Hacktivistengroep Twelve: De onzichtbare frontlinie van de cyberoorlog

Gepubliceerd op 25 september 2024 om 19:30

In het digitale tijdperk zijn cyberaanvallen een vast onderdeel geworden van conflicten tussen landen, organisaties, en zelfs individuele activisten. Binnen dit krachtenveld speelt hacktivisme een steeds prominentere rol. Hacktivistengroepen zijn geen nieuwe verschijning, maar de afgelopen jaren hebben we een verschuiving gezien in zowel hun doelen als methoden. Een van de meest actieve en destructieve hacktivistengroepen van dit moment is Twelve. Deze groep, ontstaan in de context van de Russische invasie van Oekraïne, gebruikt geavanceerde technieken om Russische overheidsorganisaties en bedrijven te beschadigen. Dit artikel duikt dieper in de recente activiteiten van Twelve, hun methoden en de bredere trend van hacktivisme in de huidige cyberoorlog.

De opkomst van hacktivisme in de cyberoorlog

Hacktivisme is een combinatie van 'hacking' en 'activisme', waarbij digitale aanvallen worden gebruikt om politieke of sociale doelen te bereiken. In plaats van financiële winst als motivatie, streven hacktivisten naar publieke erkenning van hun idealen, vaak door disruptie en schade aan te richten bij hun doelwitten. Groepen zoals Twelve zijn een product van deze evolutie in cybercriminaliteit. Ze opereren vaak zonder winstoogmerk, gericht op het ondermijnen van tegenstanders in politieke of ideologische conflicten.

De cyberoorlog tussen hacktivisten en staatsactoren is sinds het begin van de Russisch-Oekraïense oorlog in 2022 intensiever geworden. Hacktivisten zoals Twelve hebben zich vooral gericht op Russische overheidsinstanties, militaire doelen en aan de overheid gelieerde bedrijven. Door een combinatie van geavanceerde technieken en brute destructieve aanvallen zijn zij in staat om grootschalige schade aan te richten aan kritieke infrastructuren.

Een belangrijk kenmerk van hacktivisme in de moderne cyberoorlog is de combinatie van publieke en private doelwitten. Hacktivisten gebruiken vaak zogenaamde "hack-and-leak" methoden, waarbij ze gevoelige informatie stelen en openbaar maken op platforms zoals Telegram. Dit leidt niet alleen tot directe schade aan de systemen van hun slachtoffers, maar ook tot reputatieschade en politiek ongemak.

Hacktivistengroep Twelve: methodes en tactieken

Twelve, gevormd in april 2023, heeft snel naam gemaakt als een van de meest destructieve hacktivistengroepen actief in de cyberoorlog. In plaats van traditionele ransomware-aanvallen, waarbij losgeld wordt geëist in ruil voor ontsleuteling van gegevens, richt Twelve zich op maximale schade zonder financiële motieven. Hun aanvallen beginnen vaak met het encrypten van gegevens van slachtoffers, waarna de infrastructuur met wipers wordt vernietigd, waardoor herstel vrijwel onmogelijk wordt.

Een van de meest opvallende kenmerken van Twelve is hun gebruik van bestaande tools in plaats van zelfgemaakte malware. Volgens analyses van Kaspersky maakt Twelve gebruik van tools zoals Cobalt Strike, Mimikatz, BloodHound, en Advanced IP Scanner. Deze openbare tools worden vaak gebruikt voor netwerkverkenning, privilege escalation en credential theft. Dit betekent dat hun methoden detecteerbaar zijn voor goed beveiligde systemen, maar de snelheid en brutaliteit van hun aanvallen maakt het lastig om tijdig in te grijpen.

Een typische aanval van Twelve begint met het verkrijgen van toegang tot een netwerk via Remote Desktop Protocol (RDP), vaak door gebruik te maken van inloggegevens die ze via een contractant van het doelwit hebben verkregen. Zodra ze binnen zijn, verplaatsen ze zich lateraal door het netwerk en richten ze zich op kritieke systemen, waarbij ze zowel gegevens stelen als de volledige infrastructuur van het doelwit saboteren. Een recente analyse toont aan dat ze zelfs PowerShell-scripts gebruiken om antivirussoftware zoals Sophos uit te schakelen, wat hun aanvallen nog moeilijker te stoppen maakt.

Hun meest destructieve wapen is echter de wiper-malware, vergelijkbaar met de beruchte Shamoon-malware, die de master boot record (MBR) van harde schijven herschrijft en alle inhoud van bestanden overschrijft met willekeurige gegevens. Dit maakt het herstel van getroffen systemen vrijwel onmogelijk en veroorzaakt ernstige bedrijfsverstoring voor de getroffen organisaties.

