Microsoft claimt dat het Seaborgium, een Russisch hackplatform gelinkt aan het Kremlin, een stevige hak heeft gezet. De phishingbende zou vleugellam zijn gemaakt.
Seaborgium staat al sinds 2017 op de radar van het Microsoft Threat Intelligence Center (MSTIC). Volgens Microsoft is het hackersoffensief gebaseerd in Rusland en heeft het stevige banden met de Russische overheid. Seaborgium voert hardnekkige phishingcampagnes via hacking en social engineering met als doelen het stelen van login-gegevens en persoonlijke data. MSTIC geeft aan dat de gestolen informatie ogenschijnlijk diende voor spionagedoeleinden en informatie-operaties.
Microsoft werkte samen met Google Threat Analysis Group (TAG) en The Proofpoint Threat Research Team om Seaborgium aan te pakken. De hackers viseerden diensten van Microsoft, hoofdzakelijk via OneDrive. Via de samenwerkingen en door de inspanningen van de eigen diensten slaagde Microsoft er enerzijds in om de acties van Seaborgium te detecteren. Anderzijds kon Microsoft zelf de nodige maatregelen nemen zoals het blokkeren van hackeraccounts.
Сиборгиум, что это такое?
Seaborgium is een geduldig hackersinitiatief dat vaak en langdurig dezelfde organisaties viseert. Eens binnen, dan infiltreren de hackers de sociale netwerken van die organisaties via valse profielen en phishing. De groep overlapt met hackersgroeperingen zoals Callisto Group (F-Secure), TA446 (Proofpoint) en COLDRIVER (Google). Sinds begin dit jaar detecteerde Microsoft infiltratiepogingen bij meer dan 30 organisaties.
Gezien de banden met Poetin en zijn kliek hoeft het niet te verbazen dat de geviseerde organisaties uit NAVO-landen komen. Uit de VS en GB maar ook uit de Baltische staten en Oost-Europa. Volgens Microsoft is Oekraïne geen hoofddoel van de hackers maar in de maanden voor de Russische inval werd de overheid wel in het vizier genomen. Naast overheden richtte Seaborgium vooral de pijlen op Russissche burgers (in het buitenland), defensiediensten, NGO’s, denktanks en intergouvernementele organisaties.
Particuliere gebruikers die het slachtoffer werden van de hackers, kregen van Microsoft dezelfde berichten en hulp als overheidsinstellingen. Op die manier kon hun account worden hersteld.
Klassieke methodes gebruikt
In de blog geeft Microsoft uitleg bij de methodes die Seaborgium gebruikte om de gegevens te stelen. Zodra contact was gelegd met het slachtoffer, of een persoon binnen een organisatie, dan probeerden de hackers malafide software te installeren. Dat deden ze via URL in body of in e-mail, via PDF-bestanden met een URL en via een OneDrive-link met URL. Zodra de gebruiker op de URL klikte, kon de diefstal beginnen.
De meest voorkomende vormen waren het filteren van intelligence data uit e-mails en bijlages, langdurige dataverzameling en toegang tot interessante personen en profielen. Op basis van die profielen en de gegevens die Seaborgium probeerde te bemachtigen, blijkt dat spionage de hoofddoelstelling was van de hackers.
In de blog geeft Microsoft een paar interessante voorbeelden van de hackersaanvallen door Seaborgium waar de link met de Russische overheid op zijn minst aanneembaar is. Gebruikers krijgen er ook tips om na te gaan of hun toestel is beschadigd en wat ze in dat geval kunnen doen.