳🇱🇧🇪🇪🇺 Just Evil (Killnet) Cybercriminelen Richten Pijlen op Wereldwijde Satelliet-GPS-Systemen

In een recente ontwikkeling hebben cybercriminelen van de beruchte groepering genaamd 'Just Evil', ook bekend als 'Killnet', aangekondigd dat ze toegang hebben verkregen tot het beheerderspaneel van een cruciaal satelliet-GPS-systeem. Deze onthulling heeft aanzienlijke bezorgdheid gewekt binnen de cybersecurity- en transportgemeenschappen wereldwijd. De groep, die bekend staat om zijn geavanceerde cyberaanvalscapaciteiten, heeft via een verklaring aangegeven dat ze nu in staat zijn om online voertuigtracking uit te voeren en toegang te krijgen tot uitgebreide informatie over transport en chauffeurs. Dit geeft hen een ongekende controle en toezichtsmogelijkheden op een schaal die voorheen ondenkbaar was. Opmerkelijk is dat de toegang die 'Just Evil (Killnet)' heeft verkregen, wereldwijde reikwijdte heeft, met uitzondering van Mexico, Brazilië, Rusland, en de landen die deel uitmaken van de Gemeenschap van Onafhankelijke Staten (GOS). Dit suggereert dat hun operaties een gerichte uitzondering maken voor deze gebieden, mogelijk vanwege strategische of geopolitieke redenen. De implicaties van deze toegang zijn verstrekkend en verontrustend. Het biedt 'Just Evil (Killnet)' de mogelijkheid om kritieke infrastructuur te manipuleren, verstoringen in transportnetwerken te veroorzaken, en mogelijk gevoelige informatie over transportroutes en logistieke operaties te verzamelen. Dit stelt hen in staat om een breed scala aan kwaadaardige activiteiten uit te voeren, variërend van economische sabotage tot gerichte aanvallen op specifieke individuen of organisaties. De cyberveiligheidsgemeenschap en overheidsinstanties over de hele wereld zijn in hoogste staat van alertheid gebracht om de dreiging die deze toegang vormt te mitigeren. Maatregelen worden genomen om de beveiliging van satelliet-GPS-systemen te versterken en de potentiële schade die door deze groepering kan worden aangericht, te beperken. Dit incident benadrukt de noodzaak van voortdurende waakzaamheid en geavanceerde beveiligingsprotocollen om de steeds evoluerende bedreigingen in het digitale tijdperk het hoofd te bieden. Terwijl de wereld steeds afhankelijker wordt van technologie en digitale infrastructuren, blijkt eens te meer dat cyberveiligheid een cruciale pijler is in de bescherming van onze maatschappelijke en economische systemen tegen kwaadwillende actoren.

Bron: 'Just Evil', ook bekend als 'Killnet'


OpenAI Tackelt Misbruik ChatGPT door Staatsgesponsorde Hackers

OpenAI heeft actie ondernomen tegen het misbruik van haar AI-chatbot, ChatGPT, door staatsgesponsorde hackergroepen uit Iran, Noord-Korea, China en Rusland. Deze groepen werden betrapt op het gebruiken van ChatGPT voor kwaadaardige doeleinden, waaronder onderzoek naar militaire technologieën, het genereren van spear-phishing content en het ontwikkelen van ontwijktechnieken. De actie volgde op informatie verstrekt door Microsoft's Threat Intelligence team, die de misbruikende accounts identificeerde en hielp bij het beëindigen van hun activiteiten op het platform. De verschillende groepen gebruikten de AI voor taken variërend van sociale manipulatie tot technische optimalisatie van hun cyberoperaties, zonder echter directe ontwikkeling van malware of exploitatietools. OpenAI benadrukt het belang van het monitoren en verstoren van deze activiteiten door middel van gespecialiseerde monitoringtechnologieën en samenwerking met industriepartners. Het bedrijf streeft ernaar zijn veiligheidsmaatregelen voortdurend te evolueren op basis van de geleerde lessen uit deze misbruikgevallen, om zo geavanceerdere bedreigingen in de toekomst voor te zijn. [1, 2]


Cyberaanvallen door 'Anonymous Sudan' Leggen Focus op OpenAI en ChatGPT

In een recente golf van cyberactivisme heeft de groep bekend als 'Anonymous Sudan' verschillende websites aangevallen, met een specifieke focus op OpenAI en zijn populaire AI-chatbot, ChatGPT. De aanvallen zijn naar verluidt een reactie op verschillende controversiële kwesties rond OpenAI's beleid, samenwerkingen, en de vermeende voorkeuren van hun AI-modellen.

