Cyberoorlog nieuws 2024 november

Sophos heeft vandaag zijn onderzoeksrapport "Pacific Rim" gepresenteerd, waarin wordt beschreven hoe het cybersecuritybedrijf de afgelopen vijf jaar is aangevallen door Chinese hackers die zich richtten op netwerken wereldwijd, inclusief die van Sophos zelf. De aanvallers maken gebruik van kwetsbaarheden in netwerkinfrastructuur om aangepaste malware te installeren, waarmee ze netwerkcommunicatie kunnen afluisteren en inloggegevens kunnen stelen. Bekende fabrikanten zoals Cisco en Fortinet zijn ook doelwit geweest. Sophos wijst op verschillende Chinese hackergroepen, waaronder Volt Typhoon en APT41, die deze aanvallen uitvoeren. Sinds 2018 heeft Sophos deze bedreigingen actief onderzocht en hun tactieken zijn in de loop der jaren geëvolueerd. Het rapport benadrukt de noodzaak van goede beveiliging en biedt inzichten in hoe organisaties zichzelf kunnen beschermen tegen dergelijke aanvallen.

Bron: 1, 2

De Russische cyberdreiging Cozy Bear heeft een grootschalige spear-phishingcampagne gelanceerd die zich richt op meer dan 100 organisaties in kritieke sectoren, zoals overheidsinstellingen en IT-diensten. Sinds 22 oktober 2024 hebben aanvallers zorgvuldig samengestelde e-mails verzonden die gebruikers proberen te misleiden tot het openen van een Remote Desktop Protocol (RDP) configuratiebestand. Dit bestand kan gebruikers in staat stellen om verbinding te maken met een server die door de aanvallers wordt beheerd, wat leidt tot ernstige beveiligingsrisico's.

De campagne maakt gebruik van vertrouwde namen, waaronder Microsoft en Amazon Web Services, om geloofwaardigheid te verlenen. Wanneer de RDP-verbinding tot stand komt, kunnen aanvallers toegang krijgen tot gevoelige informatie van de slachtoffers, inclusief hun lokale apparaatspecifieke gegevens. Microsoft heeft verschillende mitigatiemaatregelen aanbevolen, waaronder het gebruik van multi-factor authenticatie en versterkte endpointbeveiliging om deze bedreiging tegen te gaan.

Bron: 1

China heeft melding gemaakt van de ontdekking van spionageapparatuur, die vermoedelijk door buitenlandse inlichtingenagentschappen is geplaatst in zijn wateren. In een bericht op een WeChat-account van het Ministerie van Nationale Veiligheid wordt beweerd dat deze technologie, omschreven als "onderwaterlighthouses", wordt gebruikt om marine-informatie te verzamelen en inbreuken op de Chinese wateren te faciliteren. De apparaten zouden zich op de zeebodem bevinden en informatie over hydrologische omstandigheden en scheepsactiviteit verzamelen. China beschouwt deze activiteiten als een ernstige bedreiging voor zijn nationale veiligheid en benadrukt de noodzaak om de diepzeebeveiliging te waarborgen als een strategische prioriteit. Dit komt te midden van beschuldigingen aan China zelf van spionage met nieuwe technologieën, zoals de vermeende spionageballon die vorig jaar boven de VS werd waargenomen.

Bron: 1

Sinds april 2024 constateert de Finse kustwacht verstoringen van GPS-signalen in de Oostzee, met een toename van valse locatiegegevens door olietankers die hun bezoeken aan Russische havens willen verhullen. Deze manipulatie leidt tot gevaarlijke situaties op zee, waarbij schepen soms in de problemen komen door onjuiste koersinformatie. Commandant Pekka Niittyla van de kustwacht wijst erop dat deze storingen niet alleen de navigatie beïnvloeden, maar ook andere systemen aan boord verstoren. De kustwacht vermoedt dat Rusland verantwoordelijk is voor deze verstoringen, mogelijk als een maatregel om de oliehavens te beschermen tegen Oekraïense aanvallen. Zowel Baltische als Scandinavische landen hebben soortgelijke problemen ervaren, wat ook gevolgen heeft voor het luchtverkeer in de regio.

Bron: 1

Chinese hackers hebben duizenden TP-Link WiFi-routers gecompromitteerd om verborgen cyberaanvallen uit te voeren, met name door middel van "password-spraying". Deze activiteiten, ontdekt in augustus 2023, maken gebruik van een botnet dat gemiddeld 8.000 gecompromitteerde apparaten inzet. De hackers richten zich voornamelijk op denktanks, overheden en organisaties in Noord-Amerika en Europa, waarbij ze elke dag slechts één inlogpoging per account doen, wat hun detectie bemoeilijkt. Microsoft heeft het botnet CovertNetwork-1658 genoemd en wijst op de moeilijkheid om de kwaadaardige activiteiten te volgen vanwege het gebruik van meerdere IP-adressen. Hoewel het gebruik van dit botnet de laatste tijd is afgenomen, wordt verwacht dat het nog steeds actief is en mogelijk nieuwe infrastructuur aan het opbouwen is. Microsoft raadt organisaties aan om hun cyberbeveiliging te verbeteren door strenge authenticatieprotocollen toe te passen.

