Staatshackers en Geavanceerde Aanvallen
In juni 2024 heeft een door de staat gesteunde hackersgroep, bekend als UAT4356, twee zero-day kwetsbaarheden in Cisco’s Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) firewalls uitgebuit om overheidsnetwerken wereldwijd te infiltreren. Sinds november 2023 hebben zij misbruik gemaakt van CVE-2024-20353 (denial of service) en CVE-2024-20359 (persistente lokale code-uitvoering). Deze kwetsbaarheden stelden hen in staat om malware, zoals de in-memory shellcode loader "Line Dancer" en de persistente backdoor "Line Runner", te installeren, waardoor willekeurige shellcode kon worden uitgevoerd, logboeken konden worden uitgeschakeld en gegevens heimelijk konden worden geëxfiltreerd. Cisco ontdekte deze campagne, genaamd ArcaneDoor, in januari 2024 en heeft inmiddels updates uitgebracht om deze beveiligingslekken te dichten. Zij adviseren klanten om hun systemen onmiddellijk bij te werken en waakzaam te blijven voor verdachte activiteiten in hun logs.
TeamViewer heeft een cyberaanval op hun bedrijfsnetwerk gemeld, die zij toeschrijven aan de Russische staatsgesponsorde hackersgroep Midnight Blizzard. Deze aanval vond plaats op 26 juni 2024 via de inloggegevens van een standaard werknemersaccount. Ondanks dat er geen aanwijzingen zijn dat de productieomgeving of klantgegevens zijn aangetast, adviseert TeamViewer klanten om maatregelen te nemen zoals het inschakelen van multi-factor authenticatie en het monitoren van netwerkverbindingen. Midnight Blizzard, ook bekend als APT29, Nobelium en Cozy Bear, is eerder geassocieerd met geruchtmakende cyberaanvallen op bedrijven zoals SolarWinds en Microsoft.
Politiek Gemotiveerde DDoS-aanvallen
Staatssecretaris Van Huffelen van Digitalisering verklaarde dat DDoS-aanvallen op overheidswebsites meestal beperkt zijn in hun impact en vaak een symbolisch karakter hebben. Dit kwam naar voren in antwoorden op Kamervragen van GroenLinks-PvdA over recente aanvallen op provinciewebsites. Hoewel de impact doorgaans gering is, kunnen deze aanvallen tijdelijk de informatieverstrekking en dienstverlening verstoren. De aanvallen die in maart plaatsvonden en werden toegeschreven aan een pro-Russische groep, zijn moeilijk te attribueren.
Op de dag van de Europese verkiezingen legden Russische hackers van de groep HackNet de websites van CDA, PVV en FVD tijdelijk plat door middel van DDoS-aanvallen. Deze aanvallen overspoelden de websites met verkeer, waardoor ze onbereikbaar werden. HackNet, een groep die vaker websites aanvalt in landen waarmee Rusland conflicten heeft, eiste de verantwoordelijkheid op en dreigde met verdere acties tegen Nederland. Dergelijke aanvallen zijn vooral bedoeld om onrust te zaaien en het vertrouwen in de samenleving te ondermijnen, aldus cybersecurityexpert Dave Maasland.
Spionagecampagnes en Gegevensdiefstal
De Russische hackersgroep NoName057(16) kondigde een cyberaanval aan op de Europese internetinfrastructuur als vergelding voor wat zij omschrijven als russofobische handelingen van Europese autoriteiten. Meerdere andere Russische hackergroepen zullen deelnemen aan deze aanval. Deze aankondiging onderstreept de voortdurende dreiging van cyberoorlogvoering door geopolitieke spanningen.
De militaire inlichtingendienst MIVD ontdekte een grootschalige Chinese spionagecampagne tegen FortiGate-systemen. Minstens 20.000 FortiGate-apparaten raakten besmet met malware door een kwetsbaarheid (CVE-2022-42475). Ondanks beveiligingsupdates behielden aanvallers toegang via de malware, wat wijst op de hardnekkigheid en geavanceerdheid van de aanvallen.
Een dreigende actor kondigde aan dat hij een database met informatie over meer dan 49.000 NAVO-leden en -partners te koop aanbiedt, samen met geclassificeerde documenten en technische rapporten. De vraagprijs is 10.000 XMR (Monero) en de database bevat gevoelige informatie over NAVO-medewerkers en -partners, waaronder persoonsgegevens en gedetailleerde technische rapporten.
Nieuwe Cyberdreigingen en Gevolgen
Een vlucht van Madrid naar Toronto werd op 19 juni 2024 gehinderd door GPS-storing, het eerste bekende geval van GPS-jamming op Atlantische routes. Dit incident benadrukt de veiligheidsrisico’s van GPS-jamming, die vaker voorkomt in Noord- en Oost-Europa en vermoedelijk veroorzaakt wordt door Rusland. Deze storingen vormen een groeiend probleem voor de luchtvaart en andere sectoren die afhankelijk zijn van nauwkeurige locatiegegevens.
CoinStats meldde een ernstige beveiligingsbreuk waarbij 1.590 cryptowallets werden gecompromitteerd, vermoedelijk door de Noord-Koreaanse hackersgroep Lazarus. Deze groep, bekend om grootschalige cryptodiefstallen, zou sinds 2017 ongeveer 3 miljard dollar aan cryptocurrency hebben gestolen. CoinStats waarschuwt gebruikers om hun fondsen onmiddellijk over te maken naar externe wallets.
Toenemende Dreigingen en Noodzaak van Verhoogde Waakzaamheid
Juni 2024 heeft een reeks verontrustende cyberincidenten laten zien die de kwetsbaarheid van kritieke infrastructuren, overheidsnetwerken en grote bedrijven benadrukken. Van door de staat gesteunde hackercampagnes tot grootschalige DDoS-aanvallen en geavanceerde spionagecampagnes, de dreigingen evolueren voortdurend en vereisen een proactieve en gecoördineerde aanpak. Overheden en bedrijven moeten blijven investeren in robuuste beveiligingsmaatregelen en samenwerking om deze uitdagingen het hoofd te bieden en de integriteit van hun systemen en gegevens te waarborgen. De noodzaak van verhoogde waakzaamheid, voortdurende updates en effectieve incidentrespons wordt steeds duidelijker in een wereld waar cyberoorlogvoering een groeiende realiteit is.
