Op 21 november jl. vond Cyberwarcon plaats in het Amerikaanse Arlington, de jaarlijkse conferentie over de kwaadaardige invloed die cybercriminelen hebben op de maatschappij. Tijdens het evenement presenteerden een aantal experts de bevindingen van hun onderzoek naar zogenoemde overheidsactoren: hackersgroepen die werken voor, of gelieerd zijn aan overheden.
Bekende advanced persistent threat (APT)-groepen uit Rusland en China staan de laatste tijd flink in de schijnwerpers. Zij zijn echter niet de enige overheidsactoren die steeds vaker wereldwijde cyberaanvallen uitvoeren. Tijdens Cyberwarcon kwamen de nieuwste strategieën en ontwikkelingen van overheidsactoren in Iran, Saudi-Arabië en Noord-Korea aan de orde.
Overheidsactoren in Iran worden sterker
Iran voert het tempo van zijn verwoestende cyberoorlogen op, vertelt Saher Naumaan, dreigingsanalist bij BAE Systems Applied Intelligence. “Het doet dit met een hackersgroep, APT33 genaamd, die bestaat uit de meest bedreven overheidsactoren.”
APT33 bestaat al sinds 2014 en verwierf vooral bekendheid met Shamoon, malware die gegevens vernietigt. “In 2012 werden hiermee ten minste 30.000 computers gewist bij Aramco, de staatsoliemaatschappij van Saudi-Arabië”, zegt Naumaan. “Sindsdien verdenken we deze overheidsactoren ook van betrokkenheid bij campagnes tegen industriële partijen in het Midden Oosten en Europa.”
Hoewel APT33 al organisaties aanviel in de luchtvaart, defensie en nutsvoorzieningen, richtte de overheidsactoren zich daarbij tot nog toe voornamelijk op de eigen regio, zoals bedrijven in Saudi-Arabië. “In 2019 voerde de hackersgroep echter een doelgerichte campagne uit op basis van een set domeinen en IP-adressen die specifiek gebruikt werden voor politieke doelwitten in de VS”, aldus Naumaan.
Volgens Naumaan is interessant dat APT33 de timing van zijn activiteiten afstemt op geopolitieke incidenten in de Golf van Oman. “Zo lanceerden de overheidsactoren in mei en juni van dit jaar een reeks spear-phishing campagnes die aansloten op de nasleep van aanvallen op olietankers in de Golf.”
Daarnaast wordt APT33 volgens Naumaan steeds machtiger dankzij een aantal hervormingen bij de Iraanse inlichtingendienst. “Dat is een gevolg van de verhoogde druk die de VS uitoefenen op Iran. Door de reorganisatie steeg de Iraanse Revolutionaire Garde in rang en prestige, en kwam onder het toezicht van meer oorlogszuchtige functionarissen. Deze nieuwe autoriteiten steunen de overheidsactoren van APT33 met macht en middelen. Zij durven daardoor meer dan voorheen.” Daarnaast wijst Naumaan erop dat APT33 de komende maanden mogelijk samenwerking zoekt en aangaat met Chinese investeerders en Russische overheidsactoren.
Ned Moran, principal program manager bij het Microsoft Threat Intelligence Center, deelde op Cyberwarcon enkele inzichten die zijn bedrijf verkreeg over APT33. “Een belangrijke bevinding is dat de overheidsactoren graag ‘password spray’-aanvallen uitvoeren. Dat betekent dat zij in proberen te breken in online accounts door gebruikersnamen te combineren met een aantal veelgebruikte wachtwoorden.”
Volgens Moran is het belangrijk om niet mee te gaan in de heersende gedachte dat APT33 maar een “onbekwaam groepje overheidsactoren” is. “Ze maken veel herrie en lopen in het zicht. Hun spear-phishes zijn bovendien relatief eenvoudig af te weren. Uit ons onderzoek blijkt echter dat zij juist zeer geavanceerd te werk gaan en veel aandacht besteden aan operationele beveiliging. Ze geven er misschien helemaal niks om dat hun phishingaanvallen ontdekt worden. Dat kan zelfs een bewuste keuze zijn, want voor hen is het veel belangrijker dat de wereld weet dat Iran achter deze aanvallen zit.”
Overheidsactoren in Saudi-Arabië beïnvloeden sociale media met bots
Nathan Patin, een onafhankelijke onderzoeker en privédetective bij Bellingcat, deelde op Cyberwarcon zijn onderzoek naar Saud al-Qahtani. Dit was een hooggeplaatste adviseur van de kroonprins van Saudi-Arabië, Mohammed bin Salman. “Al Qahtani gaf leiding aan overheidsactoren die sociale mediagebruikers beïnvloeden en surveilleren”, zegt Patin. “Door zijn veelvuldige gebruik van bots, ook wel ‘vliegen’ genoemd, verdiende hij al snel de bijnaam “Lord of the Flies”. Met deze bots wilde hij de verhaalstructuur op Twitter sturen, en dan vooral op het Arabischtalige Twitter.”
Patin volgde de activiteiten van al-Qahtani online. “We ontdekten dat hij surveillance-tools probeerde te kopen van Hacking Team, de controversiële leverancier van spyware. Daarnaast vonden we berichten die hij jarenlang plaatste op de populaire hackerwebsite Hack Forums. Daaruit konden we precies zijn welke methoden zijn overheidsactoren toepasten voor inbraak en spionage. Op Hack Forums zocht al-Qahtani zelfs de hulp van hackers, bijvoorbeeld bij het installeren van Trojans.”
