Russische staatshackers hebben hun aandacht verlegd naar aanvallen op de cloud en de infrastructuur daarachter. Ze richten zich op het stelen van tokens die toegang geven tot deze grote decentrale netwerken. Hiervoor waarschuwt het Britse National Cyber Security Centre (NCSC) en zijn Five Eyes-partners, een groep van samenwerkende cybersecurityorganisaties uit de Angelsaksische landen.
De afgelopen twaalf maanden is de werkwijze veranderd van Russische hackers-groepen zoals APT29 (Cozy Bear) die nauw samenwerken met de Russische buitenlandse spionagedienst SVR. Ze kapen de inloggegevens van iemands account en installeren hun eigen apparaten in de cloud-omgeving van het slachtoffer. Ook kraken ze een systeemaccount door alle mogelijke wachtwoord-combinaties te proberen. Nog effectiever is ‘password spraying’ waarbij aanvallers zich op meerdere accounts richten met een beperkte set veel voorkomende wachtwoorden. Zodra de initiële toegang is verkregen, is de actor in staat zeer geavanceerde capaciteiten in te zetten. Traditionele aanvalsmethoden zoals het misbruiken van kwetsbaarheden in software raken meer op de achtergrond.
Denktanks
De Russen doen dit omdat veel Westerse denktanks en doelwitten in de gezondheidszorg en energiesector zijn overgestapt op een cloud-gebaseerde infrastructuur. Recent valt een uitbreiding van de cloud-aanvallen waar te nemen naar de luchtvaart, het onderwijs, de wetshandhaving, gemeenten, provincies, financiële instellingen van de overheid en militaire organisaties.
De Russische geheime dienst SVR zat achter het compromitteren van de toeleveringsketen van SolarWinds-software in 2020. Ook werden met succes organisaties aangevallen die betrokken waren bij de ontwikkeling van het Covid-19-vaccin.
Het rapport van het Britse NCSC geeft ook een overzicht van de maatregelen ter bescherming tegen aanvallers.
Het was Edward Snowden die ons waarschuwde voor samenwerkende cybersecurityorganisaties uit de Angelsaksische landen want belangen van Five Eyes-partners staan nog altijd haaks op de Europese belangen zoals een rapport uit 2014 duidelijk maakt over spionage door Angelsasksische landen:
https://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/moraes_1014703_/moraes_1014703_en.pdf
Kort gezegd faciliteert de cloud spionage want de toegang tot de netwerken leidt tot de toegang tot informatie ook al is de boodschap versleuteld. Alleen al het ‘wie-spreekt-met-wie’ in de routering geeft inzichten in hoe sommige dingen met elkaar verbonden zijn. En misschien dat de Britse NCSC daarom ook even een overzicht moet geven van alle menselijke schakels in de informatieketens. Want SVR zal traditionele methoden van omkoping en afpersing niet afgezworen hebben.