image

Nederlandse NGO twee keer doelwit van gerichte phishingaanval

zaterdag 13 januari 2018, 08:01 door Redactie, 22 reacties

Een Nederlandse NGO is eind vorig jaar tot twee keer toe het doelwit van een gerichte phishingaanval geweest die werd uitgevoerd door dezelfde aanvallers die eerder de onderzoeksraad van MH17, het Wereld Anti-Doping Agentschap (WADA) en de presidentscampagne van Hillary Clinton aanvielen, zo meldt anti-virusbedrijf Trend Micro.

De aanvallers, die bekendstaan onder de naam APT28, Fancy Bear en Pawn Storm, verstuurden in oktober en november vorig jaar e-mails die van de Microsoft Exchange-server van de organisatie en OneDrive afkomstig leken. In de e-mails, die als doel hadden om inloggegevens te stelen, werden zowel het logo als de naam van de organisatie gebruikt. De naam van de NGO is niet bekendgemaakt, maar Trend Micro zegt dat beide aanvallen geen succes hadden.

Naast de Nederlandse NGO hadden de aanvallers het vorig jaar ook voorzien op de Amerikaanse senaat, waarbij er phishingsites werden opgezet die zich voordeden als de ADFS (Active Directory Federation Services) van de senaat. In de tweede helft van vorig jaar waren ook verschillende Olympische Wintersportfederaties het doelwit, waaronder de Europese IJshockeyfederatie en Internationale Skifederatie.

Volgens verschillende beveiligingsbedrijven is APT28 een groep hackers die vanuit Rusland opereren en mogelijk steun van de Russische overheid krijgen. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels en het campagneteam van de Franse president Macron door de groep aangevallen.

Image

Reacties (22)
13-01-2018, 08:40 door Anoniem
Of is ATP28 een False Flag operatie van de CIA? In deze enge wereld weten we het nooit echt zeker.
13-01-2018, 11:26 door Briolet
De naam van de NGO is niet bekendgemaakt, maar Trend Micro zegt dat beide aanvallen geen succes hadden.

Wat is dit voor non-nieuws. Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.
13-01-2018, 11:55 door Anoniem
@Anoniem 08:40

Wat schuift dat nou, twijfel zaaien voor moeder rusland?

@Briolet

Dit is spear phishing. Het gaat het natuurlijk om de inhoud, niet om de vorm.
13-01-2018, 12:30 door Anoniem
Door Anoniem: Of is ATP28 een False Flag operatie van de CIA? In deze enge wereld weten we het nooit echt zeker.
Dat klopt. In de wereld van de spionnen weet alleen de spion wie hij werkelijk is en waar hij precies voor werkt. Dus als buitenstaander heb je echt geen zekerheid of het wel of geen False Flag Operation is.
13-01-2018, 12:40 door Anoniem
Door Anoniem: Of is ATP28 een False Flag operatie van de CIA? In deze enge wereld weten we het nooit echt zeker.
Misschien ben jij wel een trol voor de vijand. Misschien weet jij dat nooit zeker.

Door Briolet: Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.
Maar durf je ook te stellen dat wat Trend Micro beweert waar is? Als ontvanger van de bewering krijg je, net als bij veel andere beweringen in de (social)media, geen bewijs van het gelijk van de melder. Als ontvanger speculeren dat een bewering om extreme redenen niet waar is zonder daarvoor bewijs te leveren is ook slecht.

Berichten met beweringen waar bewijs ontbreekt om een gelijk te onderbouwen mogen vaker kritisch gelezen worden. Ik meen dat dat wat anders is dan conclusies trekken over betrouwbaarheid en dat publiek uitstorten met slechte of gebrek aan onderbouwing zoals in de eerste twee reacties.
13-01-2018, 12:40 door Anoniem
Door Briolet:
De naam van de NGO is niet bekendgemaakt, maar Trend Micro zegt dat beide aanvallen geen succes hadden.

Wat is dit voor non-nieuws. Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.

