Rusland Zandworm hacken van de groep luidt nieuw tijdperk van cyber warfare

0
5

Sprekers in dit jaar CyberwarCon conferentie die een nieuw tijdperk van cyber warfare, als natie-staat acteurs zetten naar een gastheer van nieuwe advanced persistent threat (APT) strategieën, tools en tactieken om aanvallen van tegenstanders te bespioneren binnenlandse dissidenten en rivalen. Het meest zichtbare voorbeeld van dit nieuwe tijdperk van de natie-staat ‘ digitale oorlogvoering is een russische militaire inlichtingendienst groep genaamd de Zandworm, een mysterieuze hacken initiatief waarover weinig bekend geweest, tot voor kort. De groep heeft toch gestart met enkele van de meest destructieve cyberaanvallen in de geschiedenis.

[ Leren wat je moet weten over het verdedigen van de kritieke infrastructuur . | Voor het laatste nieuws van CSO door je aan te melden voor onze nieuwsbrieven. ]

Wired-journalist Andy Greenberg heeft zojuist een high-profile boek over de groep, waarin hij zei op de conferentie is een verslag van de eerste full-blown cyberwar geleid door de russische aanvallers. Hij begon het evenement met een diepe duik in de Zandworm, het verstrekken van een overzicht van de meest menselijke ervaringen van de groep kwaadaardige inspanningen.

Zandworm eerste ontstond in het begin van 2014 met een aanval op de oekraïense elektriciteitsnet “dat was een soort van werkelijke cyberoorlog in uitvoering”, Greenberg zei. De netbeheerders in Oekraïne keken hulpeloos als “phantom muis aanvallen” verscheen op de schermen tijdens het Zandworm sluit hen uit van hun systemen, bleek uit de back-up voeding aan hun controle kamers, en vervolgens uitgeschakeld elektriciteit op een kwart miljoen oekraïense burgers voor het eerst een black-out veroorzaakt door hackers.

[ Voor te bereiden op een (Certified Information Security Systems Professioneel met deze complete online cursus van PluralSight. Nu het aanbieden van een 10-daagse gratis proefperiode! ]

Eind 2016, Zandworm sloeg de oekraïense opnieuw raster. “Het was een typisch voorbeeld van een natie-staat is storend aanval op een tegenstander die in het midden van een kinetische oorlog”, Greenberg zei. Als het niet was voor een configuratie fout in de Zandworm ‘ s malware, de aanval zou kunnen zijn veel meer verwoestende. Het kan zijn afgebrand lijnen of opgeblazen transformatoren, als Joe Slowik op Dragos recent ontdekte in zijn onderzoek van het incident, Greenberg gewezen.

Uitgaan van wat er is gebeurd in de Oekraïne zal gebeuren elders

Dit was “de soort van destructieve act op het elektriciteitsnet hebben we nog nooit eerder gezien, maar we hebben altijd gevreesd.” Nog meer over “wat gebeurt er in de Oekraïne we ervan uitgaan zal er gebeuren met de rest van ons ook, want Rusland is te gebruiken als een proeftuin voor cyberwar. Dat cyberwar zal vroeg of laat morsen uit naar het Westen,” Greenberg zei. “Als je voorspellingen als dit heb je echt niet wilt dat ze komen.”

Zandworm de vijandige aanvallen deed morsen uit naar het Westen in de volgende grote aanval, de NotPetya malware, die raasde over de continenten in juni 2017 veroorzaakt onnoemelijke schade in Europa en de Verenigde Staten, maar vooral in Oekraïne. NotPetya, nam down “300 oekraïense bedrijven en 22 banken, vier ziekenhuizen dat ik ben me bewust van, meerdere luchthavens, vrijwel elke overheidsinstelling. Het was een soort van een tapijt bombardementen van de oekraïense internet, maar het deed onmiddellijk verspreid naar de rest van de wereld vervullen van [mijn] voorspelling veel sneller dan ik ooit wilde,” Greenberg zei.

