Sandworm

Sandworm (vrij vertaald: zandworm) was een Russische cyberspionagecampagne die bestond uit een geheel van cyberaanvallen. Deze aanvallen werden uitgevoerd door Russische hackers. Zij wisten een zwakke plek in Microsoft Windows uit te buiten om zo toegang te krijgen tot de data op computers van wereldleiders en belangrijke internationale organisaties. De hackers gingen doelgericht op zoek naar informatie bij organisaties als de NAVO, Europese Unie, universiteiten en energie- en defensie-instellingen. Deze cyberspionagecampagne duurde ongeveer vijf jaar en werd ontdekt in september 2014 door iSight.

Benaming bewerken

Deze Russische cyberspionagecampagne kreeg de naam 'Sandworm'. De naam verwijst naar de sciencefictionboekenreeks Duin, geschreven door Frank Herbert. De onderzoekers kozen deze naam omdat de hackers in hun code verwijzingen maakten naar deze boekenreeks. Hierin spelen zandwormen de hoofdrol en verslinden deze alles wat op hun pad komt.

Werking bewerken

Het team van hackers ging heel specifiek te werk. Ze stuurden phishing mails rond met kwaadaardige bijlagen, om op die manier in de computer van het slachtoffer binnen te raken. Het lek bevond zich op computers waarop Windows Vista, Windows 7, Windows 8 of Windows RT geïnstalleerd was. Die lieten toe dat OLE Packager, INF-bestanden ging downloaden en uitvoeren. De hackers maakten vooral gebruik van Microsoft PowerPoint, daarop bevond zich dan een OLE Package object dat verwees naar willekeurige externe bestanden. Zo worden de bestanden gedownload in INF-bestanden en kunnen er specifieke commando’s worden uitgevoerd.^[1] In 2014 ontdekte het beveiligingsbedrijf 'iSight Partners' dat de aanvallers (Rusland) e-mailberichten stuurden met een speciaal geprogrammeerde Powerpointpresentatie in de bijlage. Zodra de ontvanger het bestand opent krijgen de hackers de mogelijkheid code uit te voeren op het getroffen systeem.

Doel bewerken

Het Sandwormteam ging heel doelgericht te werk. Ze spioneerden vooral organisaties en bedrijven als de NAVO, Europese Unie, universiteiten en energie- en defensie-instellingen. De recentste aanvallen werden uitgevoerd op een Poolse energiefirma, westerse overheidsbedrijven en een Frans Telecommunicatiebedrijf. Ze zochten doelgericht naar informatie die vooral politieke en diplomatieke informatie bevatten.

De opdrachtgever van deze hackers is onbekend, vermoedelijk zou Rusland de opdracht hebben gegeven om deze aanvallen uit te voeren. Een element dat aantoont dat Rusland vermoedelijk achter deze aanvallen zat, is de code die ontdekt is op de C&C-server. Deze server is gevestigd in Duitsland en was niet goed beveiligd tegen Russische computerbestanden die geüpload werden door de hackers.^[2]

Geschiedenis bewerken

Vermoedelijk in 2009 ontstond een team van hackers in Rusland. Later kreeg dit team van hackers de naam Sandworm. Tussen 2009 en 2013 werden er verschillende cyberaanvallen uitgevoerd op overheden en private sectoren. De meeste aanvallen werden uitgevoerd op de NAVO. Tijdens de overgang van 2013 naar 2014 namen de activiteiten toe. Onder andere aanwezigen op de GlobSec-conferentie werden slachtoffer van deze aanvallen. De laatste aanvallen, voor Sandworm ontdekt werd, vonden plaats in juni 2014. Westerse overheden, een Pools energiebedrijf en een Frans telecommunicatie bedrijf werden als laatste slachtoffer van deze aanvallen. Op 3 september 2014 werd een lek ontdekt door Isight en werden verschillende overheden en betrokken private sectors verwittigd. Toen op 5 september de technische analyse klaar was, werd een oplossing gevonden voor het lek en verder toezicht gehouden op dreigingen en aanvallen.^[3]

Zie ook bewerken

Externe link bewerken

(en) The Wildlist - Lijst van virussen en wormen "in het wild" (regelmatig gevonden door antivirusbedrijven)

Bronnen, noten en/of referenties

↑ (en) Suspected Russian "Sandworm" cyber spies targeted NATO, Ukraine, arstechnica.com, 14 oktober 2014
↑ (en) Phil Muncaster, Microsoft Zero Day Traced to Russian 'Sandworm' Hackers, Infosecurity Magazine
↑ (en) Pierluigi Paganini, SandWorm hacking team exploited 0-day against NATO and other Government entities, securityaffairs.co, 14 oktober 2014

[1] (en) Suspected Russian "Sandworm" cyber spies targeted NATO, Ukraine, arstechnica.com, 14 oktober 2014

[2] (en) Phil Muncaster, Microsoft Zero Day Traced to Russian 'Sandworm' Hackers, Infosecurity Magazine

[3] (en) Pierluigi Paganini, SandWorm hacking team exploited 0-day against NATO and other Government entities, securityaffairs.co, 14 oktober 2014

[1]

[2]

[3]