De Redenen Achter de Aanvallen

'Anonymous Sudan' heeft meerdere redenen opgegeven voor hun gerichte aanvallen op OpenAI en ChatGPT:

  • Genocidale Opmerkingen van Tal Broda: Tal Broda, hoofd van het onderzoeksplatform bij OpenAI, wordt beschuldigd van het maken van controversiële uitspraken, waaronder het aansporen tot meer actie in Gaza met opmerkingen als "More! Geen genade! IDF stopt niet!" en "Schoon zuidelijk Gaza".
  • Samenwerking met Israël: OpenAI's vermeende samenwerking met de staat Israël en uitspraken van de CEO over verdere investeringen in het land, samen met ontmoetingen met Israëlische functionarissen zoals Netanyahu, zoals gemeld door Reuters.
  • Gebruik van AI in Wapenontwikkeling: De groep bekritiseert ook het gebruik van AI-technologie bij de ontwikkeling van wapens en door inlichtingendiensten zoals de Mossad, evenals het gebruik van AI door Israël om Palestijnen te onderdrukken.
  • Amerikaans Bedrijf: Als een Amerikaans bedrijf blijft OpenAI een doelwit voor de groep, die stelt zich te richten op Amerikaanse entiteiten vanwege politieke redenen.
  • Voorkeur voor Israël: 'Anonymous Sudan' beweert dat ChatGPT een algemene voorkeur toont voor Israël boven Palestina, een kwestie die volgens hen aangepakt moet worden.

De Eisen en Dreigingen

De groep eist specifieke acties van OpenAI, waaronder het ontslag van Tal Broda, en waarschuwt dat de aanvallen zullen voortduren totdat hun zorgen zijn aangepakt. Deze cyberaanvallen hebben tijdelijke verstoringen veroorzaakt voor de toegang tot ChatGPT, wat de ernst van de situatie onderstreept.

Impact en Reacties

De acties van 'Anonymous Sudan' hebben aandacht getrokken binnen de cyberveiligheidsgemeenschap en daarbuiten, waardoor discussies over de ethische verantwoordelijkheden van AI-bedrijven en de impact van hun technologieën op geopolitieke kwesties zijn opgelaaid. De situatie werpt licht op de complexe interacties tussen technologiebedrijven, politiek beleid, en de kracht van cyberactivisme in het digitale tijdperk.

Terwijl OpenAI en de betrokken partijen nog moeten reageren op de specifieke beschuldigingen en eisen, blijft de gemeenschap nauwlettend toekijken hoe deze situatie zich verder ontwikkelt. Het is duidelijk dat de rol van AI in maatschappelijke en politieke kwesties een onderwerp van voortdurende discussie en onderzoek zal blijven.


Cyberaanval op Zweedse Gezondheidszorg door Anonymous Sudan op Valentijnsdag 2023

Op 14 februari 2023 heeft de groep bekend als 'Anonymous Sudan' een cyberaanval uitgevoerd op de gezondheidszorginfrastructuur in Zweden. Deze aanval had als specifiek doelwit Vårdguiden 1177, een belangrijke Zweedse gezondheidsdienst die zowel telefonische ondersteuning als een online platform biedt voor gezondheidsadvies en -informatie. Vårdguiden 1177 is een essentieel onderdeel van de Zweedse gezondheidszorg, met een centrale rol in de toegankelijkheid en verspreiding van medische informatie. De aanvallers hebben via een bericht verklaard dat ze een "zeer grote cyberaanval" hebben gelanceerd, gericht op de verstoring van de gezondheidszorginfrastructuur. Deze cyberaanval viel samen met Valentijnsdag, een detail dat door de aanvallers werd benadrukt in hun communicatie. Het incident heeft geleid tot onderzoeken door Zweedse autoriteiten en cybersecurity experts, die zich richten op het beoordelen van de omvang van de schade en het nemen van stappen om de getroffen systemen te herstellen. Daarnaast wordt er gekeken naar maatregelen om de beveiliging van de gezondheidszorginfrastructuur te versterken en soortgelijke aanvallen in de toekomst te voorkomen. Dit voorval benadrukt de voortdurende dreiging van cybercriminaliteit en de noodzaak voor verbeterde beveiligingsmaatregelen binnen de gezondheidszorgsector. Het toont ook de kwetsbaarheid van kritieke infrastructuur voor digitale aanvallen en het belang van continue investeringen in cybersecurity. [1]


