Cybercrime14.01.2013

Cyberspionage-campagne ontdekt die al sinds 2007 actief is


Kaspersky Lab publiceerde eerder vandaag een nieuw onderzoeksrapport waarin ze een cyberspionage-campagne identificeren, die de afgelopen 5 jaar ongrijpbaar is gebleken, en die gericht is op diplomatieke, overheids- en wetenschappelijke onderzoeksorganisaties uit verschillende landen.

De primaire focus van deze campagne is gericht op landen in Oost-Europa, de voormalige Sovjet-republieken en landen in Centraal-Azië. Slachtoffers zijn echter overal te vinden, inclusief ook West-Europa en Noord-Amerika. De belangrijkste doelstelling van de aanvallers was het verzamelen van gevoelige documenten van de getroffen organisaties. Hiertoe behoorden geopolitieke informatie en toegangsgegevens tot beveiligde computersystemen, persoonlijke mobiele apparaten en netwerkapparatuur.

De security Experts van Kaspersky Lab startten in oktober 2012 een onderzoek naar aanleiding van een reeks aanvallen op computernetwerken, gericht op internationale diplomatieke diensten. Tijdens dat onderzoek werd een grootschalig cyberspionagenetwerk blootgelegd en geanalyseerd. Operatie ‘Red October’ is nu nog altijd actief en het is een campagne die teruggaat tot 2007.

cyberspionage-campagne-ontdekt-die-al-si.jpg
cyberspionage-campagne-ontdekt-die-al-si.jpg

Onderzoeksuitkomsten

– De aanvallers zijn minstens sinds 2007 actief en richtten zich op diplomatieke en overheidsinstanties, onderzoeksinstellingen, energie- en nucleaire groepen, handels- en ruimtevaartdoelen van verschillende landen over de hele wereld.  De Red October-aanvallers ontwierpen hun eigen malware, geïdentificeerd als “Rocra”, met een eigen unieke modulaire architectuur bestaande uit kwaadaardige extensies, informatie stelende modules en backdoor Trojans.

– De aanvallers maakten vaak gebruik van uit besmette netwerken verkregen informatie als methode om toegang te krijgen tot aanvullende systemen. Zo werden gestolen identificatiegegevens gebundeld in een lijst en gebruikt wanneer de aanvallers wachtwoorden of zinnen moesten raden om toegang te krijgen tot additionele systemen.

– Om het netwerk van geïnfecteerde computers aan te sturen, creëerden de aanvallers meer dan 60 domeinnamen en diverse server hostlocaties in verschillende landen, waarvan het merendeel in Duitsland en Rusland. Kaspersky Lab’s analyse van Rocra’s Command & Control (C2)-infrastructuur toont aan dat de keten van servers in feite dienst deed als proxies, om de locatie van de control server van het ‘moederschip’ te verbergen.

– De informatie gestolen van geïnfecteerde systemen omvat documenten met extensies: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr en acidssa. De “acid*”-extensies in het bijzonder lijken te verwijzen naar de geheime “Acid Cryptofiler”-software die door verschillende instanties wordt gebruikt, van de Europese Unie tot de NAVO.

Slachtoffers

Om systemen te infecteren stuurden de aanvallers een doelgerichte spear-phishing e-mail naar hun slachtoffers, met daarin een aangepaste Trojan dropper. Om de malware te installeren en het systeem te infecteren, bevatte die schadelijke e-mail exploits die speciaal waren gemanipuleerd om beveiligingslekken in Microsoft Office en Microsoft Excel te benutten. De exploits van de in de spear-phishing e-mails gebruikte documenten werden door andere aanvallers gecreëerd en ingezet tijdens verschillende cyberaanvallen, onder andere tegen Tibetaanse activisten, alsmede tegen militaire en energiesector doelwitten in Azië. Het enige wat in het door Rocra gebruikte document werd veranderd was de ingebouwde executable, die door de aanvallers werd vervangen door een eigen code.

Een van de opdrachten in de Trojaanse dropper verandert de codetabel van de opdrachtprompt-sessie naar 1251, wat nodig is om Cyrillische fonts te renderen.

...

Verder lezen over Kaspersky Lab

Eenvoudige tips voor meer privacy tijdens het reizen met openbaar vervoer

Cybercrime16.09.2024

Eenvoudige tips voor meer privacy tijdens het reizen met openbaar vervoer

zorgen om privacy tijdens woon-werkverkeer
World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Wachtwoorden vormen de basis van ons digitale leven, maar ze dienen ook als toegangspoort voor cybercriminelen om in te breken in gevoelige persoonlijke informatie.

Cybercrime02.05.2024

World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Meer dan 1 op de 10 mensen deelt digitale, intieme content

Hoewel veel mensen wel weten dat er risico's aan vastkleven, blijken 1 op de tien mensen wel gevoelige, intieme digitale beelden te delen.

Cybercrime23.04.2024

Meer dan 1 op de 10 mensen deelt digitale, intieme content

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

Flinke toename in cyberaanvallen gericht op gamers

Cyberaanvallen zijn dagelijkse kost geworden. Voor de criminelen die erachter zitten is het gewoon een lucratieve business. En zolang bedrijven blijven betalen, zoals recent de KNVB nog, blijft dt onverminderd doorgaan....

Cybercrime09.11.2023

Flinke toename in cyberaanvallen gericht op gamers

Ook hackers volgen alle trends: Cryptocurrency phishing groeit met 40%

De anti-phishing systemen van Kaspersky hebben in 2022 5 miljoen cryptocurrency-gerelateerde phishing-aanvallen voorkomen. Dit is een stijging van 40 procent ten opzichte van het jaar ervoor. Omgekeerd was er een afname...

Cybercrime12.04.2023

Ook hackers volgen alle trends: Cryptocurrency phishing groeit met 40%

Digitaal geweld via stalkerware toont weinig tekenen van afname

In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), zo blijkt het meest recente Sta...

Cybercrime10.03.2023

Digitaal geweld via stalkerware toont weinig tekenen van afname

Ook cybercriminelen haken in op The Last of Us

De langverwachte serie “The Last of Us”, gebaseerd op de gelijknamige PlayStation-game, wordt nu uitgezonden in Nederland en is naar verluidt een van de meest succesvolle shows van HBO van het afgelopen decennium. Zo...

Cybercrime27.01.2023

Ook cybercriminelen haken in op The Last of Us

The Last of ... scams