Ik mag hopen dat spear phishing toch wat zeldzamer is dan jij nu lijkt te denken. Het is wel bijzonder interessant om te weten om welke NGO's het gaat, in verband met het doel van de spear phishing. Jammer dat ze dat niet bekend maken.
13-01-2018, 14:28 door Password1234
Door Anoniem:
Door Anoniem: Of is ATP28 een False Flag operatie van de CIA? In deze enge wereld weten we het nooit echt zeker.
Dat klopt. [...]
Ja het is een heel ander onderwerp, maar...

Is Anoniem@08:40 en Anoniem@12:30 dezelfde persoon?

Ik erger me al langer aan de anonieme reacties op deze site. En dan vooral in de vorm van stemmingmakerij, tegenwoordig heet dat fake-news, maar het is hetzelfde. Kunnen we het hier niet iets minder anoniem maken? Wil de redactie zelf hier actief in gaan monioren en schonen? Of, zonder te censureren, hoe zouden we dat kunnen doen door nog wel anonieme reacties toe te staan? Of moeten we meer zelf-regulering door de groep Anoniem gaan eisen?
13-01-2018, 15:14 door johanw
Door Password1234:
Door Anoniem:
Door Anoniem: Of is ATP28 een False Flag operatie van de CIA? In deze enge wereld weten we het nooit echt zeker.
Dat klopt. [...]
Ja het is een heel ander onderwerp, maar...

Is Anoniem@08:40 en Anoniem@12:30 dezelfde persoon?

Ik erger me al langer aan de anonieme reacties op deze site. En dan vooral in de vorm van stemmingmakerij, tegenwoordig heet dat fake-news, maar het is hetzelfde. Kunnen we het hier niet iets minder anoniem maken? Wil de redactie zelf hier actief in gaan monioren en schonen? Of, zonder te censureren, hoe zouden we dat kunnen doen door nog wel anonieme reacties toe te staan? Of moeten we meer zelf-regulering door de groep Anoniem gaan eisen?
Wat is je probleem? Alles dat niet meedoet aan het Rusland bashen moet verwijderd worden? Stel je voor dat iemand aan de officiele lezing zou gaan twijfelen.
13-01-2018, 15:46 door karma4
Door johanw: ? Stel je voor dat iemand aan de officiele lezing zou gaan twijfelen.
Welke officiële lezing bedoel je? Die van de Russen CIA?
Ik zie enkel een bericht van trend Micro https://en.wikipedia.org/wiki/Trend_Micro dat zijn japanners. Als het nu kaspersky zou zijn waar de klanten inclusief andere staatsmedewerkers ongemerkt calling home Russia doen.
13-01-2018, 16:02 door Anoniem
We gaan weer allemaal mee in het benoemen, wat als het nu eens geheel geautomatiseerd gebeurt.

Spam phishing kan zoiets zijn. Een keer een Ashampoo tooltje gebruikt om op CPU onveiligheid te testen?
Daarna komer er spam berichtjes. Trappen we niet in, want van eigen mailadres naar eigen mailadres en geen paypal account.

Dat zal de buik dus niet rimpelen derhalve. Later weer een Italiaans spamberichtje. Soms weet je gewoon niet waar het vandaan stamt, uit Rusland, Oekraïne, Noord- of Zuid-Korea, van Amerikaanse agenten of van je eigen thuisbezorgdienst?
Zeg het maar met enige zekerheid.

Het meeste is hype, interessant doenerij. Als het al gevonden wordt of het opvalt, doen ze het vast niet goed.
13-01-2018, 16:54 door Anoniem
NGO; dat heet in Nederland toch gewoon een stichting?
13-01-2018, 17:50 door Anoniem
Door Anoniem: NGO; dat heet in Nederland toch gewoon een stichting?
Nee, een NGO kan ook een vereniging of een trust zijn, en zelfs een onderneming die niet enkel winst als oogmerk heeft kan een NGO zijn (althans volgens de Engelstalige Wikipedia). Termen als vereniging, stichting en trust slaan op de typen rechtspersonen die de wet erkent, de term NGO slaat meer op de maatschappelijke rol van een organisatie en is niet zo precies in juridische termen gedefinieerd.
13-01-2018, 17:59 door karma4
Door Anoniem: NGO; dat heet in Nederland toch gewoon een stichting?
kan van alles zijn https://nl.wikipedia.org/wiki/Niet-gouvernementele_organisatie
13-01-2018, 18:27 door Briolet
Door Anoniem:
Door Briolet:
De naam van de NGO is niet bekendgemaakt, maar Trend Micro zegt dat beide aanvallen geen succes hadden.

