F-Secure Labs legt een cyberaanvalcollectief bloot dat informatie verzamelt over het buitenlands en beveiligingsbeleid van landen in Europa, waarbij gebruik wordt gemaakt van spyware die is ontwikkeld voor veiligheidsdiensten.
In een onlangs verschenen rapport maakt F-Secure melding van een tot nog toe onbekend cyberaanvalcollectief dat op illegale wijze informatie verzamelt over het buitenlands en beveiligingsbeleid in Oost-Europa en de zuidelijke Kaukasus. Er worden geen specifieke slachtoffers geïdentificeerd, maar het is duidelijk dat dit collectief inlichtingen en veiligheid als het belangrijkste motief ziet. Het rapport beschrijft deze Callisto Group als een zeer gemotiveerde en goed toegeruste bedreiging die cyberaanvallen uitvoert op militair personeel, overheidsdienaren, journalisten en denktanks sinds op zijn laatst 2015.
Het rapport vermeldt dat de infrastructuur van het collectief banden heeft met entiteiten in Rusland, Oekraïne en China, maar geeft geen uitsluitsel over de vraag wie er achter zit. Tevens wordt onderstreept dat er aanwijzingen zijn dat het collectief banden heeft met een natiestaat. De aard van deze relatie blijft echter onduidelijk.
Inlichtingen en veiligheid
“Hun handelwijze lijkt erg op die van een natiestaat, maar er is ook bewijs dat er een verband is met een netwerk dat gebruik wordt door criminelen”, zei F-Secure Security Adviseur Sean Sullivan. “Het kan dus een onafhankelijk collectief zijn dat wordt ingehuurd door regeringen om dit werk uit te voeren. Maar het kan ook zo zijn dat zij dit op eigen houtje doen met de bedoeling de verkregen informatie te verkopen aan een regering of een veiligheidsdienst.”
Zeer gerichte phishing
Het rapport geeft ook details vrij van de patronen van de aanvallen die de Callisto Group uitvoert om hun doelen te treffen. De Callisto Group maakt gebruik van zeer gerichte phishing-aanvallen om persoonlijke gegevens omtrent e-mailaccounts te stelen. Daarnaast maakt men gebruik van spear phishing e-mails, die in hoge mate gepersonaliseerd zijn, om beoogde doelen te infecteren met malware. Deze spear phishing e-mails werden vaak verstuurd vanuit e-mailaccounts die bij een eerdere aanval gekraakt zijn.
De malware die door deze spear phishing e-mails wordt ‘geleverd’ is ontwikkeld om informatie te stelen van hun doelen en om hen met nog meer malware te infecteren. Het rapport merkt op dat deze malware een variant is op de Scout-tool, die is ontwikkeld door het Italiaanse surveillancebedrijf HackingTeam. Deze Scout-tool was onderdeel van een spyware toolset dat dit bedrijf verkocht aan overheidsinstanties maar dat was gestolen en online uitgelekt in 2015.*
Privacy schenden
Volgens F-Secure Chief Information Security Officer Erka Koivunen maakt de manier waarop de Callisto Group spyware gebruikt, die voor overheden is ontwikkeld, pijnlijk duidelijk wat de gevaren zijn van surveillancetechnologieën. “Het feit dat cyberaanvallers spyware van overheidsniveau toepassen zou voor niemand als een verrassing moeten komen. Tools voor online toezicht en surveillance zijn van nature ontwikkeld om de privacy van mensen te schenden. In goed functionerende democratieën worden deze schendingen beperkt door wetgeving en kunnen burgers ervan op aan dat de autoriteiten zorgvuldig te werk gaan, waarbij er sprake is van verschillende controleslagen”, zei Koivunen. “Maar door datalekken en het uitlekken van professionele surveillancetools is het mogelijk deze technologie te misbruiken. Het schenden van de privacy behoort nu ook tot de uitrusting van verschillende internetcriminelen. Dit zou overheden eraan moeten herinneren dat we geen monopolie hebben op deze technologieën en dat huurlingen, vijandige naties en andere bedreigende krachten niet zullen aarzelen om surveillance mogelijkheden tegen onszelf in te zetten.”
Indicatoren
Het rapport benadrukt dat het collectief actief blijft en dat het onzeker is hoe men zal reageren op hun ontmaskering. Tevens geeft het rapport aan wat de indicatoren zijn van een aanval of een infectie waar de Callisto Group – of collectieven die dezelfde techniek gebruiken – bij betrokken is. Vervolgens worden strategieën geboden die risico’s kunnen verkleinen. De producten van F-Secure omvatten nu verschillende detectiemogelijkheden (generieke of aan de hand van gedragspatronen) die gebruikers beschermen tegen activiteiten van de Callisto Group.
* Bron: https://arstechnica.com/security/2015/07/hacking-team-gets-hacked-invoices-show-spyware-sold-to-repressive-govts/