Bron: 1

Amerikaanse veiligheidsdiensten, waaronder de ODNI, FBI en CISA, hebben opnieuw waarschuwingen afgegeven over Russische desinformatiecampagnes die gericht zijn op de presidentsverkiezingen van 2024. Deze campagnes verspreiden valse beweringen, zoals het idee dat verkiezingsfunctionarissen in swing states plannen zouden maken om de uitslag te manipuleren. Er worden nepvideo’s en artikelen gepromoot die beweren dat verkiezingsfraude plaatsvindt, zoals stemmen vervalsen en manipulatie van kiezerslijsten. Een specifiek voorbeeld betreft een video waarin een valse getuige frauduleuze activiteiten in Arizona claimt. Ondanks deze tactieken, zijn experts van mening dat de impact van dergelijke desinformatie beperkt is, aangezien veel van de claims snel worden weerlegd door autoriteiten. Toch vrezen de veiligheidsdiensten dat dergelijke beïnvloedingsoperaties door Rusland de politieke verdeeldheid zullen vergroten tot de verkiezingen officieel zijn goedgekeurd in januari 2025.

Bron: 1

Een hacker, die bekend staat als "natohub," beweert gegevens van het Amerikaanse leger te hebben gelekt. Het gaat om gevoelige informatie over meer dan 385.000 militaire personeelsleden en contractanten. De gelekte data omvatten namen, e-mailadressen, telefoonnummers, adressen en details over hun militaire dienst. De informatie wordt momenteel aangeboden op het dark web. De betrokkenen zouden ernstig in gevaar kunnen zijn door de openbaarmaking van zulke persoonlijke gegevens. De hacker heeft aangegeven dat de gegevens te koop zijn, wat zorgt voor grote bezorgdheid binnen de veiligheids- en inlichtingendiensten van de Verenigde Staten. Dit incident benadrukt opnieuw de kwetsbaarheid van gevoelige overheidsinformatie en de risico’s van cyberaanvallen. Het is nog niet bevestigd of de lekken daadwerkelijk van de Amerikaanse overheid afkomstig zijn, maar de situatie wordt zeer serieus genomen.

APT36, een Pakistaanse hackinggroep, heeft zijn malwaretools, zoals ElizaRAT en de nieuw geïntroduceerde ApoloStealer, verder ontwikkeld om gerichter spionage uit te voeren op India. De groep richt zich voornamelijk op Indiase overheidsinstanties, diplomaten en militaire faciliteiten. ElizaRAT, een remote access tool, wordt verspreid via phishingcampagnes met links naar cloudplatforms zoals Google Drive, Slack en Telegram. Deze platforms helpen de malware om zich te camoufleren in normaal netwerkverkeer, waardoor detectie moeilijker wordt.

ApoloStealer is ontworpen om specifieke bestandstypes, zoals documenten en afbeeldingen, te stelen van besmette systemen. De nieuwste campagnes van APT36 maken gebruik van diverse infrastructuren, van cloudgebaseerde platforms tot virtuele privéservers, om commando- en controle-operaties uit te voeren. Dit toont de geavanceerde en veelzijdige aanpak van de groep, die zijn malware voortdurend verfijnt om de kans op ontdekking te verkleinen.

Bron: 1

Een hackercollectief, genaamd EvilMorocco, heeft naar verluidt gevoelige gegevens van het Ministerie van Gezondheid van Algerije gelekt. De gegevens omvatten persoonlijke informatie van Algerijnse burgers, inclusief medische dossiers, die zijn vrijgegeven op het dark web. Deze aanval maakt deel uit van een bredere trend van cyberaanvallen waarbij hacktivistische groeperingen landen aanvallen met als doel politieke boodschappen over te brengen. De algehele impact van deze datalekken kan verstrekkend zijn, met mogelijke gevolgen voor de privacy en de nationale veiligheid. De Algerijnse overheid heeft nog geen officieel commentaar gegeven, maar experts benadrukken de urgentie van verbeterde cyberbeveiligingsmaatregelen om dit soort aanvallen in de toekomst te voorkomen. De vraag blijft of dit incident het begin is van een grotere campagne tegen de regio.

De Algemene Rekenkamer heeft de beveiliging van het Defensienetwerk NAFIN onderzocht en geconcludeerd dat, hoewel het netwerk technisch goed is opgezet, de praktische beveiliging tekortschiet. Onbevoegden kunnen fysiek toegang krijgen tot beveiligde ruimtes, en detectiemiddelen worden niet optimaal ingezet. NAFIN, een samenwerking tussen het ministerie van Defensie en KPN, is van groot belang voor veilige communicatie tussen verschillende overheidsinstellingen, zoals de politie en de hulpdiensten. De Rekenkamer stelt dat er geen duidelijke visie is voor de toekomst van NAFIN, en dat de fysieke beveiliging op Defensie-locaties onvoldoende is. Bovendien is Defensie afhankelijk van KPN voor de uitvoering van het netwerk, wat leidt tot een gebrek aan controle over de beveiliging. De Rekenkamer beveelt aan om de beveiliging te versterken en meer toezicht te houden op de externe partijen die bij het netwerk betrokken zijn.

Bron: pdf downloaden

Een groep hackers uit Noord-Korea, bekend als BlueNoroff, richt zich op bedrijven in de cryptocurrency-sector met de malware "Hidden Risk". Deze malware wordt verspreid via e-mails met nepnieuws over cryptocurrency-trends, waarbij een schadelijke applicatie zich voordoet als een PDF-bestand. Bij installatie downloadt de malware een tweede fase die fungeert als een backdoor om op afstand commando's uit te voeren.

De aanvallen maken gebruik van een nieuwe techniek die het zshenv-configuratiebestand op macOS misbruikt, waardoor gebruikers niet gewaarschuwd worden, zelfs niet bij verdachte activiteiten. De malware is ondertekend met een geldige Apple-ontwikkelaars-ID en werd voor het eerst waargenomen in juli 2024. Dit soort aanvallen is onderdeel van een breder patroon van cybercriminaliteit door Noord-Korea, die zich richt op de cryptocurrency- en DeFi-sectoren.