Wat is dit voor non-nieuws. Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.

Ik mag hopen dat spear phishing toch wat zeldzamer is dan jij nu lijkt te denken. Het is wel bijzonder interessant om te weten om welke NGO's het gaat, in verband met het doel van de spear phishing. Jammer dat ze dat niet bekend maken.

Persoonlijk vind ik één spearphisching mailtje in een jaar nog steeds zeldzaam. Jij maakt er nu plots meer van door het over NGO's te hebben terwijl het artikel het maar over één NGO heeft.

Dat team wat deze mailtjes verstuurd zal dit echt in grotere getale doen. Geen miljoenen per dag, maar echt wel meerdere gerichte mailtjes per dag. Dus blijf ik erbij dat een niet gelukte phishingmail geen nieuws is als je er verder ook geen namen bij noemt.
13-01-2018, 19:42 door Anoniem
Weer een bericht met b schuldiging zonder bewijs. Waarom accepteren we vage vermoedens als beschuldiging van wie dan ook?
13-01-2018, 20:30 door karma4
Door Briolet: .....
Dat team wat deze mailtjes verstuurd zal dit echt in grotere getale doen. Geen miljoenen per dag, maar echt wel meerdere gerichte mailtjes per dag. Dus blijf ik erbij dat een niet gelukte phishingmail geen nieuws is als je er verder ook geen namen bij noemt.
Ben ik met je eens.
14-01-2018, 11:17 door Anoniem
Door Briolet:
Door Anoniem:
Door Briolet:
De naam van de NGO is niet bekendgemaakt, maar Trend Micro zegt dat beide aanvallen geen succes hadden.

Wat is dit voor non-nieuws. Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.

Ik mag hopen dat spear phishing toch wat zeldzamer is dan jij nu lijkt te denken. Het is wel bijzonder interessant om te weten om welke NGO's het gaat, in verband met het doel van de spear phishing. Jammer dat ze dat niet bekend maken.

Persoonlijk vind ik één spearphisching mailtje in een jaar nog steeds zeldzaam. Jij maakt er nu plots meer van door het over NGO's te hebben terwijl het artikel het maar over één NGO heeft.

Het artikel linkt ook aan andere organisaties (WADA, Clinton, MH17) met de opmerking dat het wel eens dezelfde groep kan zijn. Dan maak ik er niet meer van, jij onderschat de impact van de reden. We weten niet wie nog meer wordt aangevallen, en niet wat de reden is om een Nederlandse NGO op deze geavanceerde(re) manier aan te vallen. Ik geloof er overigens niets van dat dit heel geavanceerde aanvallen geweest zijn, de geavanceerde aanvallen worden echt niet door een virusscanner gezien/gevonden. Daarvoor komen ze te weinig voor, en daarvoor is het te makkelijk om de virusscanner (en hun detectiegroepen) te omzeilen.


Dat team wat deze mailtjes verstuurd zal dit echt in grotere getale doen. Geen miljoenen per dag, maar echt wel meerdere gerichte mailtjes per dag. Dus blijf ik erbij dat een niet gelukte phishingmail geen nieuws is als je er verder ook geen namen bij noemt.

Wat bijzonder is, is dat deze door een virusscanner wordt gezien. Dat geeft aan dat deze aanval niet heel bijzonder is, zoals hierboven al betoogd. Desalniettemin bijzonder genoeg om te melden gezien het verband dat wordt gelegd met de andere aanvallen.
14-01-2018, 13:59 door Anoniem
Wat is dit voor non-nieuws. Er worden dagelijks phishingaanvallen uitgevoerd die geen succes hebben. Ik durf ook wel te stellen dat ze vorig jaar, zonder succes een phishingmail naar een Nederlandse multinational verstuurd hebben.

