Overslaan en naar de inhoud gaan

Justitie VS grijpt in bij Nobelium-phishingaanval via USAID

Het Amerikaanse Department of Justice heeft afgelopen weekend twee command and control servers overgenomen van de subdomeinen theyardservice.com en worldhomeoutlet.com, die betrokken waren in de massale spearphishingcampagne via de hulporganisatie USAID. Microsoft attendeerde afgelopen donderdag op de aanval en schreef deze toe aan Nobelium (ook wel CozyBear of APT29), de groep die ook achter de aanval via de SolarWinds-beheersoftware zat.
e-mail USA
© Shutterstock
Shutterstock

De justitie in de VS had daartoe onmiddellijk na de waarschuwing van Microsoft om een gerechtelijk bevel gevraagd en gekregen om de actie uit te voeren. De twee servers zorgden voor de vervolgacties wanneer slachtoffers van de spearphishing-actie via de dienstverlening van massa-emaildienstverlener Constant Contact op een link in de mail klikten. Dan werd contact gemaakt met deze servers en startte het binnenhalen van Cobalt Strike-malware die uiteindelijk de aanvallers een achterdeur op het betreffende systeem opleverde.

De aanvallers waren voor hun actie binnengedrongen bij Constant Contact die veel mailingwerk verricht voor overheden en non-gouvernementele organisaties, waaronder de hulporganisatie USAID. De indringers konden zo uit naam van deze organisaties malafide e-mail versturen die heel overtuigend overkwamen.

Microsoft schreef donderdag de aanval toe aan Nobelium, een groep die door de Amerikaanse overheid het label APT29 heeft gekregen en inmiddels vele bijnamen heeft waaronder CosyBear, CozyCar, CozyDuke, Fancy Bear, Dark Halo, The Dukes, OfficeMonkeys StellarParticle, UNC2452, en YTTRIUM.  De groep wordt verantwoordelijk gehouden voor verschillende grote cyberaanvallen, onder meer - heel recent - het binnendringen bij een groot aantal overheidsinstanties en bedrijven via de managementsoftware van SolarWinds. Ook een aantal Nederlandse ministeries lagen in 2017 in de aanloop naar de voorlaatste verkiezingen onder vuur van de groep.

Verschillende IT-beveiligingsbedrijven hebben een link gelegd tussen deze groep hackers en de Russische geheime dienst SVR, hoewel deze dienst en de Russische overheid stelselmatig betrokkenheid ontkennen.

Pro-actieve tegenaanval

"Cyberinbraken en spearphishing e-mail-aanvallen kunnen een verstrekkende schade veroorzaken in de betrokken computernetwerken en significante schade toebrengen aan individuele slachtoffers, overheidsdiensten, NGO's en private bedrijven", zei de waarnemend Amerikaanse procureur Raj Parekh van de staat Virginia in een verklaring die gisteren werd uitgebracht naar aanleiding van de overheidsactie.

In dezelfde verklaring zegt assistent procureur-generaal John C. Demers van de National Security Division van het ministerie van Justitie dat de actie op de twee command-and-control-servers een voorbeeld is van het proactief optreden om hacking-activiteiten te verstoren voordat er een conclusie wordt getrokken in een strafrechtelijk onderzoek. "Wij zullen continu alle mogelijke opties evalueren om onze unieke autoriteiten in te zetten tegen zulke bedreigingen."

Op 16 juni spreekt de Amerikaanse president Joe Biden in Genève voor het eerst in levende lijve met de Russische president Vladimir Poetin. Het is nog onduidelijk of de cyberaanvallen daar ter discussie komen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in