Bron: 1

De hacker-groep NoName heeft bevestigd dat zij een serie DDoS-aanvallen hebben uitgevoerd op verschillende belangrijke Zuid-Koreaanse websites. De doelwitten waren onder andere de Korea Railroad Corporation, Korea Gas Technology Corporation, de Korea Electrical Safety Corporation en de Korea Aviation Association. DDoS-aanvallen zorgen ervoor dat websites tijdelijk onbereikbaar worden door ze te overbelasten met verkeer. Dit soort aanvallen heeft grote gevolgen voor de betrokken organisaties, die afhankelijk zijn van hun online diensten. De motieven achter de aanvallen zijn nog niet volledig duidelijk, maar dit incident benadrukt de groeiende dreiging van cyberaanvallen die gericht zijn op vitale infrastructuren wereldwijd.

Het Zuid-Koreaanse leger meldt dat Noord-Korea opnieuw GPS-signalen verstoort in het grensgebied, wat problemen veroorzaakt voor tientallen burgervliegtuigen en schepen. De verstoringen zijn vooral waargenomen nabij de Noord-Koreaanse grensstad Kaesong. Deze GPS-verstoringen zijn toegenomen sinds mei 2023, toen Noord-Korea begon met het sturen van afvalballonnen naar het zuiden als vergelding voor Zuid-Koreaanse propagandaballonnen.

De situatie heeft geleid tot meerdere onderbrekingen van het vliegverkeer op Incheon International Airport, dat minder dan 100 kilometer van de grens ligt. Deze spanningen komen bovenop recente provocaties zoals Noord-Korea's lancering van een intercontinentale raket en hun militaire steun aan Rusland in de oorlog tegen Oekraïne. Het Zuid-Koreaanse leger roept Noord-Korea op om te stoppen met deze provocerende acties.

Bron: 1

Atlas Biomed, een in Londen gevestigd genetisch bedrijf met banden met Rusland, is plotseling verdwenen zonder waarschuwing. Klanten kunnen niet langer bij hun accounts of testresultaten komen, terwijl het bedrijf beweerde dat alle persoonlijke data veilig werd bewaard op servers binnen de EU met volledige GDPR-compliance.

Het bedrijf verzamelde zeer gevoelige informatie, waaronder telefoonnummers, e-mails, adressen, gezondheids- en leefstijlinformatie en biologische monsters. Vier van de acht bedrijfsfunctionarissen zijn opgestapt en de twee overgebleven functionarissen staan geregistreerd op hetzelfde adres in Moskou.

Deze gebeurtenis vormt een nieuwe klap voor de DNA-testindustrie, die al eerder te maken had met incidenten. Zo was er in 2018 een datalek bij MyHeritage waarbij 92 miljoen gebruikers werden getroffen en recent nog een datalek bij 23andMe dat ongeveer 6,9 miljoen gebruikers raakte.

Er zijn zorgen dat DNA-testgegevens misbruikt kunnen worden voor verzekeringsdiscriminatie, gerichte marketing, raciale profilering en identiteitsdiefstal.

Bron: 1

Een groep pro-Palestijnse hacktivisten beweert het Israëlische Ministerie van Nationale Veiligheid te hebben gehackt, waarbij vertrouwelijke gegevens van bijna 5000 personen zijn buitgemaakt. De gelekte documenten bevatten informatie over Israëliërs die een wapenvergunning hebben aangevraagd, waaronder militaire dienst certificaten, identiteitsdocumenten, verblijfsvergunningen en medische beoordelingen die de geschiktheid voor wapenbezit bevestigen.

De gegevens zijn afkomstig van zowel actieve IDF-militairen als reservisten, voornamelijk uit Tel Aviv en de bezette Westelijke Jordaanoever. Deze cyberaanval maakt deel uit van een bredere golf van digitale aanvallen op Israëlische doelen sinds het begin van de oorlog in de Palestijnse gebieden. Eerder werden ook andere sectoren getroffen, waaronder de luchtvaartindustrie, een kernfaciliteit en industriële controlesystemen.

De hackers zeggen met deze actie te reageren op de aanhoudende confrontaties tussen Israëlische kolonisten en Palestijnen in de bezette gebieden, die volgens het Internationaal Gerechtshof in strijd zijn met het internationale recht.

Bron: pdf

De Hamas-gelinkte hackergroep WIRTE heeft zijn cyberaanvallen uitgebreid van spionage naar verstorende aanvallen gericht op Israël. Naast Israël heeft de groep ook de Palestijnse Autoriteit, Jordanië, Irak, Saoedi-Arabië en Egypte aangevallen. Sinds de start van de oorlog in Gaza is de groep actief gebleven, waarbij ze de geopolitieke spanningen in de regio gebruiken om aanvallen te lanceren. Een van de gebruikte malwaretools is de SameCoin wiper, een schadelijk programma dat bestanden overschrijft en systemen beschadigt. In oktober 2024 werd een phishingcampagne waargenomen waarbij nep-e-mails, die afkomstig leken van een Israëlisch cybersecuritybedrijf, de wiper verspreidden. De meest recente versie van SameCoin introduceert een versleutelfunctie die de achtergrond van het slachtoffer verandert in een afbeelding van de Al-Qassam Brigades, de militaire tak van Hamas. WIRTE gebruikt een geavanceerd arsenaal van malware voor zowel spionage als sabotage.

