Vredesbeweging Pax is eind vorig jaar het doelwit geworden van een gerichte phishingaanval, uitgevoerd door een groep genaamd Pawn Storm die eerder de onderzoeksraad van MH17, het Wereld Anti-Doping Agentschap (WADA) en de presidentscampagne van Hillary Clinton aanviel.
Dat laat anti-virusbedrijf Trend Micro tegenover Human weten. Mogelijk gaat het om dezelfde aanval waar Security.NL begin januari al over berichtte. De aanvallers registreerden voor de eerste aanval het domein mail.paxforpeace.com, dat lijkt op het echte domein van de organisatie: mail.paxforpeace.nl. Onderzoeker Feike Hacquebord ontdekte het domein en waarschuwt Pax op 1 november. Een dag later ontvangen achttien medewerkers een phishingmail waarin wordt gevraagd het wachtwoord te veranderen.
Vervolgens registreren de aanvallers het domein mail-paxforpeace.nl. Op 14 november wordt vervolgens opnieuw een phishingmail naar een handjevol Pax-medewerkers gestuurd. Waarom Pawn Storm het op Pax heeft voorzien is onduidelijk. Begin januari berichtte Security.NL over onderzoek van Trend Micro dat een Nederlandse NGO eind vorig jaar tot twee keer toe het doelwit van een gerichte phishingaanval was geworden. Het anti-virusbedrijf maakte toen niet de naam van de NGO bekend. We hebben Trend Micro dan ook gevraagd of het hier inderdaad om Pax ging of een andere organisatie.
Volgens verschillende beveiligingsbedrijven is Pawn Storm, ook bekend als Fancy Bear of APT28, een groep hackers die vanuit Rusland opereren en mogelijk steun van de Russische overheid krijgen. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels en het campagneteam van de Franse president Macron door de groep aangevallen.
Het anti-virusbedrijf gaf Security.NL de volgende reactie: "Trend Micro doet geen uitspraak over doelwitten van aanvallen. De betreffende NGO heeft daarnaast aangegeven niet verder in te willen gaan op de zaak. Trend Micro respecteert dit."
Deze posting is gelocked. Reageren is niet meer mogelijk.