Hieronder vind je een compleet dag-tot-dag overzicht.
Begrippenlijst: Sleutelwoorden uitgelegd
-
Zero-day kwetsbaarheid: Een zero-day kwetsbaarheid is een beveiligingslek in software dat nog niet is gedetecteerd of verholpen door de ontwikkelaar. Dit betekent dat er "nul dagen" zijn om een oplossing te vinden voordat het beveiligingsprobleem wordt uitgebuit door aanvallers.
-
Denial of Service (DoS): Een DoS-aanval is een aanval waarbij een systeem of netwerk wordt overspoeld met verkeer of verzoeken, waardoor legitieme gebruikers geen toegang meer hebben tot de dienst of website.
-
Persistente lokale code-uitvoering: Dit verwijst naar een aanvalsmethode waarbij een aanvaller in staat is om kwaadaardige code op een systeem uit te voeren en deze blijvend te maken, zodat de code blijft functioneren zelfs na herstart van het systeem.
-
In-memory shellcode loader: Dit is een techniek waarbij kwaadaardige code direct in het geheugen van een computer wordt geladen en uitgevoerd, zonder dat deze eerst op de harde schijf hoeft te worden opgeslagen, waardoor detectie door antivirusprogramma's wordt bemoeilijkt.
-
Backdoor: Een backdoor is een methode om ongeoorloofde toegang te krijgen tot een computer of netwerk, meestal geïnstalleerd door een aanvaller om toekomstige toegang te vergemakkelijken.
-
Multi-factor authenticatie (MFA): MFA is een beveiligingsmethode waarbij meerdere vormen van verificatie worden gebruikt om de identiteit van een gebruiker te bevestigen. Dit kan bijvoorbeeld een combinatie zijn van een wachtwoord en een sms-code.
-
Distributed Denial of Service (DDoS): Een DDoS-aanval is een aanval waarbij meerdere computers of apparaten worden gebruikt om een systeem of netwerk te overspoelen met verkeer, waardoor de dienst onbeschikbaar wordt voor legitieme gebruikers.
-
Hacktivist: Een hacktivist is iemand die hacking gebruikt als een vorm van activisme om politieke of sociale doelen te bereiken.
-
Cyberspionage: Cyberspionage verwijst naar het gebruik van hackingtechnieken om geheime of gevoelige informatie van een organisatie of staat te stelen.
-
Malware: Malware, kort voor 'malicious software', is kwaadaardige software die is ontworpen om schade aan te richten, gegevens te stelen of ongeautoriseerde toegang tot systemen te krijgen.
-
Phishing: Phishing is een methode van cybercriminaliteit waarbij aanvallers zich voordoen als legitieme instanties om gebruikers te misleiden persoonlijke informatie te verstrekken, zoals wachtwoorden en creditcardnummers.
-
Rootkit: Een rootkit is een verzameling softwaretools die door een aanvaller worden gebruikt om ongeoorloofde toegang tot een computer of netwerk te verkrijgen en deze toegang verborgen te houden voor de gebruiker.
-
Command and Control (C2) server: Een C2-server is een server die door aanvallers wordt gebruikt om geïnfecteerde systemen op afstand te beheren en te controleren.
-
NATO Restricted, NATO Confidential, NATO Secret: Dit zijn verschillende niveaus van vertrouwelijkheid binnen de NAVO, waarbij NATO Restricted het laagste niveau van vertrouwelijkheid is en NATO Secret het hoogste.
-
GPS-jamming: GPS-jamming is het opzettelijk verstoren van GPS-signalen, waardoor de nauwkeurigheid van GPS-systemen wordt verminderd of ze volledig onbruikbaar worden.
-
Cryptowallet: Een cryptowallet is een digitale portemonnee die wordt gebruikt om cryptocurrency zoals Bitcoin en Ethereum op te slaan en te beheren.
-
API (Application Programming Interface): Een API is een set regels en protocollen die het mogelijk maakt voor verschillende softwareprogramma's om met elkaar te communiceren.
-
Telegram: Telegram is een cloud-gebaseerde berichtendienst die bekend staat om zijn sterke encryptie en privacybescherming.
Anonymous KSA waarschuwt de Saudische regering voor op handen zijnde cyberaanvallen
De hacktivistengroep Anonymous KSA heeft de Saudische regering gewaarschuwd voor opkomende cyberaanvallen. Ze bekritiseren de lopende festiviteiten in Saudi-Arabië, gezien als ongevoelig voor de conflicten in Gaza. Volgens Anonymous KSA negeert de regering hiermee het lijden in Gaza, wat hen ertoe aanzet tot actie over te gaan. De groep heeft al een Distributed Denial of Service (DDoS) aanval uitgevoerd op de officiële website van het Ministerie van Informatie in Saudi-Arabië, waardoor de toegang tot de site tijdelijk werd verstoord. De aankondiging van deze aanvallen komt als reactie op de politieke en maatschappelijke standpunten van de Saudische regering.
