/f.eu1.jwwb.nl%2Fpublic%2Fh%2Ft%2Fh%2Ftemp-ofinjmcgqxvqzvyrppbf%2F18qer8%2Fcybercrime-22-04-20-1910-ccinl.png)
De Russische staatshackers voeren de ene na de ander cyberaanval uit op Oekraïense doelwitten. Daarvoor maken ze gebruik van diverse varianten van de 'Pterodo malware'. Door een intensieve en aanhoudende aanvalscampagne hopen de daders zo veel mogelijk schade toe te brengen. Dat concludeert Threat Hunter Team van cybersecuritybedrijf Symantec in een analyse.
Russische hackersgroep Shuckworm
Beveiligingsonderzoekers vermoeden dat de Russische hackersgroep 'Shuckworm' -ook wel bekend onder de namen 'Gamaredon' en 'Armageddon'- verantwoordelijk is voor de aanvallen. De groep richt sinds 2014 vrijwel exclusief al zijn pijlen op Oekraïne. Meer dan 5.000 cyberaanvallen worden aan het hackerscollectief toegeschreven. Sinds de Russische invasie in het buurland eind februari zijn de leden van Shuckworm onverminderd doorgegaan met het uitvoeren van cyberaanvallen.
“Hoewel de tools en tactieken van de groep eenvoudig en soms ruw zijn, zorgen de frequentie en hardnekkigheid van de aanvallen ervoor dat het een van de belangrijkste cyberdreigingen blijft voor organisaties in de regio”, zo schrijft Symantec. Kenmerkend voor de aanvallen van Shuckworm, is dat de hackers meerdere malware payloads inzetten om computersystemen te infecteren.
Verschillende varianten malware
Cybersecurityexperts van Symantec zeggen dat het om verschillende varianten van dezelfde malware gaat: 'Backdoor.Pterodo'. De varianten zijn zodanig ontworpen dat ze vergelijkbare taken uitvoeren. Grote verschil is dat ze ieder met een andere Command & Control server (C&C of C2-server) communiceren. Mocht er één worden gedetecteerd en geblokkeerd, dan nemen de andere varianten het van elkaar over.
Volgens de onderzoekers van het Threat Hunter Team van Symantec zijn er vier varianten van de malware in omloop. Deze zijn omgedoopt tot Backdoor.Pterodo.B, Backdoor.Pterodo.C, Backdoor.Pterodo.D en Backdoor.Pterodo.E.
Het zijn allemaal zogeheten Visual Basic Script (VBS) droppers. Dat zijn scripts die gebruikt worden om taken op Microsofts besturingssysteem Windows te automatiseren. Ze nemen veel handen uit werk van systeembeheerders, maar kunnen ook door hackers worden gebruikt voor kwaadaardige doeleinden.
“Ze droppen een VBScript-bestand, maken gebruik van Scheduled Tasks (shtasks.exe) om persistentie te behouden, en downloaden aanvullende code van een C&C-server. Alle ingesloten VBScripts lijken sterk op elkaar en gebruiken vergelijkbare verduisteringstechnieken”, zo zegt Symantec.
Naast de Pterodo malware zet Shuckworm ook andere tools in om cyberaanvallen uit te voeren op Oekraïense doelwitten. Eén daarvan is UltraVNC, een open source remote desktop oplossing. Beveiligingsonderzoekers hebben ook aanvallen met Process Explorer waargenomen. Dat is een hulpprogramma van Microsoft dat is ontworpen om te achterhalen welke DLL-processen zijn geopend of geladen.
Cyberaanvallen Rusland en Oekraïne
Sinds het uitbreken van de oorlog tussen Rusland en Oekraïne, vinden er cyberaanvallen over en weer plaats. Recentelijk nog vielen de hackers van Sandworm -niet verwarren met Shuckworm- een Oekraïense energieleverancier aan. Het doel was om belangrijke voorzieningen in Oekraïne uit te schakelen. De aanval op het energienetwerk mislukte.
Dezelfde hackersgroep, met nauwe banden met het Kremlin, voerde afgelopen maand een aanval uit met malware genaamd Cyclops Blink. De daders probeerden hiermee data te stelen en verwijderen. Tevens trachtten ze nieuwe computers -ook wel zombies genoemd- aan hun botnet toe te voegen. Amerikaanse en Britse overheidsdiensten wisten de aanval af te slaan.
Rusland ontkent iets te maken te hebben met de cyberaanvallen op Oekraïense bedrijven en instanties. Het Russische ministerie van Buitenlandse Zaken waarschuwde “anonieme hackers en provocateurs” eind maart om te stoppen met de ‘cyberagressie’ tegen het land.
“Niemand mag eraan twijfelen dat de cyberagressie die tegen Rusland is ontketend, zal leiden tot ernstige gevolgen voor de aanstichters en de daders. De bron van de aanvallen zal worden opgespoord. De aanvallers zullen onvermijdelijk de verantwoordelijkheid dragen voor hun daden, in overeenstemming met de vereisten van de wet”, aldus het ministerie in een persverklaring.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: symantec-enterprise-blogs.security.com, vpngids.nl
- Wat is een cyberoorlog?
- Help mee en stop het verspreiden van desinformatie van het Russische regime!