Al-Qahtani beschikte volgens Patin over een omvangrijke hackersgroep om sociale media te beïnvloeden. “Hij stuurde honderden overheidsactoren aan die onder meer 525 accounts op YouTube beheerden en troll farms bemanden. Deze groep wilde ook specifieke Twitter-accounts van Saudische gebruikers kunnen bevriezen of verbannen. Op Hack Forums kreeg Al-Qahtani echter te horen dat dit alleen mogelijk was als hij interne toegang had tot Twitter. Het is dan ook niet verrassend dat het Amerikaanse Ministerie van Justitie vorige maand een aanklacht indiende tegen een Saudische werknemer van Twitter wegens spionage. Die man is inmiddels is teruggekeerd naar Saudi-Arabië.
Ondanks zijn hoge positie binnen het koningshuis was het met de operationele beveiliging van al-Qahtani verschrikkelijk gesteld, weet Patin. “Hij gaf zelf toe dat ten minste drie keer berichten op Hack Forums plaatste terwijl hij dronken was. Dat is een opvallende bekentenis in een land waar alcohol verboden is. Nagenoeg domeinen die al-Qahtani sinds 2009 persoonlijk registreerde bevatten persoonlijk identificeerbare gegevens zoals zijn volledige naam, e-mailadres en telefoonnummer.”
Het gerucht gaat dat al-Qahtani, die ook gezien wordt als het meesterbrein achter de moord op de Saudisch-Amerikaanse journalist Jamal Khashoggi, door het regime om het leven werd gebracht. Dit is echter niet bevestigd en andere bronnen lijken dat zelfs overtuigend tegen te spreken.
Overheidsactoren in Rusland richten zich op fysieke ontregeling
Zoals gezegd staat Rusland bekend om de inzet van overheidsactoren die de politieke en economische balans in de wereld willen ontwrichten. Een van meest opmerkelijke nieuwe spelers is de Wagner Groep. Volgens Renee Diresta, technical research manager bij het Stanford Internet Observatory gaat het om een paramilitaire organisatie die zich voornamelijk richt op fysieke operaties. “De Wagner Groep werkt samen met de GROe, de Russische militaire inlichtingendienst. Daarnaast zijn zij gelieerd aan het Internet Research Agency, dat overheidsactoren inzet om sociale mediagebruikers te beïnvloeding en propaganda te verspreiden. Deze samenwerkingen draaien om het bevorderen van de geopolitieke en andere belangen van de Russische staat.”
De Wagner Groep verwierf bekendheid met het uitvoeren van een grote campagne rondom de verkiezingen in Libië. “Inmiddels gaan deze overheidsactoren echter veel verder dan een ‘marketingbureau voor sociale media’”, zegt Diresta. “Wat ze nu doen is eigenlijk nog veel verwerpelijker. Zodra ze eenmaal een online community zijn binnengedrongen, moedigen zij mensen aan om de straat op te gaan en te demonstreren tegen hun eigen overheid.”
Overheidsactoren in Noord-Korea richten zich op militaire en commerciële doelen
Noord-Korea is nog zo’n grootmacht op het gebied van APT. Het land beschikt over verschillende groepen met overheidsactoren die elk op hun eigen wijze cyberactiviteiten uitvoeren, zegt Katie Blankenship, Senior Analyst van Crowdstrike. Deze zogenoemde Chollima-groepen zijn bijvoorbeeld Silent Chollima, Velvet Chollima, Ricochet Chollima, Stardust Chollima en Lab Chollima.
“In 2015 begonnen de Chollima-groepen allemaal hun vaardigheden uit te breiden”, zegt Blankenship. “Rond 2017 raakte dat in een stroomversnelling omdat de Noord-Koreaanse leider Kim Jong Un het inlichtingenbeleid veranderde. Hij breidde daarmee de focus van uitsluitende militaire doelen uit met economische doelen. De aanvallen zijn nog altijd voornamelijk gericht op het favoriete doelwit: Zuid-Korea. We zien echter dat de overheidsactoren van Noord-Korea wereldwijd actief zijn. Dat gaat al lang niet meer alleen over spionage, zij voeren ook criminele en verwoestende campagnes uit.”
Noord-Korea is bijvoorbeeld een beruchte speler op het veld van financiële criminaliteit. “De overheidsactoren worden gelinkt aan een aantal grootschalige digitale bankroven en diefstal van cryptovaluta”, weet Blankship. “De Chollima-groepen vormen zelfs een ‘nieuwe weg’ naar valutadiefstal die ook open staat voor derden. Ze werden, in de woorden van Kim Jong Un, ‘een multifunctioneel zwaard’ in de strijd om de belangen van Noord-Korea te verdedigen.”
De grootschalige financiële criminaliteit heeft waarschijnlijk tot doel om de staatskas te vullen. “We ontdekten echter dat de overheidsactoren zich niet tot grootschalige valutadiefstallen beperken”, zegt Blankenship. “We zien nu ook financiële criminaliteit op kleinere schaal binnen elk van de Chollima-groepen. Mogelijk willen de overheidsactoren daarmee hun eigen broek op houden.”
Bron: CSOonline