Staatshackers Misbruiken Cisco Zero-Days om Overheidsnetwerken te Infiltreren
Een door de staat gesteunde hackersgroep, bekend als UAT4356, heeft sinds november 2023 twee zero-day kwetsbaarheden in Cisco’s Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) firewalls uitgebuit om overheidsnetwerken wereldwijd te infiltreren. Cisco ontdekte de campagne, genaamd ArcaneDoor, in januari 2024 en identificeerde twee kritieke beveiligingslekken: CVE-2024-20353 (denial of service) en CVE-2024-20359 (persistente lokale code-uitvoering). Deze kwetsbaarheden stelden de hackers in staat om malware, zoals de in-memory shellcode loader "Line Dancer" en de persistente backdoor "Line Runner", te installeren. Deze tools dienden voor het uitvoeren van willekeurige shellcode, uitschakelen van logboeken, en stiekem exfiltreren van gegevens. Cisco heeft inmiddels updates uitgebracht om deze beveiligingslekken te dichten en adviseert alle klanten om hun systemen onmiddellijk bij te werken en waakzaam te blijven voor verdachte activiteiten in hun logs. Het bedrijf benadrukt ook het belang van sterke multi-factor authenticatie en centrale logverzameling. 1, 2
GhostSec: Van Cybercrime naar Hacktivisme
GhostSec, een bekende hacktivistengroep, heeft een opmerkelijke transformatie doorgemaakt. Ooit onderdeel van "The Five Families", een alliantie van hackersgroepen, stond GhostSec bekend om zijn aanvallen op geopolitieke doelwitten, waaronder het verhinderen van terroristische aanslagen door ISIS en het saboteren van Russische treinsystemen ter ondersteuning van Oekraïne. De groep gebruikte ook ransomware om financiële middelen te vergaren voor hun operaties. Sebastian Dante Alexander, de leider van GhostSec, kondigde echter aan dat de groep zich terugtrekt uit cybercrime en zich opnieuw richt op ethisch hacktivisme. Hij benadrukte dat hacken altijd om de kunst en ethiek draaide, niet om financieel gewin. Ondanks de conflicten en verleidingen binnen de hacktivismebeweging, blijft GhostSec vastberaden in hun strijd tegen corruptie en onrecht. De groep streeft ernaar hun morele code te handhaven en hoopt dat andere hackers hetzelfde pad zullen volgen, waarbij de nadruk ligt op ethische hacking en het ondersteunen van gemeenschappen. 1
GlorySec Hackt NetMarvel: Escalerende Cyberoorlog met China
Het hackergroep GlorySec heeft aangekondigd hun campagne tegen China, genaamd #OPChina, te intensiveren als reactie op acties van Chinese hackers. Ze beweren succesvol de controle te hebben overgenomen van NetMarvel, een groot platform voor intelligente marketing en commercialisatie. NetMarvel verwerkt dagelijks 5 miljard advertentieverzoeken, 4 miljard impressies en heeft 2 miljard actieve gebruikers, en werkt samen met 50.000 apps. GlorySec stelt dat ze hun cyberaanvallen zullen voortzetten totdat Chinese hackers stoppen met hun activiteiten tegen Rusland. Deze ontwikkeling benadrukt de groeiende cyberconflict en de aanzienlijke impact op internationale digitale infrastructuur en gegevensbeveiliging.
Darkmeta Team claimt verantwoordelijkheid voor DDoS-aanvallen op Emirati-websites
Het hackingteam Darkmeta heeft naar verluidt DDoS-aanvallen uitgevoerd op verschillende Emirati-websites, waaronder de Zayed International Airport en UAE PASS, het nationale digitale identiteitssysteem van de Verenigde Arabische Emiraten. De aanval op Zayed International Airport veroorzaakte aanzienlijke ontwrichting gedurende twee uur. UAE PASS, dat meer dan 8 miljoen Emirati-burgers bedient, biedt essentiële diensten zoals identiteitsverificatie, elektronische handtekeningen en veilige toegang tot overheids- en privésector diensten. De Darkmeta-team beweert dat hun aanvallen effectief alle diensten van UAE PASS verstoorden, gericht op verschillende domeinen. Deze cyberaanval benadrukt de kwetsbaarheid van kritieke infrastructuur en de doorlopende dreiging van cybercriminele groepen die essentiële digitale diensten targeten. Autoriteiten zullen naar verwachting de incidenten onderzoeken en cybersecuritymaatregelen versterken om toekomstige aanvallen te voorkomen.
TeamViewer linkt bedrijfscyberaanval aan Russische staathackers
TeamViewer, een ontwikkelaar van RMM-software, heeft onlangs een cyberaanval op hun bedrijfsnetwerk gemeld en deze toegeschreven aan de Russische staatsgesponsorde hackersgroep Midnight Blizzard. Deze groep staat ook bekend als APT29, Nobelium en Cozy Bear. Het bedrijf gelooft dat de aanval plaatsvond op woensdag 26 juni 2024, via de inloggegevens van een standaard werknemersaccount binnen hun Corporate IT-omgeving. Ondanks dat er geen aanwijzingen zijn dat de productieomgeving of klantgegevens zijn aangetast, adviseert TeamViewer klanten om maatregelen te nemen, zoals het inschakelen van multi-factor authenticatie en het monitoren van netwerkverbindingen. Midnight Blizzard is eerder geassocieerd met geruchtmakende cyberaanvallen op bedrijven als SolarWinds en Microsoft. Het is belangrijk om waakzaam te blijven en extra beveiligingsmaatregelen te nemen om verdere schade te voorkomen.
Oekraïense militaire inlichtingendienst achter cyberaanval op internetproviders in de door Rusland bezette Krim
Het Oekraïense militaire inlichtingenagentschap (HUR) voerde op 26 juni een cyberaanval uit op enkele van Rusland's grootste internetproviders die actief waren in de door Rusland bezette Krim, zo bevestigde een bron binnen het agentschap aan de Kyiv Independent. Eerder op de dag beweerde het door Rusland gecontroleerde persbureau TASS, onder verwijzing naar Russische bondgenoten, DDoS-aanvallen op een aantal providers op het schiereiland. De bron heeft geen verdere details onthuld over de cyberaanval. HUR heeft de afgelopen maanden naar verluidt verschillende cyberaanvallen uitgevoerd en beweerde begin juni de websites van Russische ministeries te hebben aangevallen, waaronder het Ministerie van Defensie. Aan de andere kant wordt Moskou beschuldigd van het uitvoeren van cyberaanvallen niet alleen op Oekraïne, maar ook op landen in heel Europa. 1
Chinese Cyberspionagegroepen Zetten Ransomware in als Afleidingsmanoeuvre
Cyberspionagegroepen, waaronder de vermoedelijk Chinese groep ChamelGang, gebruiken steeds vaker ransomware als tactiek bij hun aanvallen. Dit dient meerdere doelen: het bemoeilijkt de toewijzing van de aanval, leidt verdedigers af en kan als secundair doel financieel gewin opleveren naast datadiefstal. ChamelGang heeft tussen 2021 en 2023 overheidsorganisaties en kritieke infrastructuur aangevallen met geavanceerde technieken. Ze gebruikten onder andere CatB ransomware bij aanvallen op de Braziliaanse overheid en een Indisch ziekenhuis. Een andere groep zet BestCrypt en BitLocker in voor vergelijkbare doeleinden. Deze nieuwe tactiek vervaagt de grenzen tussen cyberspionage en cybercriminaliteit. Het kan leiden tot onjuiste toewijzing van aanvallen of verhullen dat gegevensverzameling het eigenlijke doel is. Deze verschuiving in tactieken toont aan dat tegenstanders hun sporen proberen te wissen terwijl ze hun doelen bereiken. 1
Later meer hierover op Cybercrimeinfo
Turkse overheidswebsites doelwit van cyberaanval
Een hackergroep die zich Anonymous KSA noemt, beweert verschillende Turkse overheidswebsites te hebben aangevallen. Via hun Telegram-kanaal deelden ze afbeeldingen die zouden aantonen dat ze toegang hebben gekregen tot operationele procedures van de getroffen instanties. Volgens de hackers zijn onder meer de websites van het Ministerie van Milieu, Verstedelijking en Klimaatverandering, de Turkse Gymnastiekfederatie en een inventarisatiesite van staatseigendommen het doelwit geweest. Ook een website van een WHO-project uit 1988 om gezondheidsindicatoren van steden te bepalen zou zijn gehackt.bBij de gedeelde screenshots voegde de groep ook Check host links toe, vermoedelijk om hun claims te onderbouwen. De exacte omvang en gevolgen van de vermeende aanval zijn nog onduidelijk. Het incident onderstreept de voortdurende digitale dreigingen waarmee overheidsinstellingen worden geconfronteerd.