Bron: 1

Microsoft heeft een kritieke kwetsbaarheid in Windows gepatcht die werd misbruikt door vermoedelijke Russische hackers in hun aanvallen op Oekraïense doelen. De kwetsbaarheid (CVE-2024-43451) werd ontdekt in juni 2024 door ClearSky-beveiligingsonderzoekers en stelt aanvallers in staat de NTLMv2-hash van een gebruiker te stelen door middel van phishing-e-mails. Deze e-mails bevatten links naar besmette servers, die malware kunnen downloaden wanneer de gebruiker interactie heeft met een speciaal bestand. De aanvallers maakten gebruik van de gestolen gegevens voor pass-the-hash-aanvallen, waarbij ze toegang krijgen tot systemen zonder het wachtwoord zelf te hoeven kraken. Microsoft bevestigde de kwetsbaarheid in zijn novemberpatch en waarschuwde dat een minimale gebruikersinteractie voldoende is om de aanval te triggeren. De Amerikaanse CISA voegde de kwetsbaarheid toe aan haar lijst van bekende exploits, met de oproep om systemen vóór 3 december te beveiligen.

Bron: 1

Chinese hackers, verbonden aan de groep Salt Typhoon, hebben recentelijk meerdere Amerikaanse telecomproviders aangevallen, waaronder AT&T, Verizon en Lumen Technologies. Het Amerikaanse CISA en de FBI bevestigden dat de hackers de privécommunicatie van een beperkt aantal overheidsfunctionarissen hadden gecompromitteerd. Ook werden gegevens gestolen die betrekking hadden op klantoproeprecords en wetshandhavingsverzoeken. De aanvallen gaven de hackers toegang tot gevoelige netwerksystemen, waaronder platforms voor gerechtelijke afluisterverzoeken. De hackers hadden mogelijk maandenlang toegang tot deze netwerken, waardoor ze een enorme hoeveelheid internetverkeer konden verzamelen. Dit incident is onderdeel van een bredere campagne van China-gebonden groepen die zich richten op zowel de overheid als telecombedrijven, met een nadruk op spionageactiviteiten in Zuidoost-Azië.

Bron: 1

In maart en april 2024 werd het tv-signaal van de kinderzender BabyTV meerdere keren verstoord door Russische propaganda. Deze verstoringen waren een nevenschade van aanvallen op Oekraïense tv-zenders, met name FreedomTV. Beide zenders delen een satellietverbinding, wat de oorzaak van de storingen verklaart. Rusland wordt verantwoordelijk gehouden voor de aanvallen op ten minste zes Europese tv-satellieten, waaronder die van Franse Eutelsat en het Luxemburgse SES. Nederland en vier andere landen hebben een klacht ingediend bij de Internationale Telecommunicatie Unie (ITU) tegen Rusland, dat de betrokkenheid ontkent. De sabotagecampagne maakt deel uit van bredere pogingen van Rusland om via satellieten invloed uit te oefenen op Europese mediakanalen.

Bron: 1

De cyberaanvalsgroep Volt Typhoon, een geavanceerde, staatsondersteunde dreiging, is opnieuw actief en richt zich op kritieke infrastructuur. Deze groep maakt gebruik van verouderde netwerksystemen, zoals routers van Cisco en Netgear, die kwetsbaar zijn door oude beveiligingslekken. Volt Typhoon infiltreert deze apparaten en gebruikt ze als knooppunten in hun botnet. Het doel is om gevoelige data te exfiltreren, waarbij de groep gebruik maakt van geavanceerde technieken om zich te verbergen, zodat de activiteit moeilijk te detecteren is.

Deze dreiging is bijzonder zorgwekkend vanwege de veerkracht van Volt Typhoon, die snel nieuwe infrastructuur opzet, zelfs na verstoringen door autoriteiten. Organisaties die kritieke infrastructuur beheren, moeten verouderde systemen snel upgraden, de toeleveringsketen beter beveiligen en proactief dreigingen opsporen om zichzelf te beschermen tegen deze aanhoudende bedreiging.

Bron: 1

De APT41-cybercriminelen hebben hun LightSpy-spionagecampagne uitgebreid met een geavanceerd Windows-gebaseerd framework, genaamd DeepData. Dit nieuwe framework, dat in oktober 2024 werd ontdekt, is ontworpen om de capaciteiten voor surveillance en datadiefstal te verbeteren. Het bevat 12 gespecialiseerde plugins die gericht zijn op communicatieplatformen zoals WhatsApp, Telegram, Signal en zakelijke tools zoals DingDing en Feishu. De plugins kunnen berichten, e-mails, contactlijsten en zelfs audio-opnames van geïnfecteerde apparaten verzamelen.

Daarnaast kan het framework ook wachtwoorden en netwerkgegevens stelen via plugins zoals Pass.dll en SystemInfo.dll. APT41’s nieuwste technieken omvatten een Windows Keylogger en verbeterde beveiligingsmaatregelen om hun operaties te verbergen. De groep richt zich met name op strategisch belangrijke sectoren in Zuid-Azië. Organisaties in deze regio’s worden gewaarschuwd om zich tegen deze geavanceerde dreigingen te wapenen.

Bron: 1

Een recent rapport onthult de complexe structuur van China's cyberoperaties, waarin zowel staatsinstellingen als particuliere bedrijven betrokken zijn. Het rapport, “A Three-Beat Waltz”, benadrukt de rol van drie belangrijke actoren: het Chinese leger (PLA), het Ministerie van Staatsveiligheid (MSS) en het Ministerie van Openbare Veiligheid (MPS). Sinds 2021 is het MSS steeds vaker de leider van cyberoperaties, waarbij de PLA meer ondersteunende taken vervult. Bovendien heeft China het gebruik van "militair-civiele fusie" (MCF) bevorderd, waarbij privébedrijven en hackersgemeenschappen samenwerken met de staat om cyberaanvallen uit te voeren. Deze samenwerking stelt China in staat om zowel de capaciteiten van het leger als de expertise van de civiele sector te benutten. Het rapport waarschuwt ook voor een groeiende "hack-for-hire"-industrie in China, waarbij bedrijven voor de staat hackers inschakelen om cyberaanvallen uit te voeren. Dit maakt het moeilijker om cyberdreigingen aan de staat toe te schrijven.

