Maandag 08/08/2022

cyberspionage

Hoe Russische 'Sandworm' vijf jaar lang westerse leiders kon bespioneren

null Beeld THINKSTOCK
Beeld THINKSTOCK

'Sandworm', zo wordt de pas ontdekte, Russische cyberspionagecampagne gedoopt, die al bijna vijf jaar aan de gang is. Hackers wisten een zwakke plek in Windows uit te buiten om toegang te krijgen tot de data op pc's van leiders en toplui van de NAVO, de Europese Unie, Oekraïne, telecom-, energie- en defensiebedrijven en universiteiten.

Stefan Grommen

Onderzoekers van het Amerikaanse cyberbeveiligingbedrijf iSight knoopten de losse eindjes van verschillende cyberaanvallen aan elkaar en kwamen zo tot een beeld van een grootschalige spionagecampagne, die volgens hen al sinds 2009 vanuit Rusland wordt gevoerd. De onderzoekers kozen de naam Sandworm omdat de hackers in hun code verwijzingen maakten naar de sciencefictionboekenreeks 'Duin' van Frank Herbert, waarin monsterlijke zandwormen voorkomen. De verwijzingen hielpen de onderzoekers om de verschillende aanvallen met elkaar te verbinden.

De vertrekbasis van de cybercriminelen was een zwakke plek in alle versies van Microsofts besturingssysteem Windows sinds Vista en in Windows Server 2008 en 2012. Via dat gat konden cybercriminelen naar believen code uitvoeren op de pc. Gebruikers werden veelal geïnfecteerd via een besmet PowerPoint-bestand. Om de zwakke plek te verdoezelen, gebruikten de cybercriminelen ook vijf andere, al gepatchte securityproblemen. Als het misbruik dan ontdekt werd, leek het alsof de pc 'slechts' gebruikt werd in een botnet (een netwerk van gehackte computers) om spam te versturen.

ISight werkte nauw samen met Microsoft om het gat te dichten. Het softwarebedrijf zal die oplossing vandaag via de Windows-updates naar alle Windows-gebruikers pushen.

Een cover van één van Frank Heberts 'Dune'-boeken, met een tekening van een 'zandworm'. Beeld kos
Een cover van één van Frank Heberts 'Dune'-boeken, met een tekening van een 'zandworm'.Beeld kos
null Beeld isight
Beeld isight

Heel doelgericht

Dat de oorsprong van de aanvallen Russisch is, concluderen de onderzoekers uit de taal van de bestanden die gebruikt werden voor de 'command-and-control'-servers, de computers die de hele operatie aansturen. Ook de bestanden die gebruikt werden om de zwakke plek uit te buiten, hadden steevast een link met de Russische actualiteit (bijvoorbeeld: "Bekijk hier een lijst met pro-Russische terroristen").

Het lijkt erop dat de aanvallers de voorbije jaren niet op grote schaal, maar net heel doelgericht te werk gingen. ISight maakt gewag van gecomprommiteerde gebruikers bij de NAVO, de EU, de Oekraïense regering, energiebedrijven (voornamelijk in Polen), Europese telecombedrijven en minstens één wetenschapper in de VS. Ook op de jaarlijkse veiligheidsconferentie GlobSec, die traditioneel heel wat wereldleiders aantrekt, werd een aanval uitgevoerd via een besmette e-mail die van de organisatoren leek te komen.

Diplomatieke informatie

De link met de Russische overheid kan niet worden bewezen, maar de informatie waarop de aanvallen mikken, wijst wel in die richting. Sandworm probeert vooral documenten en e-mails te pakken te krijgen die informatie van inlichtendiensten of diplomatieke bronnen bevatten. De focus lag volgens iSight op gegevens die te maken hadden met Oekraïne en Rusland. Ook probeerden de cyberspionnen beveiligingssleutels en -certificaten te stelen om hun campagne verder te zetten en in te breken in andere systemen.

"Sommigen zouden denken dat het doorsnee criminelen zijn", zegt John Hultquist, die aan het hoofd staat van iSights onderzoekteam rond cyberspionage, aan Wired. "Maar ze zijn niet uit op aanzien. Ze willen kennis die maar een paar mensen kunnen gebruiken. Dat is veiligheidsgerelateerde informatie, diplomatieke informatie en inlichtingen over de NAVO, Oekraïne en Polen."

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234