De bibliotheek voor digitale criminaliteit | Cybercrimeinfo.nl | #CCINL

“Rusland zette hackers in om vaccin coronavirus te stelen”

Gepubliceerd op 17 juli 2020 om 06:51

“Rusland zette hackers in om vaccin coronavirus te stelen”

Russische hackers die gesteund worden door Russische geheime diensten, lijken achter digitale aanvallen te zitten op verschillende organisaties uit het Verenigd Koninkrijk, de Verenigde Staten en Canada. De getroffen organisaties zijn op zoek naar een vaccin tegen Covid-19. Dit melden Britse officiële veiligheidsdiensten. 

Malware aanvallen

De Amerikaanse en Britse autoriteiten hebben Russische inlichtingendiensten beschuldigd van het uitvoeren van malware-aanvallen tegen ontwikkelaars van een coronavaccin. Het gaat om organisaties in Canada, het Verenigd Koninkrijk en de Verenigde Staten die zich bezighouden met de ontwikkeling van een vaccin. Namen worden niet door de autoriteiten genoemd.

APT29 ook bekend als Cozy Bear

Deze organisaties zijn volgens de VS en het VK de afgelopen maanden het doelwit geweest van een groep aanvallers genaamd APT29, ook bekend als Cozy Bear. Volgens de Amerikaanse geheime dienst NSA, De Canadese inlichtingendienst CSE en het Britse National Cyber Security Centre (NCSC) is deze groep zo goed als zeker onderdeel van de Russische inlichtingendiensten.

TTK aanval: Tools technieken en kwetsbaarheden

Om organisaties aan te vallen maakt de groep gebruik van verschillende tools, technieken en bekende kwetsbaarheden. Het gaat om beveiligingslekken in vpn-producten van Pulse SecureFortiGate en SangFor, collaboration software Zimbra en de Application Delivery Controller en Gateway van Citrix.

SoreFang, WellMess en WellMail

Zodra de aanvallers toegang tot een systeem weten te krijgen maken ze gebruik van verschillende malware-exemplaren met de naam SoreFang, WellMess en WellMail. In het geval de aanvallers een vpn-systeem van SangFor weten te compromitteren vervangen ze de software die aan vpn-clients wordt aangeboden door de SoreFang-malware. Via deze malware krijgen de aanvallers volledige controle over het besmette systeem.

NCSC

De WellMess-malware laat aanvallers willekeurige shellcommando's op het systeem uitvoeren, alsmede bestanden up- en downloaden. Ook via de WellMail-malware kunnen aanvallers opdrachten aan systemen geven. Het NCSC stelt dat het zeer waarschijnlijk is dat de aanvallers proberen om informatie en intellectueel eigendom met betrekking tot de ontwikkeling en het testen van coronavaccins te stelen.

In de waarschuwing over de malware-exemplaren geven de overheidsinstanties "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen.

Advisory APT 29 Targets COVID 19 Vaccine Development
PDF – 403.8 KB 40 downloads

«   »