Vergelijking met andere hacktivistische groepen

Hoewel Twelve uniek is in hun meedogenloze tactieken, zijn ze niet de enige hacktivistengroep die actief is in de huidige cyberoorlog. Een vergelijkbare groep is DARKSTAR (ook wel bekend als COMET of Shadow). Deze groep deelt veel infrastructuur en tactieken met Twelve, wat erop wijst dat de twee mogelijk onderdeel zijn van hetzelfde syndicaat. Waar Twelve echter duidelijk hacktivistische doelen nastreeft, gebruikt DARKSTAR een klassiekere vorm van ransomware-aanvallen, waarbij slachtoffers worden afgeperst om losgeld te betalen in ruil voor het herstel van hun gegevens.

Het verschil in doelen tussen de twee groepen onderstreept de complexiteit van moderne cyberdreigingen. Terwijl DARKSTAR zich richt op financiële winst via de zogenaamde dubbele afpersing (waarbij zowel gegevens worden versleuteld als gedreigd wordt met het openbaar maken ervan), richt Twelve zich op pure destructie. Deze variatie in doelen binnen hetzelfde syndicaat toont aan hoe veelzijdig en onvoorspelbaar hacktivistische aanvallen kunnen zijn.

Een ander verschil tussen Twelve en traditionele hacktivistengroepen is hun professionaliteit en strategische aanpak. Waar veel hacktivisten amateuristisch te werk gaan, is Twelve duidelijk goed georganiseerd, met geavanceerde tactieken en middelen. Hun aanvallen zijn zorgvuldig gepland en uitgevoerd, waarbij ze vaak gebruik maken van zwakheden in de infrastructuur van hun doelwitten om maximale schade aan te richten.

De impact en toekomst van hacktivisme

De impact van hacktivistische aanvallen, zoals die uitgevoerd door Twelve, is verwoestend. Naast de directe schade aan infrastructuren en systemen, brengen deze aanvallen ook ernstige reputatieschade met zich mee voor de getroffen organisaties. Wanneer gevoelige gegevens worden gestolen en openbaar gemaakt, kunnen de gevolgen nog jarenlang doorwerken, met juridische en financiële implicaties voor de slachtoffers.

Bovendien is het duidelijk dat de grens tussen hacktivisme en cybercriminaliteit steeds vager wordt. Groepen zoals Twelve opereren in een grijs gebied, waarbij hun aanvallen niet gericht zijn op financieel gewin, maar toch dezelfde destructieve capaciteiten hebben als traditionele cybercriminelen. Dit maakt het moeilijk voor overheden en bedrijven om zich effectief te verdedigen, aangezien de motieven en methoden van hacktivisten constant veranderen.

Wat de toekomst betreft, lijkt het hacktivisme alleen maar verder te escaleren. Naarmate politieke en sociale spanningen wereldwijd toenemen, zal de digitale strijd waarschijnlijk intenser worden. Hacktivisten zullen steeds geavanceerdere methoden ontwikkelen om hun tegenstanders te treffen, en de lijnen tussen politieke activisten en georganiseerde cybercriminelen zullen verder vervagen.

Voor organisaties betekent dit dat proactieve beveiligingsmaatregelen essentieel zijn. Het beschermen van kritieke infrastructuren, regelmatig updaten van beveiligingssystemen en het trainen van personeel om phishing-aanvallen en andere veelvoorkomende dreigingen te herkennen, zijn slechts enkele van de stappen die genomen kunnen worden om hacktivistische aanvallen te voorkomen.

Begrippenlijst: sleutelwoorden uitgelegd

  • Hacktivisme: Het gebruik van hacking als middel voor politieke of sociale activisme.
  • Wiper: Malware die gegevens onherstelbaar verwijdert of vernietigt, waardoor herstel van systemen onmogelijk wordt.
  • Hack-and-leak: Een aanvalsmethode waarbij hackers gegevens stelen en vervolgens openbaar maken om schade toe te brengen aan de reputatie van hun slachtoffers.
  • Darkweb: Een verborgen deel van het internet dat vaak wordt gebruikt voor illegale activiteiten en moeilijk toegankelijk is zonder speciale software zoals Tor.
  • Cobalt Strike: Een tool die vaak wordt gebruikt voor netwerkverkenning en het uitvoeren van geavanceerde cyberaanvallen.
  • Shamoon: Beruchte wiper-malware die gebruikt is in verschillende destructieve cyberaanvallen, vooral gericht op de energiesector in het Midden-Oosten.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: anoniem, securelist