Dat er dagelijks misdrijven plaats vinden, wil toch ook niet zeggen dat misdrijven niet in de krant, of op het journaal komen ? Verder bevat het rapport nuttige technische informatie m.b.t. de aanval.

Weer een bericht met beschuldiging zonder bewijs. Waarom accepteren we vage vermoedens als beschuldiging van wie dan ook?

Doorklikken naar de bron, voor inhoudelijke informatie, was te lastig ?
14-01-2018, 14:03 door Anoniem
Dus blijf ik erbij dat een niet gelukte phishingmail geen nieuws is als je er verder ook geen namen bij noemt.

Tja, en de privacy van de slachtoffers, dat boeit niet ? AV bedrijven moeten zonder meer de identiteit van klanten onthullen, wanneer ze informatie over aanvallen publiek maken ? Het spreekt voor zich dat ze dit niet zomaar kunnen doen, zowel vanuit juridische als ook vanuit morele overwegingen.

Wat is je probleem? Alles dat niet meedoet aan het Rusland bashen moet verwijderd worden? Stel je voor dat iemand aan de officiele lezing zou gaan twijfelen.

Niveau daalt. Reageer gewoon volgende keer met ''fake news''. Want al wat je niet gelooft, kan je vandaag de dag (zonder onderbouwing) als onzin terzijde schuiven. Het is vrij logisch dat mensen een probleem hebben met dit soort reacties.

Ik heb overigens in mijn werk dagelijks te maken met Russische APT groepen. Dit is gewoon realiteit en heeft *niets* van doen met bashen. Als malware analyst heb ik verder weinig boodschap aan ''officiele lezingen''. Ik heb een boodschap aan feiten.
14-01-2018, 19:59 door Anoniem
Door Anoniem:
Weer een bericht met beschuldiging zonder bewijs. Waarom accepteren we vage vermoedens als beschuldiging van wie dan ook?

Doorklikken naar de bron, voor inhoudelijke informatie, was te lastig ?
Trend micro geeft geen inhoudelijke informatie en geeft dus geen bewijs. Of zijn we al zo ver weggezakt dat vage niet inhoudelijk beschreven vermoedens van relaties tegenwoordig bewijs is?
14-01-2018, 20:21 door Anoniem
Door Anoniem: Ik heb overigens in mijn werk dagelijks te maken met Russische APT groepen. Dit is gewoon realiteit en heeft *niets* van doen met bashen. Als malware analyst heb ik verder weinig boodschap aan ''officiele lezingen''. Ik heb een boodschap aan feiten.
Lezers hebben ook boodschap aan feiten. Helaas geven analysten als die van Trend Micro nooit feiten die het bewijs leveren welke aanvaller verantwoordelijk is voor een APT. Vervelender nog, wat ze als feiten leveren komt niet eens in de buurt van aantonen dat een aanval een APT is in plaats van ordinairee phishing. Denk je dat lezers je geloofwaardig nemen als je als analyst feiten eist maar ze zelf weigert te leveren? Noem één publieke bron die te controleren is op beweringen over APT en de daders. Of anders, noemen een bron van een niet Amerikaans of Europees bedrijf die kan verifiëren dat de beweringen van dit soort bedrijven als trend micro kloppen. Geen wonder dat lezers twijfelen of door slaan in conspiracy black flags. Jullie veroorzaken die ruimte om terecht te twijfelen zelf en hebben niet het analytisch vermogen om dat te doorgronden of er wat aan te doen. Als je je lezest niet serieus neemt hoef je dat niet zo opvallend te laten merken.
15-01-2018, 11:03 door Anoniem
Trend Micro is een Japans bedrijf... :) Vordeel is dat de bedrijfscultuur veel minder ruimte voor twijfel geeft en het bericht daarmee veel meer gewicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.