- Actuele aanvallen overzicht per dag
- Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer cyberoorlog nieuws
“Deze onaanvaardbare cyberaanval is het zoveelste voorbeeld van het aanhoudende patroon van onverantwoordelijk gedrag van Rusland in cyberspace”
De Europese Unie beschuldigt Rusland ervan “kwaadaardige cyberactiviteiten” tegen Oekraïne te hebben uitgevoerd. Eén specifieke aanval, die tegen het satellietnetwerk KA-SAT, wordt scherp veroordeeld. De lidstaten beraden zich om verdere stappen te nemen om Rusland een halt toe te roepen. Dat staat in een persverklaring van de Europese Raad, waar de regeringsleiders van alle 27 EU-landen zitting in hebben.
‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden’
De oorlog in Oekraïne bewijst dat oorlogsvoering verandert. De digitale ruimte wordt steeds belangrijker: als vehikel voor beïnvloedingsstrategieën en als strijdtoneel van cyberaanvallen. Die ontwikkeling vraagt volgens brigadegeneraal en hoogleraar cyber warfare Paul Ducheine om nieuwe manieren van aanvallen en verdedigen. ‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden.’
AIVD: Sabotage “het grootste digitale risico” voor de Nederlandse samenleving
Nederlandse burgers, bedrijven en overheidsdiensten liepen in 2021 voortdurend het risico om getroffen te worden door cyberaanvallen. Landen als China en Rusland spelen daarin een belangrijke rol. Deze digitale dreiging vraagt om vergaande samenwerking met nationale en internationale partners. Om de goede inlichtingenpositie te houden zijn (technische) middelen nodig. Dat schrijft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in de nieuwste editie van het jaarverslag.
Hackersgroep ‘Shuckworm’ slaan opnieuw toe in Oekraïne
De Russische staatshackers voeren de ene na de ander cyberaanval uit op Oekraïense doelwitten. Daarvoor maken ze gebruik van diverse varianten van de 'Pterodo malware'. Door een intensieve en aanhoudende aanvalscampagne hopen de daders zo veel mogelijk schade toe te brengen. Dat concludeert Threat Hunter Team van cybersecuritybedrijf Symantec in een analyse.
Hackersgroep ‘Sandworm’ richt pijlen op stroomnetwerk met malware 'Industroyer2'
Hackers hebben geprobeerd om het Oekraïense stroomnetwerk plat te leggen. Cybersecurityexperts hebben de aanval weten af te slaan. Zij denken dat de Russische hackersgroep Sandworm verantwoordelijk is voor de aanval.
Online archief met oorlogsmisdaden van het Russisch regime in Oekraïne
De Oekraïense regering spoort inwoners aan op een speciaal daarvoor gemaakte website informatie te verzamelen over vermeende oorlogsmisdaden die Rusland heeft begaan sinds de invasie van Oekraïne.
"We sloten de deur die de Russen gebruikten om er binnen te komen"
De Amerikaanse geheime dienst FBI zegt vorige maand een grootschalige Russische hackoperatie te hebben tegengehouden. Die aanval had mogelijk duizenden bedrijven wereldwijd kunnen raken. De groep die er achter zou zitten, viel eerder Oekraïne aan.
Gazprom onder vuur
De website van Gazprom Neft, de olietak van het Russische staatsgasbedrijf Gazprom, is momenteel uit de lucht. Op de site was enige tijd een kritische boodschap over de Russische invasie in Oekraïne te lezen. Een woordvoerder van het bedrijf doet de inhoud van de boodschap af als ‘onzin’.
Rusland waarschuwt “anonieme hackers en provocateurs”
Rusland waarschuwt overheden om geen cyberaanvallen uit te voeren tegen het land. Volgens het Russische ministerie van Buitenlandse Zaken voeren “anonieme hackers en provocateurs die het regime in Kiev steunen” een cyberoorlog van ongekende omvang. Het Kremlin belooft hard op te treden tegen deze cyberagressie.
De onzichtbare oorlog in het conflict Oekraïne en Rusland
Na jaren van cyberdreiging lijkt de oorlog in Oekraïne behoorlijk analoog te verlopen. Rusland valt aan met raketten, tanks en soldaten, terwijl de digitale infrastructuur grotendeels intact blijft. Loopt het conflict anders dan verwacht? Of is er meer aan de hand?
De cyberoorlog: ‘Wees waakzaam voor cyberaanvallen’
Ondanks de oorlog in Oekraïne zijn er op dit moment geen geavanceerde cyberaanvallen die gevolgen hebben voor de Nederlandse infrastructuur. Dat betekent niet dat het risico daarop weg is. Het Nationaal Cyber Security Centrum (NCSC) monitort daarom voortdurend de situatie en staat in nauw contact met nationale en internationale partners over mogelijke incidenten, dreigingen en maatregelen. Het bedrijfsleven krijgt het advies om alert te zijn voor eventuele digitale aanvallen en andere bedreigingen.
De oorlog in Oekraïne en de pandemie maken het belang van een goede cybersecurity nog eens duidelijk
Hoog tijd voor overheid en bedrijfsleven in Nederland om daar écht werk van te maken. ‘Cybersecurity wordt steeds meer bepalend voor de continuïteit van bedrijven.’