Bron: 1

Een recent rapport van de Insikt Group onthult hoe de Chinese cyberspionagegroep TAG-112 de Tibetaanse gemeenschap heeft aangevallen via een zogenaamde waterholing-aanval. In mei 2024 werden prominente Tibetaanse websites, zoals Tibet Post en Gyudmed Tantric University, gehackt. De aanvallers voegden kwaadaardige JavaScript-code toe aan de websites die bezoekers misleidde om malware te downloaden, verborgen als een "beveiligingscertificaat". Deze malware, Cobalt Strike, wordt vaak gebruikt door aanvallers om systemen in te breken.

TAG-112 maakte gebruik van een kwetsbaarheid in het contentmanagementsysteem Joomla om de websites te compromitteren. Het gebruikte technieken zoals Cloudflare om zijn sporen te verbergen, wat het moeilijker maakte om de daders te traceren. De aanval maakt deel uit van een bredere strategie van de Chinese overheid, die zich richt op etnische en religieuze minderheden die kritisch zijn over het regime.

Bron: 1

Iranese hackers hebben een nieuwe malware, genaamd WezRat, ingezet in aanvallen op Israëlische organisaties. Deze malware is een remote access trojan (RAT) die in staat is om gegevens te stelen en schadelijke opdrachten uit te voeren. WezRat werd voor het eerst ontdekt in september 2023 en kan screenshots maken, toetsaanslagen loggen, bestanden uploaden en systeeminformatie verzamelen. Het wordt verspreid via phishing-aanvallen, waarbij de aanvallers zich voordoen als de Israëlische Nationale Cyberdirectoraat (INCD). De malware wordt vaak verborgen in vervalste Google Chrome-installatiebestanden, die naast de legitieme browser ook een kwaadaardige executable installeren. De aanvallers gebruiken een command-and-control-server om de malware verder aan te sturen. WezRat is ontwikkeld door de Iranese hacker-groep Cotton Sandstorm, ook wel bekend onder andere namen, en vormt een serieus gevaar voor zowel politieke als economische doelwitten wereldwijd.

Bron: 1

De NSO Group heeft een onbekende kwetsbaarheid in WhatsApp gebruikt om gebruikers met de Pegasus-spyware te infecteren. Dit gebeurde nadat WhatsApp het bedrijf aanklaagde vanwege een andere kwetsbaarheid die al leidde tot besmettingen van 1400 gebruikers, waaronder journalisten en mensenrechtenactivisten. Pegasus kan via microfoon, camera en berichtenapps zoals WhatsApp, Gmail en Telegram communiceren en afluisteren.

NSO Group ontwikkelde verschillende exploits, waaronder 'Heaven', 'Eden' en 'Erised', om Pegasus te verspreiden. De Eden-exploit besmette gebruikers zonder dat zij iets hoefden te doen, wat in 2019 door WhatsApp werd ontdekt. Na de aanklacht door WhatsApp bleef NSO Group de nieuwe exploit Erised aanbieden. De spyware kon daardoor op honderden tot duizenden toestellen worden geïnstalleerd.

Bron: 1

T-Mobile heeft bevestigd dat het onlangs werd gehackt als onderdeel van een grotere golf van cyberaanvallen gericht op telecombedrijven. De aanvallen werden vermoedelijk uitgevoerd door de Chinese groep Salt Typhoon, die zich richt op het stelen van privécommunicatie, oproepgegevens en informatie over wetshandhavingsverzoeken. Hoewel T-Mobile de aanval erkent, meldt het bedrijf dat er geen aanwijzingen zijn dat klantgegevens zijn gecompromitteerd. Het telecombedrijf benadrukt dat hun netwerksystemen goed beveiligd zijn, met strikte controlemaatregelen die grotere schade hebben voorkomen. De hack is de nieuwste in een reeks van soortgelijke aanvallen die telecombedrijven wereldwijd treffen. Het Amerikaanse ministerie van Binnenlandse Veiligheid bevestigde eerder dat de Chinese hackers doelwitten binnen de Amerikaanse overheid en telecomsectoren hebben getroffen, waarbij privécommunicatie van overheidsfunctionarissen werd gestolen. T-Mobile werkt nauw samen met autoriteiten om verdere gevolgen te onderzoeken.

Bron: 1

In de Baltische Zee zijn onderzeese datakabels tussen Finland en Duitsland, evenals tussen Litouwen en Zweden, beschadigd geraakt, vermoedelijk door sabotage. De kabels, die cruciale communicatielijnen vormen, stopten met werken in de vroege ochtend van 18 en 19 november 2024. De Finse telecommaatschappij Cinia meldde dat de kabel tussen Helsinki en Rostock, Duitsland, mogelijk pas na 5 tot 15 dagen gerepareerd kan worden. Deze incidenten volgen een patroon van schade aan belangrijke infrastructuur in de regio, waarvan eerder soortgelijke aanvallen op gaspijpleidingen en communicatienetwerken werden gerapporteerd. Er is groeiende bezorgdheid dat deze schade deel uitmaakt van bredere destabiliseringspogingen, mogelijk gefinancierd door buitenlandse actoren, waaronder Rusland, dat in verband wordt gebracht met eerdere sabotage-activiteiten in de regio. Het is nu van groot belang om te achterhalen wie verantwoordelijk is en hoe deze vitale infrastructuur kan worden beschermd tegen toekomstige aanvallen.

