Nederlandse servers grootschalig ingezet voor cyberaanvallen en cyberspionage

Targeted-attacks04-200x200 (1)Gisteren waarschuwde de AIVD in zijn jaarverslag over 2015 voor de aanzienlijke toename van cyberspionage-aanvallen op Nederland. Het aantal aanvallen op ons land zou tot recordhoogte gestegen zijn. Nederlandse infrastructuur  wordt echter op haar beurt veelvuldig ingezet voor vergelijkbare activiteiten gericht op buitenlandse doelen, zo signaleren wij. 

Nederlandse servers worden grootschalig ingezet voor gerichte en geavanceerde cyberaanvallen (APT’s) en cyberspionage-activiteiten. Dat blijkt uit recent onderzoek dat we gisteren hebben gepresenteerd. Vanaf mei 2015 zijn er al meer dan honderd ernstige cyberaanvallen geteld, afkomstig van een kleine webhosting provider (VPS-provider) met servers in Nederland en Roemenië.  Lees alle bevindingen van ons onderzoek in dit Engelstalige artikel.

Pawn Storm, een bekende cyberspionagegroep die zich eerder ook richtte op de Nederlandse MH17 Onderzoeksraad, gebruikte de servers van deze kleine provider voor ten minste tachtig high profile- aanvallen tegen verschillende regeringen in de Verenigde Staten, Europa, Azië en het Midden-Oosten. Pawn Storm is echter niet de enige partij die van deze diensten gebruikmaakt. Ook andere cybergroepen, waaronder DustySky, maken regelmatig gebruik van de VPS-provider voor de hosting van onder meer command-and-control (C&C) servers of het verzenden van spear phishing e-mails. Naast cyberspionage en cyberaanvallen biedt deze VPS-provider ook onderdak aan andere vormen van cybercrime. Zo hostte ze in 2014 een C&C server voor de beruchte Carbanak banking malware.

VPS

Figuur 1. VPS confirming email marketing service

De kleine VPS-provider is overigens niet de enige die Pawn Storm en andere APT-spelers aantrekt. Ook andere cybergroepen weten hun weg naar de Nederlandse infrastructuur te vinden. Ongeveer een jaar geleden doopte een hostingbedrijf uit Den Haag zichzelf om tot een “offshore” webhosting-bedrijf, met een postbus in zowel Panama als de Seychellen. Inmiddels heeft ook Pawn Storm zijn weg gevonden naar deze hosting partij.

Nederland en cybercrime

Nederland heeft een hoogwaardige internetverbinding en stabiele hosting providers. Dit is mogelijk één van de redenen waarom cybercriminelen en APT-spelers veelvuldig servers in Nederland inzetten voor hun criminele- of spionage-activiteiten. Uit een recent rapport van de AIVD dat gisteren naar buiten kwam, blijkt dat Nederland een belangrijk doelwit is voor digitale spionage-aanvallen. Wij signaleren dat de Nederlandse netwerkinfrastructuur op haar beurt veelvuldig wordt ingezet voor vergelijkbare activiteiten gericht op buitenlandse doelen. Is de Nederlandse webhosting-industrie kwetsbaar voor constructies die anonimiteit aan cybercriminelen en cyberspionnen bieden?

Lees voor meer informatie over alle bevindingen van ons onderzoek dit Engelstalige artikel.

Origineel artikel door Feike Hacquebord (Senior Threat Researcher)

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *