En wat als de overheid zélf malware verstuurt?

16/04/15 om 09:11 - Bijgewerkt om 09:11

Bron: Datanews

Securitybedrijf Kaspersky Lab heeft incident geregistreerd waarbij een overheid een cyberaanval countert met een eigen malware-aanval. Het tijdperk van APT-oorlogen treedt aan?

En wat als de overheid zélf malware verstuurt?

. © IDG

Security-onderzoekers van Kaspersky Lab merkten enkele dagen na het verdwijnen van de MH370-vlucht - u weet wel, dat bewuste verdwenen vliegtuig - op dat de Naikon-cyberspionagegroep het mysterie aangreep om gerichte spear-phishing aanvallen te versturen naar honderden overheidsinstanties. Op zich niet zo opmerkelijk: in de Azische regio is de Naikon-groep al enige tijd erg actief.

Wat wel opmerkelijk is, is dat het doelwit - een overheidsinstantie waarvan Kaspersky de naam niet wil vrijgeven - besloot om terug te slaan. De overheid speelde het spelletje van de aanvaller mee en stuurde zélf een mail naar de aanvallers met een attachment waarin malware zat. Deze stap was de aanleiding voor onderzoek door Kaspersky Lab en leidde tot de ontdekking van de Hellsing APT-groep.

Inlichtingen inwinnen

De methodiek van de tegenaanval geeft aan dat Hellsing de Naikon-groep wilde identificeren en inlichtingen over hen wilde inwinnen. Als slachtoffers de schadelijke bijlage openen, raakt hun systeem besmet met een speciale backdoor die bestanden kan downloaden en uploaden, en zichzelf kan updaten en verwijderen. Volgens waarnemingen van Kaspersky Lab waren bijna 20 organisaties doelwit van Hellsing. Het bedrijf detecteerde en blokkeerde Hellsing-malware in Maleisië, de Filipijnen, India, Indonesië en de VS.

Mogelijk signaleert dit incident een nieuwe trend in cybercriminaliteit: APT-oorlogen (advanced persistent threats, nvdr). "Het gaat echt om een doelbewuste APT-tegen-APT aanval. Ik kan garanderen dat de e-mail ook écht vanuit de overheid verstuurd is vanaf een .gov e-mailadres", zegt Costin Raiu, directeur van het Global Research and Analysis Team bij Kaspersky Lab.

Onze partners