Update: hack op het Duitse parlement heeft Pawn Storm-fingerprint

Pawn-storm-300x205Eerder blogde mijn collega Albert Kramer al over de hack van het Duitse parlement. Daarin stelt hij dat de hack vermoedelijk het werk is van een door een staat gesponsorde groepering. Feike Hacquebord, threat researcher bij Trend Micro, zoomt in deze blog dieper in op de technische achtergronden van de hack. Hij ziet duidelijke, digitale fingerprints van de hackergroep Pawn Storm. Wanneer je dat koppelt aan de vorige doelwitten van Pawn Storm, lijkt het aannemelijk dat Rusland achter de hacks zit.

Malware samples
Trend Micro ontving malware samples die gevonden zijn op het netwerk van het Duitse parlement. Hacquebord heeft samen met een team van reverse engineers naar de aanval gekeken. Zij vonden een backdoor (BKDR_LISUIFE.B) en een hackingtool (HKTL_WINEXE) op het netwerk. BKDR_LISUIFE.B wordt door de malware-auteur “Xtunnel” genoemd. De naam suggereert dat dit object als tunnel fungeert.  Een tunnel die de  aanvaller gebruikt om op afstand toegang te krijgen tot het interne netwerk.

C&C werd door Pawn Storm beheerd
De Command and Control (C&C) server van de aanval werkt inmiddels niet meer, maar Hacquebord kan bevestigen dat deze C&C-server zeer waarschijnlijk door Pawn Storm werd beheerd. Dat zal in ieder geval in de periode februari 2014 tot februari 2015 zijn geweest, maar mogelijk ook langer. Omdat de C&C-server in die periode digitale fingerprints had die alleen te zien zijn bij Pawn Storm-aanvallen, vermoedt Trend Micro dat Pawn Storm achter deze aanval zit.

Rusland
Pawn Storm heeft diverse omvangrijke campagnes uitgevoerd. We zien dat bijna alle doelwitten van deze campagnes interessant zijn voor de Russische regering. Denk hierbij aan de NAVO, het Witte Huis, Oekraïne, Russische dissidenten, journalisten, defensiebedrijven, Oost-Europese ministeries, Griekenland, Afghanistan, Irak en zo verder. Over Pawn Storm hebben Feike Hacquebord en zijn team al eerder blogs  en een whitepaper  geschreven. Uiteraard blijft Trend Micro de campagnes op de voet volgen.

TV5-hack
Eerder dit jaar deden de Russische Pawn Storm-hackers zich voor als ISIS sympathisanten. Meer informatie over deze hack is te vinden op de corporate blog van Trend Micro.

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.