Bron: 1

Noord-Koreaanse hackers, gelinkt aan de groep CL-STA-0237, hebben een geavanceerde phishingcampagne opgezet waarbij ze werkzoekenden wereldwijd targeten. Deze groep gebruikt kwaadaardige video-conferentie-apps, zoals MiroTalk en FreeConference, om malware te verspreiden. De slachtoffers worden verleid om besmette installateurs te downloaden, die vervolgens schadelijke software zoals BeaverTail malware en InvisibleFerret RAT installeren. Deze tools geven de aanvallers volledige toegang tot de systemen van de slachtoffers, wat hen in staat stelt om gegevens te stelen en verder door te dringen in netwerken. De hackers maken gebruik van valse cv's en gestolen identiteiten, vaak van zogenaamd freelance ontwikkelaars, om bedrijven binnen te dringen en externe posities te verkrijgen. De campagne wordt ook gekoppeld aan Noord-Korea’s bredere cyberactiviteiten, die bijdragen aan de financiering van het land’s illegale wapensprogramma's. Organisaties wordt aangeraden om striktere wervingspraktijken toe te passen en de beveiliging van externe diensten te controleren.

Bron: 1

De Britse regering heeft aangekondigd de bestrijding van online 'desinformatie' als een belangrijke prioriteit te beschouwen. Dit besluit komt na een eerdere beslissing om delen van de Online Safety Act te schrappen, die eerder zorgen over vrijheid van meningsuiting opriepen. De nieuwe maatregelen verplichten platforms om transparant te zijn over hun aanpak van desinformatie en misinformatie, en om tools te implementeren om dergelijke content te verminderen. Minister Peter Kyle benadrukt dat desinformatie een bedreiging vormt voor de democratie en sociale samenhang in het VK. De overheid wil dat techbedrijven ingrijpen door interventies die misinformatie zichtbaar maken en de digitale samenleving weerbaarder maken. Ondanks de uitdagingen van het balanceren van vrijheid van meningsuiting, wordt het aanpakken van desinformatie gezien als noodzakelijk om de democratische processen te beschermen.

Bron: 1

Tijdens CYBERWARCON presenteerde Microsoft gedetailleerd onderzoek naar dreigingen van Noord-Koreaanse en Chinese cybercriminelen. Noord-Korea heeft zijn capaciteiten voor cyberaanvallen de afgelopen tien jaar enorm uitgebreid. Via methoden zoals cryptocurrency-diefstal en het inzetten van IT-arbeiders in het buitenland om sancties te omzeilen, genereert het regime miljarden dollars voor zijn wapensystemen. Bekende methoden zijn phishing en het verspreiden van malware via legitiem ogende software.

China richt zich daarentegen vooral op inlichtingenverzameling via een groep die bekend staat als Storm-2077. Deze groep richt zich op overheidsinstanties, defensie-industrieën en andere sectoren wereldwijd. Door middel van phishing en het misbruiken van cloudapplicaties verzamelen ze gevoelige gegevens zoals e-mails en wachtwoorden.

Beide landen maken gebruik van geavanceerde technieken, waaronder AI en supply chain-aanvallen, om hun cyberoperaties te verbeteren. Microsoft waarschuwt organisaties om hun beveiliging te versterken en beter voorbereid te zijn op deze geavanceerde dreigingen.

Bron: 1

Binnenkort verschijnt er een uitgebreid artikel op ccinfo

Een recent onderzoek van BlackBerry onthult een gerichte cyberaanval op de Pakistan Navy, vermoedelijk uitgevoerd door een staatsondersteunde groep. De aanval gebruikte typosquatting, valse e-mails en de geavanceerde malware Sync-Scheduler. Het begon met een misleidende PDF die zogenaamd instructies gaf voor veilige e-mailconfiguratie. Deze PDF bevatte een link naar een nepdomein dat een kwaadaardige Thunderbird-extensie hostte.

De malware Sync-Scheduler was ontworpen om gevoelige documenten zoals .docx- en .pdf-bestanden te stelen. Het programma gebruikte geavanceerde technieken om detectie te voorkomen, zoals dynamische decryptie en het zich voordoen als legitieme processen zoals OneDrive. Hoewel er overlap is met de werkwijze van bekende groepen zoals SideWinder en APT Bitter, kon BlackBerry de aanval niet met zekerheid aan een specifieke actor toeschrijven.

De campagne toont het aanhoudende gevaar van geavanceerde cyberaanvallen en benadrukt het belang van waakzaamheid tegen digitale spionage.

Bron: 1

Een rapport van de Amerikaanse Environmental Protection Agency (EPA) onthult ernstige cyberbeveiligingsrisico's bij drinkwatersystemen. Uit een analyse van 1.062 systemen, die meer dan 193 miljoen mensen bedienen, blijkt dat 97 systemen (voor 26,6 miljoen gebruikers) te maken hebben met kritieke of hoogrisicovulnerabiliteiten. Bovendien vertonen 211 systemen (voor 82,7 miljoen mensen) middelgrote tot lage risico's door open externe poorten.

De risico’s kunnen leiden tot functieverlies, verstoringen van de waterlevering, of zelfs onherstelbare schade aan de infrastructuur. Het economisch effect van een ééndaagse verstoring wordt geschat op $43,5 miljard. Het rapport benadrukt ook tekortkomingen in de coördinatie van incidentmeldingen, waarbij de EPA afhankelijk is van andere instanties zoals CISA.

De EPA krijgt aanbevelingen om een nationale strategie te ontwikkelen en extra bevoegdheden te verkrijgen om de cyberweerbaarheid van drinkwatersystemen te verbeteren. Dit is essentieel om verstoringen te voorkomen en de volksgezondheid te beschermen.