Noord-Koreaanse hackers plunderen CoinStats-cryptowallets
CoinStats, een populair cryptoportfoliobeheerplatform met 1,5 miljoen gebruikers, heeft een ernstige beveiligingsbreuk gemeld. Bij de aanval, vermoedelijk uitgevoerd door Noord-Koreaanse hackers, zijn 1.590 cryptowallets gecompromitteerd. Dit komt neer op 1,3% van alle wallets die op het platform worden gehost. De CEO van CoinStats stelt dat er sterke aanwijzingen zijn dat de beruchte Noord-Koreaanse hackersgroep Lazarus achter de aanval zit. Deze groep staat bekend om grootschalige cryptodiefstallen en zou sinds 2017 ongeveer 3 miljard dollar aan cryptocurrency hebben gestolen. CoinStats waarschuwt getroffen gebruikers om onmiddellijk hun fondsen over te maken naar externe wallets. Het bedrijf benadrukt dat alleen op het platform gehoste wallets zijn getroffen en dat gekoppelde externe wallets en gecentraliseerde exchanges veilig zijn. Ondertussen proberen oplichters misbruik te maken van de situatie door valse terugbetalingsprogramma's aan te bieden. 1
Update on the Security Incident
β CoinStats (@CoinStats) June 22, 2024
The attack has been mitigated, and we have temporarily shut down the application to isolate the security incident.
1. None of the connected wallets and CEXes were impacted.
2. Thanks to the immediate incident reponse from the CoinStats team,β¦
Poolse EK-uitzending opnieuw verstoord door hackers
De online uitzending van de EK-wedstrijd tussen Polen en Oostenrijk is vrijdag verstoord door hackers, meldt de Poolse nationale omroep TVP. Het betrof een ddos-aanval, waarbij zoveel verkeer naar een server wordt gestuurd dat deze overbelast raakt. Hierdoor was de wedstrijd tijdelijk niet te volgen via internet. TVP lanceerde een alternatieve website waar fans de wedstrijd alsnog konden bekijken en bood excuses aan voor de technische problemen. Dit is de tweede keer deze week dat hackers een Poolse EK-uitzending verstoren. Zondag werd de online uitzending van de wedstrijd tussen Polen en Nederland al op vergelijkbare wijze onderbroken. Bij die eerdere aanval kwamen de IP-adressen uit Polen zelf. De herkomst van de meest recente aanval is nog onbekend. Deze incidenten tonen aan dat cyberveiligheid een groeiende uitdaging vormt voor grote sportevenementen. 1
GPS-storing verstoort voor het eerst transatlantische vlucht
Op 19 juni 2024 kon een vlucht van Madrid naar Toronto niet opstijgen naar een hogere hoogte vanwege GPS-storing. Dit is het eerste bekende geval van GPS-jamming op Atlantische routes. Hoewel vliegtuigen back-upsystemen hebben, vormt dit een veiligheidsrisico omdat GPS-transponders cruciaal zijn voor het volgen van vliegtuigposities boven de Atlantische Oceaan. Als GPS-jamming vaker voorkomt, kunnen duizenden vluchten per dag vertraging oplopen of geannuleerd worden.
GPS-storing komt vaker voor in Noord- en Oost-Europa, vermoedelijk veroorzaakt door Rusland. Ook in Cyprus en het oostelijke Middellandse Zeegebied zijn er problemen gemeld met locatietrackers en navigatieapparatuur sinds het begin van de oorlog in Gaza. Deze incidenten tonen aan dat GPS-jamming een groeiend probleem is voor de luchtvaart en andere sectoren die afhankelijk zijn van nauwkeurige locatiegegevens.
An interesting detail (frame) that can be observed live on an VDL2 decoder via an online SDR running OpenWebRX.
