image

VS publiceert nieuw rapport over werkwijze 'Russische hackers'

zaterdag 11 februari 2017, 08:45 door Redactie, 4 reacties

Het Amerikaanse ministerie van Homeland Security heeft een nieuw rapport gepubliceerd over de werkwijze en malware van een groep hackers die volgens de VS onderdeel van de Russische inlichtingendiensten zijn. De groep wordt door de VS "Grizzly Steppe" genoemd, maar staat ook bekend als APT28, Pawn Storm, Sofacy en Fancy Bear. Volgens de autoriteiten zou de groep achter de hack van de Democratisch Partij zitten.

Eind vorig jaar publiceerden de FBI en Homeland Security al een rapport over Grizzly Steppe, waarop de nodige kritiek van beveiligingsexperts kwam omdat er geen overtuigend bewijs werd geleverd waaruit blijkt dat Rusland achter de aanvallen zat. Dit eerste rapport bestond uit 13 pagina's (pdf), het nu gepubliceerde Analysis Report beslaat 119 pagina's (pdf). Het rapport beschrijft de werkwijze en malware die de hackers gebruiken. Informatie die in veel gevallen al bekend was.

Zo worden domeinnamen geregistreerd die erg op die van de aangevallen organisatie lijken. Vervolgens worden er phishingmails naar de organisatie gestuurd om gebruikers zo op de phishingsite te laten inloggen en hun wachtwoorden te stelen. Een andere tactiek is het sturen van Word-documenten met kwaadaardige macro's. Als de gebruikers macro's inschakelen wordt er malware geïnstalleerd.

Ook maken de aanvallers gebruik van kwetsbaarheden in Adobe Flash Player en Microsoft Office om organisaties aan te vallen. Het gaat onder andere om Office-leken die al 5 en 7 jaar oud zijn. Zo worden kwaadaardige documenten verstuurd die misbruik van de genoemde kwetsbaarheden maken en wordt er exploitcode geplaatst op websites die potentiële doelwitten uit zichzelf bezoeken, een zogenoemde "watering hole" aanval.

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) adviseert dat netwerkbeheerders dit nieuwe en eerder gepubliceerde rapport doornemen en de aanbevelingen opvolgen. Het gaat dan bijvoorbeeld om het monitoren van het netwerkverkeer op domeinen die de eigen domeinnaam lijken, het uitschakelen van macro's en het installeren van beveiligingsupdates.

Reacties (4)
11-02-2017, 15:36 door Anoniem
Publiceert Homeland Security ook zo'n rapport over de werkwijze van Amerikaanse hackers? of
Publiceert Homeland Security ook zo'n rapport over de werkwijze van ${willekeurige_natie} hackers?
12-02-2017, 00:23 door Anoniem
Nog steeds nul komma nix bewijs dat het russen waren...
allemaal aannames op basis van aannames van aannames van hear-say van derden...

dat is GEEN bewijs.
12-02-2017, 12:24 door BadAss.Sx
En dan te bedenken dat NSA chinese en hollandse servers heeft gehackt om vervolgens van die servers US servers te hacken (https://www.theregister.co.uk/2016/10/31/shadow_brokers_dump/). Wie zegt dat ze dat ook niet doen met Russische servers die hun zogenaamd hacken?

Net als dat Nederland zich zo belangrijk voelt in de wereld dat ze bij hoog en laag blijven beweren dat ze door Rusland zijn/worden gehackt. Maar er is er geneen die met bewijs komt. Alleen maar blaten dat Rusland het is. Misschien is het de US zelf wel die via Russische vpsjes doet lijken of het Rusland is.

Oftewel, de zwaaaaaaaarbetaalde inlichtingendiensten prutsen ook maar wat aan.
12-02-2017, 18:37 door Anoniem
Het is de vraag of al die servers gehackt zijn. Het is makkelijker om met bitcoins een goedkope vps te huren.

Pony botnet software is "open source" (althans het is beschikbaar). Daarvan is gebruik gemaakt bij de beschreven aanval. Het is dus verdedigbaar dat de aanvallers daar goed bekend mee zijn (zelf internetcriminelen zijn) of dat ze het hebben "geleend".

Sommige van de gebruikte domeinen zijn Russisch. Ik heb er een lijst van gepost in het professionals forum. Die wordt typisch geregeld door pil spammers en soms ook door malware verspreiders.

False flag is mogelijk, maar het is voor de meeste aanvallers al moeilijk genoeg om een aanval tot een goed einde te brengen. De meeste aanvallers gebruiken toch de materialen die ze ter beschikking hebben, en die wijzen naar Russisch sprekenden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.