Interview SecureWorks: Rusland zet hackersgroep Iron Twilight op grote schaal in

Eind maart kwam beveiligingsbedrijf SecureWorks met een rapport naar buiten waarin ze de Russische hackersgroep Iron Twilight hebben geanalyseerd. Deze hackersgroep is al door meerdere beveiligingsbedrijven onderzocht en keer op keer gelieerd aan de Russiche overheid. Uit het rapport van SecureWorks blijkt dat Rusland de hackers te pas en te onpas inzet om waardevolle informatie buit te maken. Wij hebben Tom Finney van SecureWorks eens aan de tand gevoeld, al was het maar om te achterhalen hoe zeker hij en zijn bedrijf zijn van hun bevindingen.

De hackersgroep Iron Twilight gaat zeer geraffineerd te werk en maakt daarbij voornamelijk gebruik van spearphishing. De slachtoffers zijn niet willekeurige personen, maar specifiek uitgezocht omdat ze een bepaalde rol of functie hebben. Zo richt de hackersgroep zich voornamelijk op journalisten die zich bezighouden met voormalige Sovjet-landen, waarbij Oekraïne en Georgië er duidelijk bovenuit springen. Ook richt de hackersgroep zich op politici en politieke organisaties. Het speelde een rol in de Amerikaanse verkiezingen, maar ook in het onderzoek naar het neerhalen van vlucht MH17.

Het doel van deze hacks is om gevoelige informatie in handen te krijgen die dan gebruikt kan worden in Russisch voordeel. Iron Twilight is de afgelopen jaren al meerdere malen in het nieuws gekomen, maar steeds onder andere namen. Nu is duidelijk dat APT28, Pawn Storm, Scofacy, Tsar Team, Strontium en Fancy Bear, allemaal onderdeel of andere namen zijn van Iron Twilight.

Tijdens ons interview met Tom Finney van Secureworks, kon hij niet met 100 procent zekerheid zeggen dat de Russische hackersgroep achter de aanvallen zit. Dat heeft voor een belangrijk deel te maken met de structuur van het internet en de vele manieren waarop je je identiteit kan verbergen. Hierdoor zal het nooit mogelijk zijn om 100 procent zeker te zijn in dit soort gevallen. In een rechtbank zou het waarschijnlijk ook geen standhouden, maar als je alle bewijzen naast elkaar legt, dan is er volgens Finney maar één logisch antwoord.

Het doel van Iron Twilight was in het beginsel om militaire inlichtingen te verzamelen maar de hackersgroep werd daarna veel vaker ingezet als politiek middel. De hackersgroep gebruikt zoals eerder vermeld spearphishing. Daarbij werden er e-mails verstuurd die niet van echt zijn te onderscheiden, waarin werd gewerkt met de urlverkortingsdienst bit.ly. Deze bit.ly url’s zorgden ervoor dat mensen een Gmail-login pagina te zien krijgen waarbij hun e-mailadres al is ingevuld en hun vaste foto wordt getoond. Hierdoor lijkt de website betrouwbaarder en wordt de url minder snel gecontroleerd, want die komt in dit geval niet overeen met Google.com. Zodra een gebruiker inlogt met zijn wachtwoord, beschikken de hackers over de logingegevens van het slachtoffer.

SecureWorks slaagde erin om te achterhalen welke gebruikersaccount de hackersgroep gebruikte om deze Bit.ly urls aan te maken. Hierdoor kon het via de API van Bit.ly elke dag opvragen welke urls er recent waren aangemaakt en kon het inzichtelijk maken op wie de hackersgroep het had gemunt. Gedurende een lange periode kon SecureWorks zien wat de doelwitten waren van de hackersgroep, hieruit kon het afleiden dat men zeer geraffineerd te werk ging. De ene dag werden er leden van de Democratische Partij in de Verenigde Staten aangevallen, terwijl de dag erna de lijst bestond uit militaire attachees in Europa, personen die werkzaam zijn voor de NAVO, journalisten die verslag doen van Oost-Europa, onderzoekers van de MH17-aanslag of doelwitten in Zuid-Azië. Het waren duidelijk lijsten met personen die vooraf nauwkeurig waren samengesteld.

SecureWorks heeft zelfs een aanval terug kunnen herleiden naar vrouwen die getrouwd zijn met mannen die dienen voor het Amerikaanse leger. Doordat deze mannen makkelijker met hun vrouw communiceren kan in sommige gevallen waardevolle missie-informatie worden buitgemaakt. Bijvoorbeeld de locatie waar de man zich op dat moment bevindt als hij is uitgezonden.

De hackersgroep heeft verder onder meer een Frans televisiestation platgelegd en een Engels televisiestation volledig geïnfiltreerd, zonder tot actie over te gaan overigens. Ook is de Democratische Partij gehackt en zijn er documenten uitgelekt die de Amerikaanse verkiezingen moesten beïnvloeden. Uiteindelijk hebben de Republikeinen die verkiezingen gewonnen. Of de hacks en het uitlekken van de documenten daarin een doorslaggevende rol hebben gespeeld, is niet aan te tonen.

Wat voor de Nederlandse lezer interessanter is, is dat zowel de Dutch Safety Board als Bellingcat zijn aangevallen door de Russen. De Dutch Safety Board is de organisatie die onderzoek doet naar de MH17-aanslag, waarvan de onderste steen nog steeds niet boven is. Bellingcat is een groep burgerjournalisten die bewijzen hebben verzameld rond het neerhalen van MH17 met een BUK-raket.