Bron: 1

Chinese Advanced Persistent Threat (APT)-groepen passen hun methoden aan om onder verhoogde internationale waakzaamheid te opereren. Recente rapporten onthullen dat deze groepen vaker gebruikmaken van zero-day-exploits, “living-off-the-land” (LOTL)-technieken en Operationele Relay Box (ORB)-netwerken.

Zero-day-aanvallen richten zich op kwetsbaarheden in randapparaten zoals firewalls en VPN-gateways, vaak minder goed beveiligd. Hierdoor verkrijgen aanvallers snel toegang tot interne netwerken. Door LOTL-technieken in te zetten, gebruiken APT-groepen legitieme tools binnen de doelomgeving om detectie te vermijden, terwijl ORB-netwerken hun locaties verhullen via een infrastructuur van gecompromitteerde apparaten.

De versnelde innovatie van deze tactieken is deels een reactie op verbeterde cyberbeveiligingsmaatregelen wereldwijd. Organisaties worden aangespoord waakzaam te blijven en hun verdedigingsstrategieën aan te passen om deze bedreigingen voor te blijven. Dit benadrukt de noodzaak van proactieve beveiliging tegen de steeds geavanceerdere methoden van cybercriminelen.

Bron: 1

Een Russische hackersgroep, aangeduid als TAG-110, voert een grootschalige cyberespionagecampagne uit tegen doelen in Centraal-Azië, Oost-Azië en Europa. Deze groep gebruikt de op maat gemaakte malwaretools HATVIBE en CHERRYSPY om gevoelige gegevens te verzamelen. HATVIBE fungeert als een loader voor CHERRYSPY, een Python-backdoor die is ontworpen voor datadiefstal en spionage.

Sinds 2023 zijn 62 slachtoffers in elf landen geïdentificeerd, met een sterke focus op Centraal-Aziatische landen zoals Tadzjikistan, Kirgizië en Kazachstan. De aanvallen richten zich op overheidsinstanties, mensenrechtenorganisaties en wetenschappelijke instellingen. De toegang tot systemen wordt vaak verkregen via kwetsbaarheden in openbare webapplicaties en phishingmails.

Deze cyberoperaties lijken onderdeel van een bredere Russische strategie om geopolitieke informatie te verzamelen en invloed te behouden in post-Sovjetlanden. Ook wordt sabotage van kritieke infrastructuur in Europa ingezet om NAVO-landen te destabiliseren en hun steun voor Oekraïne te verzwakken.

Bron: 1

De Zuid-Koreaanse regering heeft voor het eerst officieel bevestigd dat Noord-Korea betrokken is bij een grote cryptohack. In 2019 stal de Noord-Koreaanse hackersgroep Lazarus, ondersteund door de overheid van Pyongyang, maar liefst 39,4 miljoen euro aan cryptocurrency van de cryptobeurs Upbit. Hierbij werden 342.000 ethereum tokens buitgemaakt. De Zuid-Koreaanse politie achterhaalde de betrokkenheid van Noord-Korea door het traceren van IP-adressen en de routes van de gestolen cryptocurrencies.

Van de gestolen ethereum werd 57 procent verkocht tegen een gereduceerde prijs in ruil voor bitcoin, via vermoedelijk door Noord-Korea gecontroleerde beurzen. De rest werd witgewassen via buitenlandse cryptobeurzen. Een deel van de gestolen cryptovaluta werd in 2020 teruggevonden op een Zwitserse cryptobeurs en later teruggegeven aan Upbit. Details over de gebruikte hackmethodes zijn niet vrijgegeven om toekomstige aanvallen te voorkomen.

Bron: 1

Een Russische hackersgroep, bekend als APT28, heeft een Amerikaanse organisatie gehackt door gebruik te maken van een innovatieve techniek genaamd de "nearest neighbor attack". Deze aanval maakt het mogelijk om WiFi-netwerken te misbruiken zonder fysiek dichtbij te zijn. De hackers verkregen eerst toegang tot een organisatie in de buurt van het doelwit. Via een gecompromitteerd apparaat met zowel een bekabelde als draadloze verbinding konden ze verbinding maken met het WiFi-netwerk van het doelwit.

De aanval werd ontdekt door cybersecuritybedrijf Volexity en bleek gericht op een organisatie die werkte aan projecten gerelateerd aan Oekraïne. Ondanks beveiligingsmaatregelen zoals multi-factor authenticatie (MFA), omzeilden de hackers deze door creatief gebruik van nabijgelegen netwerken. Dit benadrukt de noodzaak om bedrijfs-WiFi-netwerken net zo goed te beveiligen als andere toegangspunten.

Deze aanval toont aan hoe geavanceerde technieken de fysieke afstand tot doelwitten irrelevant maken, wat nieuwe uitdagingen creëert voor cybersecurity.

Bron: 1

Binnenkort meer hierover op ccinfo

Een promotieplatform, gs-jj.com, heeft maandenlang e-mailadressen van meer dan 300.000 klanten blootgesteld. Opvallend is dat dit ook 2.500 e-mails omvat van officiële Amerikaanse .mil- en .gov-domeinen, wat wijst op mogelijke risico’s voor de operationele veiligheid (OPSEC). Het platform, dat vermoedelijk vanuit China opereert, biedt relatiegeschenken aan en heeft data gelekt door gebrekkige beveiligingsmaatregelen.

De betrokken data kan in verkeerde handen gevoelige informatie onthullen, vooral omdat overheidsinstanties erbij betrokken zijn. De combinatie van militaire en overheidsdomeinen met een buitenlandse leverancier roept vragen op over het beheer van gegevens en cybersecurity binnen dergelijke organisaties.

