Cyberspionnen richten zich steeds vaker op ngo's (non-gouvernementele organisaties) en actiegroepen. De aanvallen zijn bovendien geavanceerder. Dat blijkt uit een analyse door Computable van berichten van securityleveranciers.
Onderzoekers van de Counter Threat Unit (CTU) van beveiliger Secureworks delen details over de activiteiten van Bronze President. Dat is een groep cyberspionnen waarschijnlijk actief vanuit China, die de beveiliger sinds 2018 observeert. De groep drong mogelijk al sinds 2014 de eerste netwerken binnen.
Bronze President richt zich op ngo’s die actief zijn op het gebied van politiek en wetshandhaving in landen die grenzen aan de Volksrepubliek China, waaronder Mongolië en India. ‘Sommige phishing-berichten wijzen erop dat de groep belangstelling heeft voor nationale beveiliging, humanitaire hulp en wetshandhavers in het zuidoosten van Azië. Dit toont aan dat Bronze President naast het aanvallen van ngo’s, waarschijnlijk ook van plan is om andere landen te bespioneren’, stelt de beveiliger.
De cybercriminelen hebben tools ontwikkeld waarmee ze hun aanvallen op afstand (remote acces) uitvoeren. Deze worden gebruikt naast publiek beschikbare remote access tools en post-compromise tools. Na het netwerk van een organisatie te zijn binnengedrongen, verhogen de cybercriminelen hun privileges en installeren ze malware op een groot deel van de systemen. De groep maakt gebruik van aangepaste scripts om specifieke bestandstypes te verzamelen en neemt proactieve stappen om de detectie van zijn activiteiten tot een minimum te beperken, sommen de onderzoekers op.
China
Hoewel door China gesteunde cybercriminelen wel vaker buurlanden bespioneren, is volgens de onderzoekers op zorgwekkende wijze aangetoond dat de criminelen in staat zijn eigen malware op te bouwen en te ontwikkelen. ‘Dit blijkt uit het gebruik van tools die door geen enkele andere groep cybercriminelen worden toegepast.’ Er wordt ook gebruikgemaakt van algemeen beschikbare of aangepaste opensource-tools.
‘Dit kan een strategische zet zijn om het risico van detectie te verminderen of om de behoefte aan middelen voor het ontwikkelen van eigen tools tot een minimum te beperken. Na een aanval op een netwerk verwijderen cybercriminelen doorgaans hun tools en processen. De groep laat echter bepaalde malware achter op het netwerk, voor het geval dat andere toegangskanalen worden verwijderd. Toen de activiteiten van de groep bij een bepaald incident werden gedetecteerd, had de groep meer rechten en hield ze gedurende enkele maanden toegang tot het doelwit. Deze ontdekking toont aan dat de groep op een effectieve manier de toegang tot een netwerk langdurig in stand houdt.’ aldus de beveiligingsonderzoekers. Bekijk hier de studie.
Kaspersky
Het verhaal van de aanval op de ngo’s staat niet op zichzelf. Eerder waarschuwde beveiliger Kaspersky al dat het aantal aanvallen op ngo’s toeneemt. Experts ontdekten recent nieuwe versies van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten, ondanks versleuteling. ‘FinSpy is een zeer effectieve softwaretool voor gerichte spionage. De malware heeft eerder informatie gestolen van internationale ngo’s, wetshandhavingsinstanties en overheden over de hele wereld’, schrijft de Russische beveiliger.
De nieuwste versies van de malware richten hun pijlen op berichtendiensten zoals Telegram, Signal en Threema, die veelal als veilig worden beschouwd. De iOS-versie heeft het gemunt op iOS11 en ouder en kan bijvoorbeeld sporen van jailbreak verbergen. De nieuwe versie voor Android bevat een exploit die in staat is rootgebruikerprivileges te verkrijgen. Dat betekent een bijna onbeperkte toegang tot alle bestanden en commando’s op toestellen die niet geroot zijn, aldus de beveiliger.
Volgens Kaspersky wissen de nieuwe FinSpy-versies bovendien hun sporen beter uit dan vorige versies. Zo kan de spionagesoftware gevoelige data zoals gps-locatie, berichten, afbeeldingen en oproepen buitmaken. De spionagesoftware kan volgens de beveiligingsexperts namelijk alle activiteiten op een apparaat monitoren zoals in- en uitgaande berichten, contactgegevens, opgeslagen media en data uit WhatsApp, Facebook Messenger en Viber-diensten. Alle geroofde gegevens worden via sms-berichten of het http-protocol verzonden naar de aanvaller. Het volledige rapport is hier te lezen.
Actiegroepen doelwit
Ook actiegroepen die zich inzetten voor vrije communicatie en open internet, blijken vaak doelwit van aanvallen. De Association for Progressive Communications (APC) meldde eind 2019 dat hackers met aanvallen de website van een mensenrechtenorganisatie dagenlang hebben platgelegd.
Ze stellen dat die aanval niet op zichzelf staat en regimes steeds vaker hackers inzetten om pro-mensenrechtenacties te verstoren door systemen en websites uit de lucht te halen.
Den Haag
De groeiende activiteiten van cyberspionnen die ngo’s aanvallen zijn ook in Nederland niet onopgemerkt gebleven. Begin 2019 startte het publiek-private security-collectief The Hague Security Delta, samen met de gemeente Den Haag en de Universiteit Leiden, een initiatief om het kennisniveau en bewustzijn van en de weerbaarheid tegen cyberaanvallen bij ngo’s te verhogen
Het gaat om ngo’s die zijn gevestigd in Den Haag en een actief netwerk hebben in veel landen wereldwijd. Ze bieden humanitaire hulp en ontwikkeling, bijvoorbeeld tijdens crises en in conflictgebieden zoals Afghanistan en Syrië.