Voorafgaand aan de Olympische Spelen in Rio werd door het WADA (Wereld Anti-Doping Agency) bekendgemaakt dat de Russische overheid een dopingprogramma had opgesteld voor de eigen atleten, zodat deze optimaal konden presteren op de Olympische Spelen. Het gevolg was dat Rusland werd uitgesloten van deelname aan de spelen en alle Russische sporters niet welkom waren. Kort daarna maakte het WADA en het Court of Arbitration in Sport (CTU) bekend te zijn gehackt. Deze hackers werden door beveiligingsexperts al snel gelinkt aan Iron Twilight. Daarna verschenen er in september 2016 ook ineens medische gegevens van Westerse sporters online die doping gebruikt zouden hebben. Deze documenten waren buitgemaakt op de hacks op het WADA.

De bewijzen

Tom Finney van SecureWorks liet in het interview weten dat verschillende zaken er keer op keer voor zorgden dat Iron Twilight kon worden verbonden aan deze hacks. Om te beginnen het gebruik van de Bit.ly urls die steeds door dezelfde gebruikersaccount werden aangemaakt, om deze vervolgens te gebruiken in de gerichte e-mails om de slachtoffers te laten inloggen op valse inlogpagina’s. De command en control servers die voor de malware werden gebruikt waren vaak hetzelfde, ook de domeinnamen die door de hackersgroep worden ingezet, werden meer dan eens gebruikt, waardoor verschillende aanvallen aan de hackersgroep waren te linken. In de broncode van de gebruikte malware is verder Russische tekst gevonden en zijn er documenten ontwikkeld in de tijdzone van Moskou. Ook werd er gebruikgemaakt van geavanceerde malware die nog niet eerder was gezien, waardoor deze ook niet is opgemerkt door beveiligingssoftware.

Het ene bewijs is sterker dan het andere zegt Finney. Wat duidelijk is, is dat het om één en dezelfde hackersgroep gaat en als je dan alle doelwitten naast elkaar zet, dan is er eigenlijk geen twijfel meer. De Amerikaanse verkiezingen zijn natuurlijk voor meer partijen interessant, dat zouden ook bijvoorbeeld de Chinezen of misschien wel de Noord-Koreanen kunnen zijn, maar doordat het steeds dezelfde hackersgroep is, kan je zaken uitsluiten. De Chinezen en Noord-Koreanen hebben weinig op met Oekraïne of Georgië. Of wat te denken van MH17 of de Russische sporters. Dat is voor hen veel minder belangrijk, voor de Russen daarentegen zijn het allemaal zaken die er toe doen.

Rusland is niet de enige

De Russen gebruiken hun hackersteam dus volgens Finney zeer regelmatig om inlichtingen te verzamelen en om eventueel gegevens uit te laten lekken, wanneer ze denken dat het in hun voordeel is. Maar hoe zit het met de andere landen, de Russen zijn ongetwijfeld niet de enige die hacken.

Finney zegt hierover dat elke overheid die zich maar een beetje bezighoudt met cyberintelligence wel hackers in dienst heeft die inlichtingen verzamelen. Veel landen kiezen er echter voor om het op een veel kleinere schaal toe te passen, waardoor de kans dat een beveiligingsbedrijf erachter komt of het hackersteam op het spoor komt een stuk kleiner is. In juni 2010 werd echter ook Stuxnet ontdekt, malware die was ontwikkeld om de centrifuges in een Iraanse kerncentrale om zeep te helpen. Daarin zou het ook zijn geslaagd en hierdoor liep het Iraanse kernprogramma jaren vertraging op. Deze malware was ook zeer geavanceerd en nooit eerder aangetroffen. Wie deze malware uiteindelijk heeft ontwikkeld is nooit duidelijk geworden, al wordt er afwisselend naar Israël en de Verenigde Staten gewezen. Volgens de New York Times zou president Obama in 2010 de opdracht hebben gegeven om Stuxnet daadwerkelijk in te zetten.

Cyberoorlog heeft een toekomst

Tot op heden lijkt het erop dat we kunnen stellen dat veel van deze politiek gemotiveerde hacks geen mensenlevens hebben gekost, al is dat natuurlijk niet met zekerheid te stellen. Op zich is dat ook niet het doel van deze hacks. Het is echter wel iets wat in de toekomst ongetwijfeld nog gaat gebeuren. Dat er in de toekomst een cyberoorlog gaat plaatsvinden die mogelijk meer slachtoffers gaat eisen lijkt onoverkomelijk. De hackactiviteiten van veel landen zijn de afgelopen jaren fors opgevoerd. Nu verschillende beveiligingsbedrijven, waaronder SecureWorks, dit Russische elite hackersteam hebben blootgesteld, gaan de Russen ongetwijfeld hun procedures en methodes herzien, om weer onzichtbaar te werk te kunnen gaan.

Ook door andere landen zullen de Russische methoden worden bestudeerd, om niet dezelfde fouten te maken. Het enige wat wij als gebruikers kunnen doen, is investeren in betere beveiliging. Goede beveiligingssoftware en goede routers met dito firewalls. Het wachten is tot de Next Gen-firewall ook voor consumenten beschikbaar komt. Voor beveiligingsbedrijven is er de komende jaren in ieder geval nog genoeg werk.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home