De enorme financiële kosten van NotPetya zijn nog onbekend, maar voor bedrijven die een prijskaartje op de aanval, de cijfers zijn onthutsend. Verzend-gigant Maersk, die worstelde maanden de tijd om terug op zijn voeten na het bekijken van al haar computer schermen aan de beurt “zwart, zwart, zwart, zwart, zwart,” in de woorden van één Maersk werknemer, gepend en de prijs van de aanval op $300 miljoen. Farmaceutisch bedrijf Merck geleden nog grotere gevolgen, met een geschatte kostprijs van de aanval op $870 miljoen. Deze en andere bekende financiële verliezen, die tot op heden worden geschat op $10 miljard, moet worden beschouwd als een vloer, een minimum meten van de impact van de gevolgen van NotPetya, Greenberg zei, verwijzend naar de vroegere AMERIKAANSE Department of Homeland Security adviseur Tom Bossert.

Zandworm doelstellingen van politieke campagnes, global events

Google security onderzoekers Neel Mehta en Billy Leonard aangeboden nieuwe en extra inzicht in de Zandworm de activiteiten op de conferentie. Ze begon te graven in de Zandworm rond de tijd van de 2017 franse verkiezingen, toen de groep begon met targeting Emmanuel Macron de presidentiële campagne.

Voordat Zandworm nam de russische staat het hacken van de inspanningen, die Mehta en Leonard pinpoint tot en met 14 April, een andere hacking arm van Rusland de belangrijkste intelligence-arm, de GRU, was op de plaats en zich ook te richten op Macron-campagne. “Het is bijna als het B-team werd genoemd naar de bal pakken en naar huis gaan en zij noemden het A-team,” Leonard zei. “De infrastructuur, de rekeningen, alles mee te maken. Twee zeer verschillende activiteiten.”

Dan, in de herfst en vroege winter van 2017, Zandworm gedraaid aan het richten van Zuid-Korea en een aantal organisaties in verband met de Olympische spelen gehost in PyeongChang. Op dat punt Zandworm begon targeting Android-telefoons in een poging om malware te verspreiden door middel van een aantal van de besmette apps, Mehta en Leonard zei.

Hun tactiek was over te nemen van een aantal legitieme apps die populair waren in Zuid-Korea, zoals een bus rooster app. Zij deed dit door het downloaden van de legitieme app, backdooring en vervolgens opnieuw te uploaden op de plaats waar de legitieme versie van de app moet worden.

Hoewel het doel van deze Android-infectie pogingen is onduidelijk – Mehta en Leonard zei dat er geen apparaten zijn besmet met de malware – de laatste activiteit van Zandworm in Zuid-Korea was medio Maart 2017, een rariteit gezien het feit dat de Olympische spelen eindigde in februari van dat jaar.

Russische bedrijven ook een doel

Zandworm nam een andere wending, echter, in het Voorjaar van 2018, wanneer de Google-onderzoekers zagen dezelfde malware gebruikt in het binnenland gerichte ondernemingen in de interne Rusland, met inbegrip van commercieel vastgoed bedrijven, financiële instellingen en de automotive industrie. “Je ziet deze groep er heen te gaan, gericht op de Olympische spelen, probeert te doen storend aanslagen op de Olympische spelen, [dan] targeting binnenlandse bedrijven in Rusland,” Leonard zei. “Dat is een vrij grote verschuiving.”

Daarna, in de herfst van 2018 Zandworm begon targeting software-ontwikkelaars en ontwikkelaars van mobiele toepassingen en andere ontwikkelaars, die hoofdzakelijk in de Oekraïne. Zij slaagden er in compromitterende een applicatie ontwikkelaar, Mehta en Leonard zei.

Alle landen, niet alleen in Oekraïne, zijn uiterst kwetsbaar voor Zandworm aanvallen. Parafraseren voormalige NSA en CIA Directeur Michael Hayden, die eens zei: “Op het internet, we zijn allemaal Polands,” verwijzend naar Duitsland is gemakkelijk invasie van het land in de tweede Wereldoorlog, Greenberg, zei Hayden was uitgeschakeld door een paar honderd mijl. “Op het internet, we zijn allemaal Oekraïne.”

Meer over de kritieke infrastructuur:

  • De Bescherming van kritieke Infrastructuur (CIP): veiligheidsproblemen bestaan ondanks de naleving
  • Is de kritieke infrastructuur de volgende DDoS doel?
  • Top security certificeringen voor kritieke infrastructuur — per sector
  • Kritieke infrastructuur: Uit het web van gevaar?

Dit verhaal, “Rusland Zandworm hacken van de groep luidt nieuw tijdperk van cyber warfare” werd oorspronkelijk gepubliceerd door