Jarenlange cyberspionage bij onder meer VN en IOC

Stefan Grommen Stefan Grommen est rédacteur de Data News.

Operation Shady RAT, dat is de naam die één van de grootste cyberspionageoperaties ooit heeft meegekregen. Liefst 72 overheidsorganisaties en bedrijven – waaronder namen als de Verenigde Naties, het Internationaal Olympisch Comité en het Wereld Anti-Doping Agentschap – uit 14 landen waren erbij betrokken en dat gedurende de laatste 5 jaar. Dat heeft Dmitri Alperovitch, vice-president Threat Research bij securityfirma McAfee, onthuld. McAfee wist toegang te krijgen tot één ‘Command & Control’-server die de cybercriminelen gebruikten. Op basis van de logs op de server kon het bedrijf een beeld krijgen van de duur en de omvang van de spionage.

Operation Shady RAT, dat is de naam die één van de grootste cyberspionageoperaties ooit heeft meegekregen. Liefst 72 overheidsorganisaties en bedrijven – waaronder namen als de Verenigde Naties, het Internationaal Olympisch Comité en het Wereld Anti-Doping Agentschap – uit 14 landen waren erbij betrokken en dat gedurende de laatste 5 jaar. Dat heeft Dmitri Alperovitch, vice-president Threat Research bij securityfirma McAfee, onthuld.

McAfee wist toegang te krijgen tot één ‘Command & Control’-server die de cybercriminelen gebruikten. Op basis van de logs op de server kon het bedrijf een beeld krijgen van de duur en de omvang van de spionage. Sinds midden 2006 zijn op z’n minst 72 organisaties bespied gedurende maanden, en soms jaren. Liefst 49 van die organisaties komen uit de Verenigde Staten en het blijken vaak overheidsdiensten te zijn. Maar ook in Azië (meestal in de landen rond China, behalve China zelf) en in Europa (niet in België) waren de cybercriminelen actief. De meeste organisaties of bedrijven worden niet specifiek benoemd door McAfee.

“Het gaat niet om een nieuwe aanval en het leeuwendeel van de slachtoffers heeft al lang de specifieke infecties geremedieerd”, benadrukt Alperovitch. “Hoewel het een open vraag blijft of de meesten wel de ernst van de inbraak wel beseften of ze gewoon de geïnfecteerde machine opgekuist hebben zonder het dataverlies verder te analyseren.”

De aanvallers geraakten meestal binnen met een doelgerichte phishing-aanval: een geïnfecteerde – mail wordt naar iemand op het juiste niveau binnen de organisatie gestuurd. Wanneer die wordt geopend, wordt een stuk malware actief die een achterpoortje op het systeem creëert waarlangs de cybercriminelen desgewenst binnenkunnen.

Politiek Alperovitch onthoudt zich van commentaar over wie de mogelijke daders zijn, laat staan dat hij aangeeft welke informatie ze hebben weten te ontvreemden. Hij noemt het wel fascinerend dat er ook sport- en antidopingorganisaties tussen zitten, omdat die op zich weinig commercieel waardevolle informatie opleveren. Opmerkelijk is wel dat die gehackt werden net vóór de Olympische Spelen (in Peking), wat dan weer zou kunnen wijzen op een nationale opdrachtgever voor de inbraak. Ook de aanval op een private westerse organisatie die democratie wereldwijd promoot of op een Amerikaanse veiligheidsdenktank lijkt te wijzen op veeleer politieke dan op economische belangen.

De onthulling van Operation Shady RAT volgt op die van Operation Aurora, waarbij onder meer bij Google en twee dozijn andere organisaties succesvol werd ingebroken, en Operation Night Dragon, die een langdurige cyberspionage van de Westerse olie- en gasindustrie inhield.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content