β GiamMa-based researchers SDR R&D IoT (@giammaiot2) March 3, 2024
In this case the plane was not under the influence of Jamming. https://t.co/byHKqsJEms pic.twitter.com/00wBEmnWi7
Cyberaanval verstoort immigratiediensten op Indonesische luchthavens
Op 20 juni 2024 werden de immigratiediensten op alle internationale luchthavens in Indonesië ernstig verstoord door een cyberaanval op de server van het Nationale Datacentrum (PDN) van het Ministerie van Communicatie en Informatietechnologie. De storing begon om 04:00 uur lokale tijd en hield tot minstens 16:25 uur aan. Als gevolg van de aanval moesten de immigratiediensten overschakelen op handmatige verwerking, wat leidde tot aanzienlijke vertragingen. Automatische poorten (autogates) konden niet worden gebruikt, waardoor het proces verder werd vertraagd. Silmy Karim, directeur-generaal van Immigratie bij het Ministerie van Justitie en Mensenrechten, bevestigde de situatie en verklaarde dat men wachtte op reparatie van de PDN-server. Om de vertragingen op te vangen, adviseerden sommige luchtvaartmaatschappijen passagiers om drie uur voor vertrek op de luchthaven aanwezig te zijn. De autoriteiten werkten aan een oplossing voor het probleem. 1
Pro-Russische desinformatiecampagne Matryoshka richt zich op Franse media voor Olympische Spelen
Franse autoriteiten hebben een pro-Russische desinformatiecampagne geïdentificeerd genaamd Matryoshka, gericht op Franstaligen wereldwijd. De campagne verspreidt valse informatie, zoals nepberichten, graffiti en memes, in de commentaarsecties van media, publieke figuren en factcheckorganisaties in meer dan zestig landen. Het valse materiaal doet zich vaak voor als afkomstig uit Noord-Amerika of Europa, inclusief Franse bronnen. De operators contacteren ook rechtstreeks hun doelwitten op X (voorheen Twitter). De campagne, actief sinds september 2023, verspreidt voornamelijk anti-Oekraïense narratieven maar richt zich ook op Franse beleidsmakers die Oekraïne steunen, specifieke Franse politici en de Olympische Spelen van 2024 in Parijs. De naam "Matryoshka" verwijst naar de Russische traditionele poppetjes. Volgens de Franse autoriteiten is de waarschijnlijke doelstelling van de campagne het ondermijnen van media, publieke figuren en factcheckers, terwijl pro-Russische inhoud wordt bevorderd. 1
Chinese hackers gebruiken F5 BIG-IP malware om jarenlang stiekem data te stelen
Een groep vermoedelijke Chinese cyberspionageactoren, genaamd 'Velvet Ant', heeft op gesmokkelde wijze aangepaste malware op F5 BIG-IP apparaten geïnstalleerd om een permanente verbinding met het interne netwerk te krijgen en gevoelige data te stelen. De aanvallers wisten de kwetsbare netwerkapparaten te compromitteren en gebruikten deze als commandocentrum om diverse soorten malware, waaronder PlugX en tunneling-tools, uit te rollen. Hierdoor konden ze onopgemerkt klant- en financiële gegevens onderscheppen gedurende maar liefst drie jaar. Door de malware op de edge-apparaten te plaatsen, konden ze firewalls omzeilen en uitgaand verkeer camoufleren, wat detectie bemoeilijkte. Zelfs na ontdekking slaagden de hackers erin om opnieuw toegang te krijgen via geïnfecteerde interne apparaten. Bestrijding van dergelijke geavanceerde dreigingen vereist een gelaagde beveiligingsstrategie met strenge controles, naleving van patches en migratie naar clouddiensten. 1
Cyberaanval Verstoort Uitzending van EK-Voetbalmatch op Poolse Sportkanaal
Op zondag 16 juni 2024 werd het Poolse sportkanaal TVP Sport getroffen door een cyberaanval die ervoor zorgde dat kijkers de eerste helft van de EK-voetbalmatch tussen Polen en Nederland niet konden volgen. Rond 15.00 uur werd een DDoS-aanval (Distributed Denial of Service) uitgevoerd vanuit IP-adressen in Polen, waardoor bezoekers geen toegang meer hadden tot de hele website van TVP Sport. Pas bij de start van de tweede helft werd de toegang hersteld. Nederland won de openingswedstrijd op het EK met 2-1 dankzij een late treffer. Polen speelt volgende wedstrijd tegen Oostenrijk, terwijl Nederland het opneemt tegen de toernooifavoriet Frankrijk. 1
NAVO-database met vertrouwelijke documenten aangeboden op zwarte markt
Een dreigende actor heeft aangekondigd dat hij een database met informatie over meer dan 49.000 NAVO-leden en -partners te koop aanbiedt, samen met geclassificeerde documenten en technische rapporten. De aanbieding omvat documenten met verschillende veiligheidsniveaus: NATO Restricted, NATO Confidential en NATO Secret. De vraagprijs is 10.000 XMR (Monero) en de verkoper is open voor het gebruik van een escrow-dienst. De database zou informatie bevatten van vooraanstaande instanties zoals het Nederlandse Ministerie van Defensie, de Turkse overheid, de Britse overheid, NASA Glenn Research Center, het Spaanse Ministerie van Defensie, het Naval Air Systems Command, de NAVO-Onderzoeks- en Technologieorganisatie, Italiaans Ministerie van Defensie, het Australische Ministerie van Defensie, het Georgische Ministerie van Buitenlandse Zaken, het Poolse Ruimtevaartagentschap, het Letse Ministerie van Defensie, de Singaporese Wetenschap- en Technologieorganisatie en de Mexicaanse Marine. De vermeende steekproef bevat gedetailleerde persoonsgegevens zoals geslacht, voor- en achternaam, nationaliteit, land, e-mailadressen, telefoonnummers, faxnummers, adressen, werkgever en functietitel. De gegevens zouden dus gevoelige informatie over NAVO-medewerkers en -partners bevatten.
Cyberaanvallen door NoName057(16) en UserSec op Canadese Organisaties
NoName057(16) en UserSec, twee cybercriminelen, hebben gezamenlijk aanvallen uitgevoerd op Canadese organisaties. Ze gebruikten Telegram om hun acties te delen, waarbij NoName057(16) claimde de Canadian Radio-Television and Telecommunications Commission en Investment Quebec te hebben aangevallen. UserSec richtte zich op Telus Corp, een grote Canadese telecomprovider. De aanvallers gaven aan dat hun acties gemotiveerd waren door haat tegen NAVO en Canada, wat ze met specifieke hashtags benadrukten. De incidenten wijzen op de groeiende dreiging van cyberaanvallen tegen nationale infrastructuren.
Gevoelige Gegevens van Israëlische Overheid Gelekt
Op 13 juni 2024 heeft een dreigingsactor een database van de Israëlische overheidswebsite www.gov.il gelekt op een darkweb forum. Deze website wordt door Israëlische burgers gebruikt voor hun overheidszaken en bureaucratische taken. Volgens het bericht van de dreigingsactor is de data gelekt door een kwetsbaarheid in de API van de website. Het gelekte bestand bevat gevoelige informatie zoals namen, telefoonnummers, kentekens, geboortedata en adressen. In totaal zijn er 268.938 records gecompromitteerd. Opvallend is dat de dreigingsactor de data gratis heeft gedeeld, zonder enige financiële compensatie te vragen.
CyberDragon Escaleert DDoS-aanvallen op Eurocontrol
CyberDragon, een beruchte hackergroep, heeft haar cyberaanval tegen Eurocontrol, de Europese Organisatie voor de Veiligheid van de Luchtvaart, opgevoerd. De groep begon met een Distributed Denial of Service (DDoS) aanval en voerde later een tweede aanval uit, met de belofte om door te gaan. In hun verklaring kondigde CyberDragon een strategische verschuiving aan naar de Europese luchtvaart, specifiek gericht op het E-learning platform van EUROCONTROL. Ook de toolbar van EUROCONTROL werd aangevallen, wat de kwetsbaarheden in de cybersecurity van de luchtvaartsector benadrukt.