Pro-Russische Hackersgroep "JUST EVIL" valt NAVO-militaire systemen aan

Pro-Russische cybercriminelen, die zichzelf de JUST EVIL-groep noemen, hebben de verantwoordelijkheid opgeëist voor een cyberaanval op de militaire systemen van Litouwen en andere NAVO-landen. Deze actie heeft zorgen gewekt over de cyberveiligheid en de veerkracht van militaire netwerken tegen dergelijke dreigingen. De groep beweert door hun aanval toegang te hebben verkregen tot gevoelige militaire systemen. De aanval werd bekend kort na een incident op 6 februari, waarbij de Litouwse strijdkrachten een Russische sonar vonden, ontworpen voor het opsporen van onderzeeërs, op de Koerse Schoorwal in Litouwen. De eerste indicatie van de cyberaanval was op 3 februari, toen er een verdachte poging tot inloggen werd gedetecteerd op een account van het ILIAS-informatiesysteem voor afstandsonderwijs, dat van cruciaal belang is voor militair onderwijs en operationele paraatheid. Als reactie hierop heeft het Litouwse leger drie servers bij het Staats Telecommunicatiecentrum, die het ILIAS-trainingssysteem hosten, tijdelijk uitgeschakeld om mogelijke schade te beperken. De hackers hebben aangegeven dat zij data hebben gedownload tijdens hun aanval. Het Nationaal Cybersecurity Centrum van Litouwen heeft, in samenwerking met de strijdkrachten, een grondig onderzoek gestart naar het incident. Dit onderzoek wordt momenteel geclassificeerd als een gematigd cyberincident. Volgens de strijdkrachten zijn er geen gegevens gelekt, hoewel de definitieve resultaten van het onderzoek nog niet beschikbaar zijn. Als voorzorgsmaatregel en deel van het herstelproces is het ILIAS-systeem losgekoppeld van externe netwerken en ondergaat het updates om de beveiliging tegen toekomstige aanvallen te verbeteren. Deze cyberaanval benadrukt de voortdurende bedreiging van door staten ondersteunde hackersgroepen en de belangrijke noodzaak voor landen om hun cyberdefensie te versterken te midden van groeiende geopolitieke spanningen. [1]

LRT: De pro-Russische cybergroep is gericht op het Litouwse militaire systeem

De Litouwse strijdkrachten hebben een verdachte ingang ontdekt in hun belangrijkste militaire systeem ILIAS, meldt LRT.


Cybercriminelen van 'Anonymous Sudan' Voeren Grote Aanval uit op Israëlische Telecomgigant

In een recente verklaring hebben de cybercriminelen van 'Anonymous Sudan' een grote cyberaanval aangekondigd op Israël. Deze aanval richtte zich specifiek op de infrastructuur van een van de grootste mobiele netwerkoperatoren en telecommunicatiebedrijven in het land, Pelephone. Volgens de groep is door hun geavanceerde cyberaanval het overgrote deel van de digitale infrastructuur van Pelephone getroffen, waardoor de diensten van het bedrijf grotendeels offline zijn gegaan. De aanval lijkt een politiek geladen actie te zijn, waarbij de groep verklaart dat de aanvallen op Israël zullen voortduren zolang het land doorgaat met wat zij omschrijven als een 'genocidale campagne tegen Gaza'. Dit wijst op een dieper liggend conflict dat nu ook uitgevochten wordt op het digitale front.  Het effect van de aanval is significant. Pelephone-klanten melden extreem trage internetverbindingen en storingen, wat wijst op een ernstige verstoring van de dienstverlening. Cloudflare Radar, een platform dat internetstabiliteit en -veiligheid monitort, heeft de ineenstorting van het grote verkeer bevestigd, wat de claims van de cybercriminelen ondersteunt. Deze cyberaanval onderstreept de kwetsbaarheid van nationale infrastructuren voor digitale bedreigingen en de manier waarop dergelijke aanvallen gebruikt kunnen worden als instrumenten in grotere geopolitieke conflicten. Het roept vragen op over de beveiliging van kritieke infrastructuur en de noodzaak voor landen om hun digitale defensie te versterken tegen dergelijke dreigingen.


