Pawn Storm richt zich op MH17-onderzoeksteam

Lees hier de volledige, originele, Engelstalige blogpost door: Feike Hacquebord (Senior Threat Researcher)

Pawn Storm heeft een lange geschiedenis zich te richten op overheidsinstanties en particuliere organisaties met als doel gevoelige informatie te stelen. Onze meest recente bevindingen laten zien dat zij zich van meerdere kanten ook hebben gericht op het internationale onderzoeksteam van de MH17 vliegtuigcrash.

De Nederlandse Onderzoeksraad werd doelwit van de cyber-spionage groep voor en nadat zij hun gedetailleerde rapport over de MH17 ramp publiceerden op 13 oktober 2015. Wij geloven dat er een gecoördineerde aanval van meerdere kanten is uitgevoerd om ongeautoriseerde toegang te krijgen tot gevoelig materiaal van het MH17-onderzoeksteam bestaande uit de Nederlandse, Maleisische, Australische, Belgische en Oekraïense autoriteiten.

Figure 1. Official site of the Dutch Safety Board and the press release for the MH17 investigations

Figure 1. Official site of the Dutch Safety Board and the press release for the MH17 investigations

 

 

 

 

 

 

 

 

 

 

 

We ontdekten dat op 28 september 2015 een nepserver is opgezet die een SFTP-server van de Nederlandse Onderzoeksraad imiteert en op 14 oktober is een nep VPN-server van dezelfde organisatie opgezet. Het is zeer waarschijnlijk dat deze zijn gebruikt voor phishing-aanvallen tegen personeel van de Onderzoeksraad om zo ongeautoriseerde toegang te krijgen tot zowel de SFTP-server alsook de VPN-server.

Dit is de eerste keer dat we directe bewijzen zien van een APT-groep die ongeautoriseerde toegang probeert te krijgen tot een VPN-server. Het lijkt erop dat de VPN-server van de Onderzoeksraad tijdelijke tokens voor authenticatie gebruikt. Deze tokens kunnen echter gemakkelijk worden ontvreemd en beschermen niet tegen eenmalige ongeautoriseerde toegang van derde partijen, zodra het slachtoffer in de phishing-aanval is getrapt.

Het bleef niet alleen bij aanvallen op de Nederlandse Onderzoeksraad. We hebben tevens gezien dat op 29 september 2015 een nep Outlook Web Access (OWA) -server is opgezet, die zijn aanval richtte op een belangrijke partner van de Nederlandse Onderzoeksraad binnen het MH17-onderzoek. We zijn erin geslaagd deze partij in vroeg stadium te waarschuwen en hebben zo waarschijnlijk een aanval voorkomen.

Deze incidenten tonen aan dat Pawn Storm mogelijk gecoördineerde aanvallen uitvoert tegen verschillende organisaties om gevoelige informatie over de MH17-ramp te krijgen.

Pawn Storm en Syrië
Daarnaast heeft Pawn Storm zijn aanvallen geïntensifieerd tegen de Syrische oppositie en Arabische landen die tegen de recente interventie van Rusland in Syrië zijn.

In september werden verschillende Syrische verbannen oppositieleden aangevallen met geavanceerde identiteitsaanvallen. Vervolgens zijn in september en oktober 2015 verschillende nep OWA-servers opgezet, die zich richten op het leger, ministerie van Defensie en Buitenlandse Zaken van alle Arabische landen die hun twijfel hebben uitgesproken over de interventie van Rusland in Syrië.

Figure 3. Fake OWA server of the armed forces of a targeted Arab country

Figure 3. Fake OWA server of the armed forces of a targeted Arab country

 

 

 

 

 

 

 

 

 

 

De Pawn Storm-campagne
Pawn Storm staat bekend om zijn langlopende cyber-spionage campagnes gericht op verschillende internationale doelen, waaronder het Witte Huis en de North Atlantic Treaty Organization. Ons onderzoek toont ook aan dat, hoewel de doelen van Pawn Storm meestal externe politieke entiteiten buiten Rusland betreffen, een groot deel van hun doelen ook daadwerkelijk binnen deze landsgrenzen kan worden gevonden. Sommige van hun “lokale” doelen omvatten vredesactivisten, bloggers, en politici.

Pawn Storm staat voor wat betreft zijn cyber-spionage aanvallen bekend dat zij eenvoudige, maar effectieve, phishing-campagnes organiseren tegen organisaties waarvan de webmail is blootgesteld aan het internet. De groep staat ook bekend zero-day exploits te gebruiken.

Lees hier de originele, Engelstalige blogpost.

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.