Islamitische Cyberalliantie: Beschermers van de Waarheid
Een nieuwe dreigingsactor, ANON SEC BD, heeft een alliantie aangekondigd onder de naam Islamic Cyber Alliance via een Telegram-kanaal. Deze alliantie presenteert zichzelf als beschermers van de wereldwijde moslimgemeenschappen, met een specifieke focus op Palestina. Hun missie is het beschermen van hun mensen tegen schade en het bevorderen van vrede en eenheid. De groep nodigt anderen uit om zich bij hun zaak aan te sluiten. Verdere details over de alliantie zijn momenteel niet beschikbaar. Het gedeelde bericht bevat de slogan: "Guardians of Palestine, Defenders of Truth."
Hackersgroep Black Maskers Army valt Tunesische tv-zenders en cloudprovider aan
De hackersgroep Black Maskers Army heeft aangekondigd aanvallen te hebben uitgevoerd op Tunesische tv-zenders en een cloudprovider uit Tunesië. Ze claimden eerder samen te hebben gewerkt met de hackersgroep TeamX. De aanvallen waren bedoeld om bepaalde tv-content van de Tunesische kanalen tegen te gaan die zij als controversieel beschouwen. Ze noemden hun nieuwe operatie "Sons of Hannibal". Black Maskers Army en TeamX zouden de servers van de Tunesische cloudprovider hebben platgelegd gedurende vier uur. De hackersgroepen willen met de acties een einde maken aan de omstreden tv-content in Tunesië.
Cyberaanvallen belemmeren werking Zwitserse federale administratie
De aankomende Oekraïne-conferentie in Zwitserland was donderdag de vermoedelijke aanleiding voor cyberaanvallen op websites van de federale overheid en betrokken organisaties. Dit leidde tot verstoppingen en kleine storingen bij onder andere de douane en noodprocedures voor douaneaangiften. Het Federaal Bureau voor Cyberveiligheid bevestigde dat de zogenaamde DDoS-aanvallen, gericht op het platleggen van websites, begonnen op donderdagochtend. Hoewel de aanvallen binnen de verwachte marges vielen en geen acuut gevaar vormden, wilden de hackers met deze cyberacties hun politieke boodschap verspreiden en aandacht trekken door voor verstoring te zorgen in de cyberruimte. De gegevensbeveiliging en systemen liepen echter geen risico volgens de autoriteiten. 1
Aanvallen op Tunesische doelen vanwege steun aan Israël
De hacktivistische groep Black Maskers Army claimt aanvallen te hebben uitgevoerd op verschillende Tunesische doelwitten zoals Activia, TopNet en Tunisia Bay Travel. Volgens de Telegram-berichten van de groep was de reden voor hun acties de steun die Tunesië geeft aan Israël, wat meerdere malen werd benadrukt. Ze gebruikten de hashtag #OpTunisia, die ook tijdens de Arabische Lente in 2010 werd gebruikt voor informatie over de Tunesische revolutie. Dit wijst erop dat de aanvallen deel uitmaakten van een geplande operatie in plaats van willekeurige cyberaanvallen. De hacktivisten lijken gemotiveerd door het conflict tussen Tunesië en Israël.
Grootschalige Chinese spionagecampagne misbruikt FortiGate-kwetsbaarheid
De militaire inlichtingendienst MIVD heeft een grootschalige Chinese spionagecampagne tegen FortiGate-systemen ontdekt. In 2022 en 2023 zijn wereldwijd minstens 20.000 FortiGate-apparaten via een kwetsbaarheid (CVE-2022-42475) met malware besmet geraakt. De kwetsbaarheid werd twee maanden lang misbruikt voordat Fortinet een beveiligingsupdate uitbracht. Gedurende die periode raakten 14.000 apparaten geïnfecteerd met de 'Coathanger-malware'. Doelwitten waren overheden, internationale organisaties en bedrijven in de defensie-industrie. Zelfs na updates behielden aanvallers toegang via de malware. Het NCSC acht het waarschijnlijk dat de Chinese actor bij honderden slachtoffers wereldwijd toegang had en gegevens kon stelen. De Nederlandse diensten waarschuwen dat compromittering moeilijk te voorkomen is met zero-days en adviseren het 'assume breach'-principe te hanteren.[ncsc]
GlorySec voert malware-aanval uit in Venezuela en hint op toekomstige operaties in Rusland
De hackergroep GlorySec heeft onlangs een cyberaanval uitgevoerd in Guyana City, Venezuela, waarbij ze wormachtige malware hebben ingezet via USB-sticks. Dit leidde tot de infiltratie van de systemen van meer dan 100 bedrijven. GlorySec beweert volledig toegang te hebben tot de gecompromitteerde computers, wat hun toenemende invloed en capaciteiten aantoont. Het doel van deze actie was om hun nieuwe malware te testen zonder grote schade aan te richten, maar tegelijkertijd de reikwijdte en mogelijkheden ervan te demonstreren. De groep gaf ook aan een politieke motivatie te hebben om het regime van president Nicolás Maduro te destabiliseren. Bovendien hintte GlorySec op mogelijke toekomstige operaties in Rusland, afhankelijk van de escalatie van de Russisch-Oekraïense oorlog en directe Amerikaanse betrokkenheid. Dit onderstreept hun strategische focus op geo-politieke conflicten om hun cyberoorlogsinstrumenten te testen en te demonstreren.
πͺπΊ DDoS-aanvallen richten zich op Europese politieke partijen tijdens verkiezingen
Hacktivisten voeren gedistribueerde denial-of-service (DDoS) aanvallen uit op Europese politieke partijen die standpunten vertegenwoordigen en promoten die tegen hun belangen ingaan. De Europese Parlementsverkiezingen zijn al begonnen in Nederland en zullen in 26 andere EU-landen de komende dagen van start gaan, wat politiek gemotiveerde cyberaanvallen aanwakkert. Cloudflare heeft melding gemaakt van minstens drie golven van DDoS-aanvallen op verschillende verkiezingsgerelateerde websites in Nederland en meerdere politieke partijen. De eerste aanval bereikte een piek van 115 miljoen verzoeken per uur, terwijl de tweede aanval lager was met 44 miljoen verzoeken per uur. De hacktivist groep HackNeT heeft de verantwoordelijkheid opgeëist voor aanvallen op rechts-nationalistische partijen als PVV en FvD in Nederland. In Duitsland meldde het ministerie van Binnenlandse Zaken een "ernstige cyberaanval" op het CDU-netwerk, die zij samen met de autoriteiten onderzoeken en aanpakken.