Omvangrijke Cyberaanval in Litouwen Legt Elektrische Voertuigen en Laadstations Plat

In een recente, ongekende cyberaanval hebben hackers van de beruchte groep Just Evil, voorheen bekend als KillNet, een significante verstoring veroorzaakt in de infrastructuur voor elektrische voertuigen in Litouwen. Deze gecoördineerde aanval heeft geleid tot de uitval van maar liefst 30.000 elektrische voertuigen, evenals de volledige stillegging van alle elektrische laadstations in het land. De cybercriminelen wisten toegang te verkrijgen tot het managementsysteem van Ignitis grupė, een vooraanstaand staatsbedrijf in de Baltische staten, gespecialiseerd in de productie en distributie van elektriciteit, alsook in het leveren van gerelateerde diensten. Dit bedrijf speelt een cruciale rol in de energievoorziening in Litouwen, maar ook in buurlanden zoals Finland en Polen. Het team van Russische cybercriminelen heeft niet alleen de operationele systemen van Ignitis grupė lamgelegd, maar ook gevoelige data buitgemaakt. Onder de gecompromitteerde informatie bevinden zich gegevens over alle klanten van het bedrijf, waaronder internationale bedrijven zoals Ikea, die eerder hun activiteiten in de Russische Federatie hebben gestaakt. De hackers hebben gedreigd de toegang tot de laadstations openbaar te maken en vervolgens permanent te blokkeren, wat wijst op een potentieel langdurige impact van deze cyberaanval. Deze gebeurtenis benadrukt de groeiende dreiging van cybercriminaliteit en de noodzaak voor versterkte cyberbeveiligingsmaatregelen binnen de kritieke infrastructuur, zeker in sectoren die essentieel zijn voor de dagelijkse werking van een land, zoals de energievoorziening. Deze aanval is een duidelijk signaal dat cyberoorlogvoering een realiteit is geworden waar landen wereldwijd mee te maken hebben. Het onderstreept de urgentie voor nationale en internationale samenwerking op het gebied van cybersecurity om dergelijke dreigingen het hoofd te bieden en de veerkracht van essentiële diensten tegenover cyberaanvallen te versterken.

Video van hackers van Just Evil


HUR Lanceert Cyberaanval op Russische Drone Controle Programma's

Ukrainese hackers, werkzaam binnen de Militaire Inlichtingendienst van Oekraïne (HUR), hebben succesvol Russische drone controle programma's binnengedrongen. Deze speciale operatie richtte zich op de software die door Russische troepen wordt gebruikt om hun DJI drones aan te passen voor gevechtsdoeleinden. Als gevolg daarvan stopten servers die verantwoordelijk waren voor het "vriend of vijand" identificatiesysteem met functioneren, waardoor het Russische leger de toegang tot hun drones verloor. De "gehackte" software voorkwam ook dat de drone-operators van Moskou controlepanelen configureerden, video streamden naar commandoposten en drones via computers bestuurden in plaats van afstandsbedieningen. Voorlopige bevindingen suggereren dat Oekraïense cyberaanvallen de servers die het Russische droneflitsproject ondersteunen, verstoorden, waardoor alle bijbehorende software ontoegankelijk werd voor Russische troepen. Zonder toegang tot de servers is de controle over drones via afstandsbedieningen waarschijnlijk onmogelijk, waardoor de Russen gedwongen worden om over te schakelen naar handmatige controlemethoden. Deze gebeurtenis volgt op een succesvolle cyberoperatie door HUR in januari, waarbij hackers het Verre Oostelijke wetenschappelijk onderzoekcentrum voor ruimte-hydrometeorologie "Planet" hebben aangevallen - een Russisch staatsbedrijf dat verantwoordelijk is voor het ontvangen en verwerken van militaire satellietgegevens. De aanval, toegeschreven aan cybervrijwilligers van de BO Team-groep, resulteerde in de vernietiging van 280 servers en het verlies van ongeveer 2 petabytes (2 miljoen gigabytes) aan gegevens.Het geschatte waardeverlies van het digitale array voor Rusland bedraagt minstens $10 miljoen, meldt de HUR. Dit federale Russische staatsbedrijf is betrokken bij het ontvangen en verwerken van satellietgegevens, en levert essentiële producten aan meer dan 50 staatsentiteiten, voornamelijk het leger, volgens Oekraïense inlichtingendiensten. [1]