Dit incident benadrukt opnieuw de risico’s van samenwerking met externe leveranciers zonder gedegen beveiligingseisen. Het is cruciaal voor organisaties, zeker die in de publieke sector, om prioriteit te geven aan cybersecurity en leveranciersonderzoek.

Bron: 1

Onderzeese kabels, cruciaal voor wereldwijde internetverbindingen, worden jaarlijks 100 tot 150 keer beschadigd door incidenten. Deze schade varieert van natuurlijke oorzaken, zoals aardbevingen, tot menselijke activiteiten, waaronder visserij, ankerincidenten en mogelijk opzettelijke sabotage. Deze kabels vormen de ruggengraat van de digitale communicatie en hun beschadiging kan verstrekkende gevolgen hebben, van internetuitval tot nationale veiligheidsrisico’s.

Experts waarschuwen dat geopolitieke spanningen het risico op gerichte aanvallen verhogen. Door sabotage aan onderzeese kabels kunnen landen hun rivalen treffen zonder directe militaire confrontatie. Herstelwerkzaamheden zijn tijdrovend en kostbaar, wat het belang onderstreept van robuustere beveiligingsmaatregelen en internationale samenwerking.

Het artikel benadrukt ook de kwetsbaarheid van deze kritieke infrastructuur en het belang van bewustwording. Innovaties en samenwerking zijn nodig om toekomstige incidenten te voorkomen en de impact van storingen te minimaliseren.

Bron: 1

In augustus 2024 voerde de cyberespionagegroep APT-C-60 een aanval uit op een organisatie in Japan, waarbij gebruik werd gemaakt van phishing om SpyGlace-malware te verspreiden. De hackers gebruikten legitieme diensten zoals Google Drive, StatCounter en Bitbucket om hun kwaadaardige payloads te verspreiden. De aanval begon met een e-mail die zich voordeed als een sollicitatie, die een schadelijke link naar een bestand op Google Drive bevatte. Dit bestand leidde naar een reeks kwaadaardige stappen, waaronder het gebruik van een Windows-snelkoppeling om de infectie te activeren. Uiteindelijk werd de SpyGlace-backdoor geïnstalleerd, waarmee de aanvallers toegang kregen tot het systeem van het slachtoffer. De malware stelt de aanvallers in staat om bestanden te stelen en extra commando’s uit te voeren. Deze geavanceerde aanvalstechnieken benadrukken de complexiteit van moderne cyberdreigingen.

Bron: 1

Een Chinese hacker-groep, bekend als "Salt Typhoon", heeft geprobeerd toegang te krijgen tot het netwerk van T-Mobile door de routers van het bedrijf te compromitteren. Het doel was om laterale bewegingen binnen het netwerk te onderzoeken, wat typisch is voor de verkenningsfase van cyberaanvallen. T-Mobile ontdekte de inbraak dankzij verdachte activiteit en proactieve netwerkmonitoring, waardoor ze het aanvallende team konden blokkeren voordat ze verder konden doordringen of klantgegevens konden stelen. De hackers hadden echter geen toegang tot gevoelige klantinformatie, zoals telefoongesprekken, sms-berichten of voicemails. T-Mobile ondernam snel actie door de verbinding met het betrokken netwerk van een externe leverancier te verbreken. De aanval wordt toegeschreven aan een groepering die sinds 2019 actief is en vaak gericht is op overheidsinstanties en telecombedrijven in Zuidoost-Azië. T-Mobile heeft de bevindingen gedeeld met de overheid en industriële partners.

Bron: 1

Een Moskouse organisatie, die eerder dit jaar door de VS werd gesanctioneerd, is betrokken bij een invloedscampagne die sinds december 2023 gericht is op het ondermijnen van de Westerse steun voor Oekraïne. De Social Design Agency (SDA) maakt gebruik van AI-verbeterde video's en vervalste websites die gerenommeerde nieuwsbronnen nabootsen om het publiek in Oekraïne, Europa en de VS te beïnvloeden. De campagne, genaamd Operation Undercut, beoogt de Oekraïense leiderschap in diskrediet te brengen, de effectiviteit van Westerse hulp in twijfel te trekken en verdeeldheid te zaaien over geopolitieke kwesties, waaronder de situatie in Israël en Gaza. Ook de Amerikaanse verkiezingen van 2024 worden beïnvloed. De campagne maakt gebruik van social media, hashtags en andere middelen om de boodschap verder te verspreiden, wat de stabiliteit van Westerse allianties kan ondermijnen.

Bron: 1

De Iraanse hackersgroep APT35, ook wel bekend als Charming Kitten of Magic Hound, heeft zijn activiteiten gericht op meerdere landen, waaronder de VS, Thailand en de VAE. De groep, gelinkt aan de Iraanse Revolutionaire Garde, valt sinds 2014 doelwitten aan met geavanceerde technieken. Recent richtten ze zich op de luchtvaart- en halfgeleidersector via onder andere een valse wervingssite die hoogbetaalde banen adverteerde.

Hun aanpak omvatte het combineren van legitieme software met kwaadaardige modules, zoals malware die stilletjes aanvullende schadelijke programma’s laadt. APT35 gebruikte bekende platforms zoals OneDrive en GitHub voor communicatie met command-and-control-servers, wat hun operaties betrouwbaarder maakt. Ook richtten ze zich op semiconductorbedrijven met malafide VPN-programma’s die extra malware konden downloaden.

De acties van APT35 benadrukken het belang van waakzaamheid, vooral in sectoren die gevoelige technologieën beheren.

Bron: 1