Interview SecureWorks: Rusland zet hackersgroep Iron Twilight op grote schaal in

Security
Interview SecureWorks: Rusland zet hackersgroep Iron Twilight op grote schaal in

Eind maart kwam beveiligingsbedrijf SecureWorks met een rapport naar buiten waarin ze de Russische hackersgroep Iron Twilight hebben geanalyseerd. Deze hackersgroep is al door meerdere beveiligingsbedrijven onderzocht en keer op keer gelieerd aan de Russiche overheid. Uit het rapport van SecureWorks blijkt dat Rusland de hackers te pas en te onpas inzet om waardevolle informatie buit te maken. Wij hebben Tom Finney van SecureWorks eens aan de tand gevoeld, al was het maar om te achterhalen hoe zeker hij en zijn bedrijf zijn van hun bevindingen.

De hackersgroep Iron Twilight gaat zeer geraffineerd te werk en maakt daarbij voornamelijk gebruik van spearphishing. De slachtoffers zijn niet willekeurige personen, maar specifiek uitgezocht omdat ze een bepaalde rol of functie hebben. Zo richt de hackersgroep zich voornamelijk op journalisten die zich bezighouden met voormalige Sovjet-landen, waarbij Oekraïne en Georgië er duidelijk bovenuit springen. Ook richt de hackersgroep zich op politici en politieke organisaties. Het speelde een rol in de Amerikaanse verkiezingen, maar ook in het onderzoek naar het neerhalen van vlucht MH17.

Het doel van deze hacks is om gevoelige informatie in handen te krijgen die dan gebruikt kan worden in Russisch voordeel. Iron Twilight is de afgelopen jaren al meerdere malen in het nieuws gekomen, maar steeds onder andere namen. Nu is duidelijk dat APT28, Pawn Storm, Scofacy, Tsar Team, Strontium en Fancy Bear, allemaal onderdeel of andere namen zijn van Iron Twilight.

Tijdens ons interview met Tom Finney van Secureworks, kon hij niet met 100 procent zekerheid zeggen dat de Russische hackersgroep achter de aanvallen zit. Dat heeft voor een belangrijk deel te maken met de structuur van het internet en de vele manieren waarop je je identiteit kan verbergen. Hierdoor zal het nooit mogelijk zijn om 100 procent zeker te zijn in dit soort gevallen. In een rechtbank zou het waarschijnlijk ook geen standhouden, maar als je alle bewijzen naast elkaar legt, dan is er volgens Finney maar één logisch antwoord.

Het doel van Iron Twilight was in het beginsel om militaire inlichtingen te verzamelen maar de hackersgroep werd daarna veel vaker ingezet als politiek middel. De hackersgroep gebruikt zoals eerder vermeld spearphising. Daarbij werden er e-mails verstuurd die niet van echt zijn te onderscheiden, waarin werd gewerkt met de urlverkortingsdienst bit.ly. Deze bit.ly url’s zorgden ervoor dat mensen een Gmail-login pagina te zien krijgen waarbij hun e-mailadres al is ingevuld en hun vaste foto wordt getoond. Hierdoor lijkt de website betrouwbaarder en wordt de url minder snel gecontroleerd, want die komt in dit geval niet overeen met Google.com. Zodra een gebruiker inlogt met zijn wachtwoord, beschikken de hackers over de logingegevens van het slachtoffer.

SecureWorks slaagde erin om te achterhalen welke gebruikersaccount de hackersgroep gebruikte om deze Bit.ly urls aan te maken. Hierdoor kon het via de API van Bit.ly elke dag opvragen welke urls er recent waren aangemaakt en kon het inzichtelijk maken op wie de hackersgroep het had gemunt. Gedurende een lange periode kon SecureWorks zien wat de doelwitten waren van de hackersgroep, hieruit kon het afleiden dat men zeer geraffineerd te werk ging. De ene dag werden er leden van de Democratische Partij in de Verenigde Staten aangevallen, terwijl de dag erna de lijst bestond uit militaire attachees in Europa, personen die werkzaam zijn voor de NAVO, journalisten die verslag doen van Oost-Europa, onderzoekers van de MH17-aanslag of doelwitten in Zuid-Azië. Het waren duidelijk lijsten met personen die vooraf nauwkeurig waren samengesteld.

SecureWorks heeft zelfs een aanval terug kunnen herleiden naar vrouwen die getrouwd zijn met mannen die dienen voor het Amerikaanse leger. Doordat deze mannen makkelijker met hun vrouw communiceren kan in sommige gevallen waardevolle missie-informatie worden buitgemaakt. Bijvoorbeeld de locatie waar de man zich op dat moment bevindt als hij is uitgezonden.

De hackersgroep heeft verder onder meer een Frans televisiestation platgelegd en een Engels televisiestation volledig geïnfiltreerd, zonder tot actie over te gaan overigens. Ook is de Democratische Partij gehackt en zijn er documenten uitgelekt die de Amerikaanse verkiezingen moesten beïnvloeden. Uiteindelijk hebben de Republikeinen die verkiezingen gewonnen. Of de hacks en het uitlekken van de documenten daarin een doorslaggevende rol hebben gespeeld, is niet aan te tonen.

Wat voor de Nederlandse lezer interessanter is, is dat zowel de Dutch Safety Board als Bellingcat zijn aangevallen door de Russen. De Dutch Safety Board is de organisatie die onderzoek doet naar de MH17-aanslag, waarvan de onderste steen nog steeds niet boven is. Bellingcat is een groep burgerjournalisten die bewijzen hebben verzameld rond het neerhalen van MH17 met een BUK-raket.

Voorafgaand aan de Olympische Spelen in Rio werd door het WADA (Wereld Anti-Doping Agency) bekendgemaakt dat de Russische overheid een dopingprogramma had opgesteld voor de eigen atleten, zodat deze optimaal konden presteren op de Olympische Spelen. Het gevolg was dat Rusland werd uitgesloten van deelname aan de spelen en alle Russische sporters niet welkom waren. Kort daarna maakte het WADA en het Court of Arbitration in Sport (CTU) bekend te zijn gehackt. Deze hackers werden door beveiligingsexperts al snel gelinkt aan Iron Twilight. Daarna verschenen er in september 2016 ook ineens medische gegevens van Westerse sporters online die doping gebruikt zouden hebben. Deze documenten waren buitgemaakt op de hacks op het WADA.