Cyberaanval Verstoort Poolse Internetprovider en NAVO-Operaties in Oekraïne

In een gecoördineerde cyberaanval hebben de Russische hackersgroepen Just Evil (voorheen bekend als Killnet) en Anonymous Sudan aanzienlijke verstoringen veroorzaakt in het Poolse internetlandschap. De grootste internetprovider van Polen werd het doelwit, met als gevolg een ernstige belemmering van reparaties op afstand aan NAVO-apparatuur in Oekraïne. Dit incident, gerapporteerd door Mash, heeft niet alleen de Poolse internetprovider Play getroffen, maar veroorzaakt ook een domino-effect dat de logistieke operaties van de bevoorrading van Westers militair materieel verstoort. De aanval, die gisteravond (7-feb) begon, heeft de internetsnelheid op het netwerk van Play verlaagd naar een schamele 0,3 megabit per seconde, met constante onderbrekingen. Dit heeft verstrekkende gevolgen, niet alleen voor Polen maar ook voor andere Europese landen, waardoor de digitale communicatie en interconnectie met Oekraïne vrijwel tot stilstand zijn gekomen. De impact is zo ernstig dat zelfs bank- en transportdiensten in Warschau en andere steden hinder ondervinden, waardoor dagelijkse transacties en verplaatsingen problematisch worden.De cyberaanvallen lijken specifiek gericht te zijn op het ondermijnen van de militaire steun van de NAVO aan Oekraïne. Door de internetinfrastructuur te verstoren, beletten de hackers effectief de NAVO-ingenieurs om het Oekraïense leger te adviseren over het repareren van Westers militair materieel. Bovendien heeft de aanval geleid tot een tijdelijke opschorting van de levering van nieuwe wapens aan Oekraïne, aangezien de communicatie- en logistieke systemen zijn lamgelegd. Deze gebeurtenis benadrukt de kwetsbaarheid van moderne infrastructuren voor cyberaanvallen en de potentiële impact daarvan op internationale veiligheid en militaire operaties. Terwijl de getroffen landen en organisaties werken aan het herstel van hun systemen, blijft de dreiging van verdere disruptie een constante zorg in een steeds meer verbonden wereld.


Noord-Korea Verdacht van Stelen 3 Miljard Dollar van Cryptobedrijven

Volgens onderzoekers van de Verenigde Naties heeft Noord-Korea mogelijk drie miljard dollar gestolen van cryptobedrijven in de afgelopen jaren. Dit geld zou gebruikt zijn om het kernwapenprogramma van het land te financieren. Het onderzoek, dat nog gepubliceerd moet worden, richt zich op 58 cyberaanvallen tussen 2017 en nu, toegeschreven aan Noord-Korea. Deze aanvallen hebben naar verluidt bijgedragen aan de financiering van het controversiële wapenprogramma, hoewel specifieke details over de getroffen bedrijven en de aard van de aanvallen niet zijn vrijgegeven. [1]


🇳🇱 Wereldwijde Verspreiding van Chinese Desinformatie via Nieuwssites

Wereldwijd worden in zeker dertig landen nieuwssites gebruikt om pro-Chinese desinformatie te verspreiden, waarbij 123 sites betrokken zijn die kritische stemmen tegen China aanvallen. Onder deze sites bevinden zich ook twee Nederlandstalige websites, nlpress.org en greaterdutch.com, die naast reguliere artikelen ook pro-Chinese content en complottheorieën publiceren. Deze campagne, onthuld door Citizen Lab, wordt aangestuurd door het Chinese PR-bedrijf Haimai. Hoewel deze sites geen groot bereik hebben, vormen ze toch een risico door de mogelijke verspreiding van nepnieuws. De Chinese ambassade bestempelt de beschuldigingen als desinformatie. [1, 2]