β οΈ Es gab einen schwerwiegenden Cyberangriff auf das Netzwerk der CDU. Unsere SicherheitsbehΓΆrden @BSI_Bund und das Bundesamt fΓΌr Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren, aufzuklΓ€ren und weiteren Schaden abzuwenden. (1/2)
β Bundesministerium des Innern und fΓΌr Heimat (@BMI_Bund) June 1, 2024
πͺπΊ Russische hackersgroep kondigde cyberaanval aan op Europese internetinfrastructuur
De Russische hackersgroep NoName057(16) heeft aangekondigd een cyberaanval te zullen lanceren op de Europese internetinfrastructuur. Dit als vergelding voor wat zij omschrijven als russofobische en hypocrietische handelingen van de Europese autoriteiten. De groep beschuldigt het Europees Parlement van het uitvaardigen van "zinloze anti-Russische sancties" sinds de gebeurtenissen in de Krim in 2014 en Donbas in 2022. Naast NoName057(16) zullen meerdere andere Russische hackergroepen zoals People's CyberArmy, 22C, IAMKILLMILK, HackNeT, Cyberdragon, CoupTeam, Root@kali en Usersec deelnemen aan de aangekondigde aanval. De hackersgroepen sluiten hun aankondiging af met de kreet: "Wij komen eraan! Glorie aan Rusland!"
Cyberdreigingen tegen de Verenigde Arabische Emiraten
De Dark Storm Team heeft aangekondigd cyber-aanvallen te zullen uitvoeren op de infrastructuur en belangrijke overheidsdiensten van de Verenigde Arabische Emiraten. Als motief voeren zij de steun van de VAE aan Israël aan. Deze escalatie van cyber-activiteiten onderstreept de toenemende spanningen in de regio en baart grote zorgen over de veiligheid van cruciale nationale infrastructuur. De groep claimt een DDoS-aanval te hebben uitgevoerd op het ministerie van Onderwijs van de VAE. Deze aanval duurde één tot drie uur en verstoorde de online diensten, waardoor onderwijsactiviteiten en toegang tot digitale bronnen werden gehinderd. Dark Storm Team's verklaring benadrukt het groeiende risico van cyberoorlogvoering bij geopolitieke conflicten, waarbij digitale infrastructuur een belangrijke doelwit wordt. De VAE zal waarschijnlijk maatregelen nemen om de cyberveiligheid te versterken om verdere verstoringen te voorkomen.
π³π± Hackers verstoren websites van politieke partijen tijdens Europese verkiezingen
Russische hackers van de groep HackNet hebben donderdag de websites van CDA, PVV en FVD tijdelijk platgelegd door middel van DDoS-aanvallen. Bij een dergelijke aanval wordt een website overspoeld met verkeer, waardoor deze onbereikbaar wordt. De aanvallen vonden plaats op de dag van de Europese verkiezingen. De partijwebsites ondervonden tijdelijk problemen met de bereikbaarheid door de miljoenen aanvragen die binnenkwamen. Het CDA en FVD moesten hard werken om de aanvallen af te slaan. HackNet, een groep die vaker websites aanvalt in landen waarmee Rusland conflicten heeft, eiste de verantwoordelijkheid op voor de DDoS-aanvallen en dreigde met verdere acties tegen Nederland.Volgens cybersecurityexpert Dave Maasland zijn dergelijke aanvallen vooral bedoeld om onrust te zaaien en een gevoel van onbehagen te creëren bij het publiek. Hoewel ze weinig schade aanrichten, kunnen ze het vertrouwen in de samenleving ondermijnen. Na de initiële problemen lijken de websites inmiddels weer bereikbaar.
Oekraïense cyberaanval legt Russische diensten lam
Oekraïense cyberveiligheidsexperts hebben een grootschalige Distributed Denial-of-Service (DDoS) aanval uitgevoerd op Russische staatsinstellingen en private bedrijven. Hierdoor vielen veel websites en online diensten uit in Rusland. De Russische autoriteiten gaven aanvankelijk een storing in een telecommunicatiecentrum als oorzaak, maar moesten later toegeven dat er sprake was van een DDoS-aanval. De aanval trof onder meer de websites en diensten van verschillende ministeries, grote banken, de clouddienst Gosoblako en het sociaal netwerk VKontakte. Ook het burgerlijk registratiesysteem werd geraakt, waardoor massaal huwelijken moesten worden uitgesteld. Volgens Oekraïense inlichtingendiensten zit de Defensie Inlichtingendienst achter deze cyberaanval, als vergelding voor de Russische invasie van Oekraïne. De impact was verstrekkend en leidde tot grootschalige ontwrichting van dienstverlening in Rusland. [cybernews]
Aanval op Oekraïense Ambtenaren via Signal Messaging-App
Cybercriminelen hebben geprobeerd om Oekraïense ambtenaren, militair personeel en medewerkers van defensiebedrijven aan te vallen via de berichtendienst Signal. De aanval verspreidde malware door middel van berichten met een gecomprimeerd bestand en een wachtwoord om het te openen. Als het bestand op een computer werd geopend, installeerde het de DarkCrystal RAT-malware. De berichten leken afkomstig van reeds gecompromitteerde contacten of groepen, wat ze geloofwaardiger maakte. Hoewel Signal geprezen wordt om zijn privacymaatregelen, werd de app in dit geval misbruikt voor kwaadaardige doeleinden. DarkCrystal RAT-malware wordt vaker ingezet tegen Oekraïense doelen. Vorig jaar werd een Oekraïens nutsbedrijf aangevallen na het installeren van een gepirateerde Office-versie met deze malware. De Oekraïense autoriteiten waarschuwden voor deze gerichte aanval op overheidspersoneel en defensiemedewerkers. [cybernews]
UAC-0020 (Vermin) valt de strijdkrachten van Oekraïne aan met de SPECTR SPZ
Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft een nieuwe cyberaanvalscampagne geïdentificeerd, genaamd "SickSync". Deze aanval is uitgevoerd door de hackersgroep UAC-0020 (Vermin), die gelinkt is aan de regio Luhansk en vaak Russische belangen dient. De aanval richt zich op het stelen van gevoelige informatie van Oekraïense militaire organisaties.De aanval begint met een phishingmail die een wachtwoordbeschermd archief bevat. Bij het openen van dit bestand worden een PDF, een installer en een script uitgevoerd, waardoor het legitieme bestandsynchronisatieprogramma SyncThing wordt gestart, samen met de SPECTR-malware. SyncThing wordt gebruikt om een peer-to-peer verbinding op te zetten voor datadiefstal. De SPECTR-malware heeft verschillende functies, waaronder het maken van schermafbeeldingen, het kopiëren van bestanden en het stelen van authenticatiegegevens van browsers en berichtenapps. De gestolen gegevens worden gesynchroniseerd met de systemen van de aanvallers. CERT-UA waarschuwt dat elke interactie met SyncThing's infrastructuur voldoende reden is om een systeem als gecompromitteerd te beschouwen en een grondig onderzoek te starten. [cert.gov.ua]
Glorysec verlegt focus naar Rusland en plant nieuwe operaties
Het hacker collectief GlorySec heeft aangekondigd hun strategische focus te verleggen naar Rusland. Voorheen actief in onder andere Venezuela en tegen Indonesische hackers, richt de groep zich nu primair op Russische doelen. Dit markeert een intensivering van hun lopende #OPRussia-campagne. GlorySec heeft recent meerdere kleine databases uit Sint-Petersburg gehackt en openbaar gemaakt, waarmee ze hun toewijding aan het blootleggen van kwetsbaarheden in Russische systemen benadrukken. Daarnaast heeft de groep aangegeven mogelijk deel te nemen aan de #OPDrugWar, gericht tegen drugskartels, wat hun operationele reikwijdte verder uitbreidt naar andere regio's en kwesties.
