Amerikaanse en Britse veiligheidsdiensten waarschuwen voor Russische hackers, die westerse organisaties proberen te infiltreren door permanent te scannen op zwakheden bij veelgebruikte software. Dit is opvallend, doorgaans gaan de Russen gerichter te werk.
Het is een tactiek die Chinese hackgroepen vaker hebben toegepast: het massaal infecteren van veelgebruikte software bij westerse organisaties. Nu waarschuwen de veiligheidsdiensten van de Verenigde Staten en het Verenigd Koninkrijk dat Russische hackers, horend bij de buitenlandse inlichtingendienst SVR, hetzelfde doen. Ze scannen het internet op zoek naar specifieke software die bepaalde kwetsbaarheden bevat, zorgen dat ze daar een toegang krijgen en proberen later verder in de geïnfecteerde netwerken te komen.
Dat doen ze onder meer ‘op grote schaal’ bij Team City- en Zimbra-servers, schreven Amerikaanse en Britse cyberagentschappen in een gezamenlijke waarschuwing deze week. Zimbra is een softwareprogramma om zakelijk berichten te sturen en samen te werken.
Over de auteur
Huib Modderkolk is onderzoeksjournalist van de Volkskrant, met als specialisatie cybersecurity en inlichtingendiensten. Hij schreef het boek Dit wil je écht niet weten – over de onvoorstelbare wereld achter je scherm.
Door het sturen van een speciaal aangemaakte mail naar de mailserver van Zimbra was het mogelijk om een achterdeur te plaatsen. De software is wereldwijd bij 200 duizend organisaties in gebruik. Ook het Nederlandse Nationaal Cyber Security Centrum (NCSC) meldde deze week dat sprake is van ‘actief misbruik’ van kwetsbaarheden in Zimbra.
De waarschuwing is opmerkelijk omdat de hackers van Ruslands SVR, ook wel APT29 genoemd, zich in het verleden juist onderscheidden door heel gerichte aanvallen. Anders dan hun collega’s van Ruslands militaire dienst GROe, of APT28, kozen ze hun slachtoffers zorgvuldig en probeerden ze voorzichtig te werk te gaan. Doel was om zo onopgemerkt mogelijk bij organisaties binnen te komen en daar lange tijd te blijven.
Hun nieuwste werkwijze toont dat ze ook opportunistischer en ongerichter kunnen opereren, ziet ook cybersecurity-expert Willem Zeeman. ‘Bij een specifieke selectie aan bedrijven en sectoren scannen ze permanent op de aanwezigheid van bekende lekken, die net bekend zijn geworden.’
Het zou onder meer gaan om hostingpartijen, IT-bedrijven en organisaties die in de energiesector werkzaam zijn. Een Nederlandse beveiligingsdeskundige die energiepartijen adviseert zegt een aantal van de tactieken en kwetsbaarheden ‘zeker te zien terugkomen’.
Door permanent te scannen willen de Russen ‘zo snel mogelijk toeslaan’ als zich een gelegenheid voordoet, zegt Zeeman. Bij dit soort zogeheten ‘toegangsapparaten’, hard- of software die een ingang vormen naar een netwerk en aan internet hangen, zijn de laatste jaren veelvuldig kwetsbaarheden ontdekt die zowel door criminele als statelijke actoren zijn misbruikt. Voorbeelden zijn lekken in PulseConnect, Fortigate-servers en Citrix.
In hun gezamenlijke advies maken de Amerikaanse en Britse cyberagentschappen tevens melding van actief misbruik door Rusland van kwetsbaarheden in het bluetooth-protocol voor Windows- en Androidgebruikers. Daardoor kunnen Russische veiligheidsdiensten die zich in de fysieke nabijheid van doelwitten bevinden communicatie intercepteren.
Eind augustus kondigde premier Dick Schoof aan dat smartphones, net als andere slimme apparaten, niet langer zijn toegestaan tijdens de Ministerraad. Ministers dienen ze in een aparte kluis te stoppen bij de ingang van het Catshuis. Het is onbekend of die beslissing van Schoof een relatie heeft met de ontdekking van Amerikaanse en Britse inlichtingendiensten dat APT29 bluetooth misbruikt. Zeeman: ‘Dat zal speculatie blijven, maar vergezocht is die gedachte niet. We weten bovendien dat Rusland agenten en hackers in Den Haag heeft rondlopen.’
Source: Volkskrant