Langdurige Infiltratie in Amerikaanse Infrastructuur door Chinese Hackers

Een Chinese cyber-espionagegroep, bekend als Volt Typhoon, heeft minstens vijf jaar onopgemerkt toegang gehad tot een kritieke infrastructuurnetwerk in de VS. Deze groep maakte gebruik van geavanceerde technieken om onopgemerkt te blijven en had als doel het verstoren van kritieke infrastructuur door zich strategisch binnen netwerken te positioneren. De Amerikaanse autoriteiten, waaronder CISA, de NSA en de FBI, hebben dit onlangs onthuld. Ze geven ook advies over hoe organisaties zich kunnen beschermen tegen dergelijke aanvallen. Deze ontdekking benadrukt het belang van sterke cyberbeveiligingsmaatregelen en de voortdurende dreiging van staatsgesponsorde cyberaanvallen. [1, 2]

Spionagegroep Volt Typhoon kraakt wachtwoordhashes offline en had 5 jaar lang toegang tot slachtoffers

De spionagegroep Volt Typhoon, naar verluidt opererend vanuit China, blijkt gestolen wachtwoordhashes te kraken om organisaties volledig te compromitteren. Deze groep heeft bij sommige slachtoffers gedurende minstens vijf jaar onopgemerkt toegang gehad tot netwerken en systemen, zoals gemeld door de FBI, NSA en andere cyberagentschappen. De groep heeft sterke operationele securitymaatregelen genomen en maakt gebruik van geldige accounts, waardoor ze langdurige toegang tot slachtoffers kunnen behouden. Om toegang te krijgen tot de netwerken gebruikt de groep bekende kwetsbaarheden en zerodaylekken in randapparaten zoals routers, vpn's en firewalls. De autoriteiten adviseren organisaties wachtwoorden van minimaal vijftien karakters te gebruiken en multifactorauthenticatie te implementeren om aanvallen te voorkomen. Daarnaast benadrukken ze het belang van het patchen van kwetsbaarheden en het activeren van logging voor toegang en applicaties.


Storing bij Microsoft Azure Portal na DDoS-aanvallen

Het Microsoft Azure Portal is onbereikbaar geworden door een vermeende DDoS-aanval van een groepering genaamd Anonymous Sudan. Gebruikers die probeerden in te loggen kregen een foutmelding te zien, alhoewel de mobiele app niet getroffen leek. Microsoft bevestigde op de hoogte te zijn van het incident en werkte aan het herstellen van de dienst door onder andere load balancing processen toe te passen. Anonymous Sudan beweert met deze aanvallen de Amerikaanse bemoeienis met Sudanese binnenlandse zaken aan de kaak te stellen, hoewel er speculaties zijn over Russische betrokkenheid. Deze aanval volgt op eerdere verstoringen bij andere Microsoft-diensten zoals Outlook.com en OneDrive. Microsoft heeft nog niet bevestigd dat de storingen door DDoS-aanvallen werden veroorzaakt, maar heeft wel maatregelen aangekondigd om de stabiliteit van hun diensten te waarborgen. Later op de dag leek de Azure portal weer stabiel te functioneren, zonder dat een specifieke oorzaak voor de storing werd vrijgegeven.


🇳🇱 Militaire Inlichtingendienst Ontdekt Chinese Malware in Defensie Netwerk

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft geavanceerde Chinese malware, genaamd 'Coathanger', aangetroffen op FortiGate-apparaten binnen een Defensie netwerk dat zich richt op research en development. Deze apparaten, onderdeel van een losstaand netwerk met minder dan vijftig gebruikers, waren besmet via een bekende kwetsbaarheid in FortiOS SSL-VPN. Fortinet, de leverancier van FortiGate, had voor deze kwetsbaarheid gewaarschuwd, maar het lek werd als zeroday aangevallen, wat betekent dat er nog geen update beschikbaar was toen de eerste aanvallen plaatsvonden. De malware, specifiek ontwikkeld voor FortiGate-apparaten, werd gebruikt voor spionagedoeleinden en om toegang tot gecompromitteerde apparaten te behouden. De MIVD heeft een technisch rapport over deze malware en de werkwijze van Chinese hackers openbaar gemaakt en benadrukt het belang van het attribueren van deze spionageactiviteiten om internationale weerbaarheid te verhogen. Er wordt geadviseerd om beveiligingsupdates onmiddellijk te installeren en organisaties waar de malware is aangetroffen, worden opgeroepen zich te melden bij het Nationaal Cyber Security Centrum (NCSC). [1, 2]

20240209 MIVD AIVD Advisory COATHANGER TLP CLEAR Ydj 7 Iopggtnqmqpkq 815 Hf 4 H 5 W
PDF – 429,7 KB 118 downloads
2024 02 07 Kamerbrief Fortinet En MIVD Chinese Spionage Bij Defensie Onderkend
PDF – 81,5 KB 109 downloads