π³π± Nederland slecht voorbereid op hybride aanvallen
Volgens de Adviesraad Internationale Vraagstukken (AIV) is Nederland onvoldoende voorbereid op hybride aanvallen, zoals cyberaanvallen en desinformatiecampagnes uit landen als Rusland en China. Hybride dreigingen zijn georkestreerde methodes om een land te destabiliseren, bijvoorbeeld door sabotage van kritieke infrastructuur zoals leidingen in de Noordzee of het verstoren van betalingsverkeer. Voorzitter Bert Koenders benadrukt dat Nederland momenteel vooral reageert op incidenten en pleit voor een proactievere aanpak. Hij suggereert onder meer een grotere inzet van reservisten met kennis van civiele verdediging en het aanbieden van cursussen over cybersecurity en weerbaarheid op scholen en universiteiten. Koenders wijst ook op landen als Finland en het Verenigd Koninkrijk die beter zijn voorbereid. Hij hoopt dat het nieuwe kabinet, onder leiding van een premier met ervaring in veiligheid, een nationale veiligheidsraad zal opzetten om deze dreigingen effectiever te bestrijden. [bnr]
DDoS-aanvallen zijn vaak symbolisch van aard volgens staatssecretaris
Ddos-aanvallen op overheidswebsites zijn meestal beperkt in hun impact en hebben vaak een symbolisch karakter, aldus demissionair staatssecretaris Van Huffelen van Digitalisering. Dit kwam naar voren in antwoorden op Kamervragen van GroenLinks-PvdA over recente aanvallen op provinciewebsites. De staatssecretaris gaf aan dat er geen volledig overzicht is van het aantal ddos-aanvallen, omdat meldingen hiervan niet altijd bij het Nationaal Cyber Security Centrum (NCSC) terechtkomen. Hoewel de impact doorgaans gering is, kunnen deze aanvallen tijdelijk de informatieverstrekking en dienstverlening verstoren. De aanvallen die in maart plaatsvonden en werden toegeschreven aan een pro-Russische groep, zijn moeilijk te attribueren, aldus Van Huffelen.
Cyberaanval legt CDU-servers plat in Duitsland
Een week voor de Europese verkiezingen is de CDU het slachtoffer geworden van een aanzienlijke cyberaanval, wat heeft geleid tot het platleggen van hun servers. Het incident wordt zeer serieus genomen, aldus regeringsbronnen, en het Duitse Ministerie van Binnenlandse Zaken bevestigde dat het om een ernstige aanval ging. Er zijn echter geen details over de omvang van de schade of de dader, aangezien het onderzoek nog gaande is. De werkwijze suggereert dat een professionele actor verantwoordelijk is. Als voorzorgsmaatregel is een deel van de IT-infrastructuur van de partij offline gehaald en geïsoleerd, hoewel de website cdu.de bereikbaar bleef. De CDU werkt nauw samen met Duitse veiligheidsdiensten en externe experts om de situatie te onderzoeken. Het Bundesamt für Verfassungsschutz en het Bundesamt für Sicherheit in der Informationstechnik hebben inmiddels het onderzoek gestart. [welt]
Cyberoorlog nieuws oorlog gerelateerd
Cyberoorlog nieuws - Actuele aanvallen
Reading in another language
Cyberoorlog nieuws 2024 november
Reading in π¬π§ or another language
Cyberoorlog nieuws 2024 oktober
Reading in π¬π§ or another language
Cyberoorlog nieuws 2024 september
Reading in π¬π§ or another language
Hacktivistengroep Twelve: De onzichtbare frontlinie van de cyberoorlog
Reading in π¬π§ or another language
Explosieve Beepers: Een geavanceerde vorm van elektronische sabotage
Reading in π¬π§ or another language
Cyberoorlog nieuws algemeen
2025 in het teken van hybride aanvallen en ondermijning
Reading in another language
Noord-Koreaβs cyberstrategie: Van cryptocurrency-diefstal tot technologische spionage
Reading in π¬π§ or another language
De impact van Trumps herverkiezing op cyberveiligheid in Europa
Reading in π¬π§ or another language
Cyberdreigingen in 2024: Nederland onder vuur van digitale aanvallen
Reading in π¬π§ or another language
Veiligheid in een veranderende wereld: De cruciale rol van de MIVD in 2023
EN: Click here and choose your language using Google's translation bar at the top of this page β
De cruciale noodzaak voor trainingen in Cybercrisis Management
EN: Click here and choose your language using Google's translation bar at the top of this page β