Oost-Europese landen hebben steeds meer last van cyberaanvallen. Staatshackers uit onder meer Rusland en China hebben de afgelopen maanden het aantal digitale aanvallen opgeschroefd. Oekraïne is een veelvoorkomend doelwit, maar ook Russische instanties zijn steeds vaker de dupe. Dat meldt Billy Leonard van de Threat Analysis Group (TAG) van Google in een blog.
De beveiligingsonderzoekers van de zoekgigant houden de oorlog in Oekraïne, en de activiteiten op het gebied van cybersecurity in het bijzonder, nauwlettend in de gaten. De onderzoekers publiceren ieder kwartaal, maar soms ook vaker, een rapport over de stand van zaken.
Sinds het vorige verslag heeft de groep “een voortdurend groeiend aantal dreigingsactoren” waargenomen. Zij misbruiken de oorlog voor phishing- en malwarecampagnes. Ze richten zich in toenemende mate op bedrijven en organisaties uit de vitale sector, waaronder telecombedrijven, leveranciers van nutsvoorzieningen en olie- en gasmaatschappijen.
Volgens Google zij de aanvallers staatshackers uit Rusland, China, Iran en Noord-Korea. Ze gebruiken de oorlog om hun slachtoffers ertoe aan te zetten om e-mails met malafide URL’s te openen. Ook cybercriminelen proberen een slaatje te slaan uit de ellende die zich in Oekraïne afspeelt.
De afgelopen maanden heeft TAG geen grote verschuivingen waargenomen in Oost-Europa. Eén van de hackersgroepen die het afgelopen kwartaal actief was in deze regio, is APT28, ook wel beter bekend als Fancy Bear. Deze groep heeft volgens beveiligingsonderzoekers nauwe banden met de Russische militaire inlichtingendienst GRU.
De hackers verspreiden malware via e-mailbijlages. Deze bevat een met wachtwoord beschermd zip-bestand. Als het bestand eenmaal is geopend, verzamelt de software cookies en wachtwoorden die zijn opgeslagen in de webbrowsers Google Chrome, Microsoft Edge en Mozilla Firefox. Deze data worden vervolgens doorgestuurd naar een gecompromitteerd e-mailaccount.
Een andere groep die met grote regelmaat cyberaanvallen uitvoert in Oost-Europa, is Turla. In opdracht van de Russische inlichtingendienst FSB voeren zij spamcampagnes uit tegen defensie- en cybersecurityorganisaties in de Baltische staten. Ieder doelwit ontvangt een e-mail met een unieke URL die naar een .docx-bestand leidt op een door de hackers gecontroleerde infrastructuur. Als het Word-bestand wordt geopend, probeert deze een geïnfecteerd PNG-bestand te downloaden.
Net als APT28 en Turla is COLDRIVER een hackersgroep die gelieerd is aan Rusland. Zij gebruiken Gmail-accounts om inloggegevens te stelen. Deze tactiek noemen we ook wel credential phishing. Onder meer Oost-Europese politici, overheidsambtenaren, denktanks, journalisten en niet-gouvernementele organisaties (NGO’s) zijn het doelwit van de hackers.
De werkwijze van deze groep is de afgelopen maanden verschoven. Ze sturen niet langer e-mails met daarin URL’s naar phishingsites naar hun doelwitten. In plaats daarvan verwijzen ze in hun berichten naar malafide PDF- en Word-bestanden die worden gehost op Google Drive en Microsoft OneDrive. Deze bestanden bevatten een link naar een phishingdomein dat door de hackers wordt beheerd. Google Safe Browsing blokkeert deze domeinen.
Een andere groep die de afgelopen maanden actief is gebleven, is GhostWriter. Het is een hackerscollectief die verbonden is aan president Alexander Lukashenko van Belarus. Net als COLDRIVER heeft GhostWriter geprobeerd om inloggegevens via Gmail-accounts te stelen. De e-mails die de groep verzond bevatten een kwaadaardige link. Deze stuurde de ontvangers door naar een phishingpagina. Via deze pagina probeerden de hackers gebruikersgegevens te verzamelen. Google zegt dat er geen accounts zijn gecompromitteerd.
GhostWriter is een beruchte hackersgroep. De groep probeerde afgelopen jaar de parlementsverkiezingen in Duitsland te beïnvloeden door desinformatie via sociale media te verspreiden. Daarnaast voerden de aanvallers phishingcampagnes uit op politici om hun accounts over te nemen.
Een laatste groep die Google noemt, is Curious Gorge. Deze groep heeft banden met het Chinese leger. Net als het afgelopen kwartaal richtten de aanvallen van de Chinese hackers zich tegen overheidsorganen, legereenheden en logistieke instanties in Oekraïne, Rusland en Centraal-Azië. Onder meer het Russische ministerie van Buitenlandse Zaken en verschillende Russische defensie-aannemers en fabrikanten waren daarbij het doelwit.
Sinds de eerste Russische tanks Oekraïne binnenvielen, zijn er al honderden cyberaanvallen uitgevoerd. Niet alleen in Oekraïne, maar ook in Rusland en de Baltische staten. Volgens Microsoft hebben zes Russische hackersgroepen al minimaal 237 aanvallen uitgevoerd tegen Oekraïne. Daarbij is geprobeerd om overheidsdiensten en bedrijven in de vitale sector lam te leggen. Er zijn ook voorbeelden van spionage en het verspreiden van desinformatie.
