Turkije nieuw doelwit van Pawn Storm-campagne

‘Pawn Storm’ maakte gebruik van servers in Nederland

Origineel artikel door Feike Hacquebord, Senior Threat Researcher (lees het volledige artikel hier)

Operation Pawn StormPawn Storm, een langlopende cyber-spionage campagne, heeft diverse overheidsinstanties, waaronder het kantoor van de premier, het Turkse parlement, en één van de grootste dagbladen van Turkije toegevoegd aan zijn lange lijst met doelwitten. Pawn Storm staat bekend om zijn aanvallen op onder meer diplomaten, journalisten, politici en softwareontwikkelaars. Eerder richtten zij zich ook op de Nederlandse MH17-onderzoeksraad.

Een gemene deler: bedreiging tegen Russische politiek
De doelwitten van Pawn Storm hebben veelal een gemene deler: ze kunnen op enige wijze worden gezien als een bedreiging voor de Russische politiek. Wij geloven dat de aanvallen tegen Turkije gerelateerd zijn aan eerdere Pawn Storm-incidenten in de zomer en herfst van 2015. Deze waren gericht op de Syrische oppositie en Arabische landen die hun kritiek uitten over de Russische interventies in Syrië. Trend Micro waarschuwde de Turkse autoriteiten tijdig voor deze aanvallen en heeft daarmee geholpen de mogelijke schade zoveel mogelijk te beperken.

Turkse overheidsdoelen
Pawn Storm heeft herhaaldelijk pogingen gedaan informatie te verkrijgen van landen met een interessante (geo)politieke situatie. Er zijn verschillende redenen te bedenken waarom Turkije als doelwit wordt gekozen:

  • Turkije en Rusland zijn het op een aantal onderwerpen oneens met elkaar, waaronder het neerschieten van een Russisch vliegtuig door de Turkse luchtmacht in november vorig jaar.
  • Interne geschillen met/over Koerdische groepen binnen de landsgrenzen van Turkije.
  • De vluchtelingenstroom die Europa probeert te bereiken via Turkije.

We zagen bijvoorbeeld dat er een reeks neppe Outlook Web Access (OWA-) servers zijn opgezet voor specifieke doelen in het land. Phishing-aanvallen tegen OWA-gebruikers zijn voor aanvallers relatief goedkoop, maar kunnen tegelijkertijd heel effectief zijn om gevoelige informatie te stelen. Eerder lieten we al zien dat Pawn Storm geavanceerde social engineering-technieken inzet om ervoor te zorgen dat slachtoffers hun webmail gegevens delen.

Onderstaand een beknopte opsomming van de doelwitten in Turkije:

  • Het ‘Directorate General of Press and Information’ van de Turkse regering (op 14 januari en 2 februari 2016)
  • De Türkiye Büyük Millet Meclisi (op 3, 19, 26 februari 2016)
  • Turks dagblad Hürriyet ( 17, 24 en 29 februari 2016)
  • Başbakanlık, het kantoor van de premier van Turkije (op 29 februari 2016)

Deze lijst van doelwitten laat zien dat Pawn Storm uit is op politiek gevoelige informatie uit Turkije. Ook het feit dat de aanvallers achter Pawn Storm maar liefst twee OWA-servers hebben opgezet voor één van de grootste kranten van het land, kan er op wijzen dat zij uit zijn op informatie over wat er gaande is bij belangrijke media in het land.  

Nederlands datacenter
Pawn Storm maakte in zijn aanval tegen Turkije gebruik van een netwerkinfrastructuur uit Nederland. De vps-provider heeft een postadres in de Verenigde Arabische Emiraten en servers in een datacenter in Nederland. Het is overigens niet de eerste keer dat Pawn Storm deze vps-provider gebruikt. Tientallen aanvallen van Pawn Storm in 2015 en 2016 zijn uitgevoerd via de diensten van de vps-provider, alsmede de aanvallen door andere groepen zoals DustSky en Carbanak. Deze provider is in het verleden ook gebruikt door criminelen die zich richtten op gebruikers van een grote Russische bank. Dit maakt hen ogenschijnlijk een bulletproof hosting service in Nederland.

Lees meer achtergronden en details over deze aanval in deze Engelstalige blogpost door Feike Hacquebord

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.