‘Datadiefstal-campagne Operation GhostSecret treft 17 landen’

Abonneer je gratis op Techzine!

Beveiligingsonderzoekers van McAfee hebben ontdekt dat 17 landen en meerdere industrieën getroffen zijn door van Operation GhostSecret. Deze campagne werd vorige maand ontdekt, waarbij men oorspronkelijk uitging van een aanval door Noord-Korea op Turkse banken.

De datadiefstal treft onder meer Australië en de Verenigde Staten. Hackers die gelinkt worden aan Pyongyang probeerden van 14 maart tot 26 maart gevoelige informatie uit verschillende industrieën te bemachtigen. Daarbij valt onder andere te denken aan kritische infrastructuur, telecommunicatie, de gezondheidszorg en het hoger onderwijs. McAfee noemt de getroffen organisaties niet bij naam, maar geeft wel aan dat de meeste aanvallen zich in Aziatisch-Pacifisch bevinden.

Steeds groter

Aanvankelijk identificeerde het bedrijf aanvallen op Turkse financiële instellingen en overheidsinstanties, waarbij een zogeheten “Bankshot-implantaat” komt kijken. In dat geval worden via de bijlagen van een e-mail malafide bestanden in Microsoft Word verzonden. Bij het downloaden van de bestanden raakten de computers geïnfecteerd.

De aanval groeide echter in omvang en activiteiten, er werd nieuwe malware toegevoegd. Een nieuwe wiper tool – die ook gebruikt werd bij de Sony Pictures-hack – verwijdert bestanden op geïnfecteerde computers. Een ander type malware verbergt de aanwezigheid van de hacker door middel van encryptie. Al deze methodes vallen onder Operation GhostSecret vanwege de gelijkenissen in de codes, mogelijkheden en timing.

McAfee legt aan The Wall Street Journal uit dat de campagne nog steeds actief is. Voorlopig weet men nog niet precies wat de hackers bemachtigden, aangezien dit moeilijk vast te stellen is bij digitale bezittingen. Kwaadwillenden die toegang krijgen tot een computer zijn uiteindelijk in staat om bestanden de verwijderen, data te stelen of netwerken te onderzoeken op kwetsbaarheden om latere aanvallen uit te voeren. McAfee chief scientist Raj Samani laat aan de zakenkrant weten dat de kwaadwillenden zich ook in jouw netwerk kunnen bevinden, om te ontdekken hoe je te werk gaat.

Noord-Korea

Volgens cybersecurity-specialisten worden de cyberaanvallen van Noord-Korea steeds gevaarlijker, onder andere vanwege de opgelegde economische sancties. Het resulteert in gerichte aanvallen op infrastructuursystemen en het stelen van geld. De benadering van Noord-Korea onderscheidt zich vanwege het feit dat het regime van Kim Jong Un politiek geïsoleerd is. Daardoor hoeft het land niet te vrezen voor diplomatieke sancties.

In zijn rapport stelt McAfee veel vertrouwen te hebben dat Operation GhostSecret het werk is van Lazarus Group. Dit hackerscollectief wordt vaker gelinkt aan de Noord-Koreaanse overheid, bijvoorbeeld tijdens de WannaCry-aanval.