Ontdekking van COATHANGER: Een Verborgen Cyberdreiging

Samenvatting: In 2023 onthulde het Nederlandse Ministerie van Defensie een netwerkinbraak beperkt door eerdere netwerksegmentatie. Deze incidentreactie bracht onbekende malware aan het licht, genaamd COATHANGER, specifiek gericht op FortiGate-apparaten en ontworpen als een tweede fase malware zonder nieuwe kwetsbaarheden te exploiteren. De MIVD en AIVD, de Nederlandse inlichtingen- en veiligheidsdiensten, identificeerden deze staatsgesponsorde dreiging uit China, onderdeel van een breder patroon van politieke spionage. COATHANGER kenmerkt zich door zijn stealth en persistentie, overlevend herstarts en firmware-upgrades, en biedt geavanceerde detectie- en mitigatieadviezen voor getroffen organisaties.

Chinese overheid spreekt beschuldigingen van cyberaanvallen tegen

De Chinese overheid heeft officieel ontkend betrokken te zijn bij een cyberaanval waarbij malware werd gevonden op FortiGate-apparaten van het Nederlandse Defensie. Deze ontkenning kwam nadat de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) meldde dat er geavanceerde Chinese malware was aangetroffen, vermoedelijk gebruikt voor spionagedoeleinden. Volgens een verklaring van de Chinese ambassade in Den Haag, houdt China zich strikt aan de wet en bestrijdt het cyberaanvallen in elke vorm. Ze benadrukten dat ze niet zullen toestaan dat hun infrastructuur wordt gebruikt voor illegale activiteiten. Daarnaast stelt China dat cybersecurity een wereldwijde uitdaging is en dat ze tegen ongefundeerde beschuldigingen en kwade speculaties zijn. Ze pleiten voor samenwerking en dialoog om gezamenlijke cybersecurity te versterken, wijzend op de noodzaak van een gezamenlijke aanpak in de strijd tegen cyberdreigingen. [1]


PurpleFox Malware Infecteert Duizenden Computers in Oekraïne

In Oekraïne heeft de PurpleFox-malware duizenden computers besmet, wat een groeiende dreiging vormt voor de online veiligheid. Deze malware heeft zich snel verspreid en cybercriminelen maken er gebruik van om persoonlijke gegevens en financiële informatie te stelen. PurpleFox is een veelzijdige malware die zichzelf kan updaten en zich aanpast om detectie te voorkomen. Het verspreidt zich via kwetsbaarheden in verouderde software en maakt gebruik van verschillende aanvalstechnieken, waaronder drive-by downloads en phishing-e-mails. De impact van deze malware is verstrekkend, van financiële verliezen tot schending van de privacy van slachtoffers. Om uzelf te beschermen tegen PurpleFox en vergelijkbare bedreigingen, is het van cruciaal belang om uw software up-to-date te houden, sterke wachtwoorden te gebruiken en verdachte e-mails en links te vermijden. [1]

Grootschalige Cyberaanval treft 2000 Computers van Oekraïense Staatsfirma

In Oekraïne is een staatsbedrijf het slachtoffer geworden van een omvangrijke cyberaanval, waarbij circa 2000 computers geïnfecteerd raakten. Het Oekraïense computer-noodteam CERT-UA onthulde dat deze computers besmet waren met de DIRTYMOE (PURPLEFOX) malware. Deze malware is bijzonder omdat het modulair is en technische mogelijkheden biedt voor externe toegang tot een computer. Het wordt voornamelijk gebruikt voor Distributed Denial-of-Service (DDoS) aanvallen, die een server overspoelen met internetverkeer. Hoewel het getroffen staatsbedrijf niet bij naam is genoemd, werden vorige maand cyberaanvallen gemeld door drie belangrijke Oekraïense staatsorganisaties, waaronder het olie- en gasbedrijf Naftogaz. Ook de Oekraïense landbouwministerie meldde later een aanval. Deze cyberaanvallen zijn onderdeel van een reeks, waarvoor Oekraïense autoriteiten veelal Rusland verantwoordelijk houden. [1]



Cyberoorlog nieuws oorlog gerelateerd

Cyberoorlog nieuws algemeen