Amerikaanse DOJ verwijdert malwarenetwerk beheerd door Russische acteurs

Het Amerikaanse ministerie van Justitie (DOJ) heeft dinsdag verklaard dat ze een wereldwijd netwerk van computers hebben uitgeschakeld die waren geïnfecteerd met malware, die de Russische staatsveiligheidsdiensten naar verluidt bijna twintig jaar hebben gebruikt om geheime informatie van de Verenigde Staten en NAVO-bondgenoten te ontfutselen.

Het initiatief, met de codenaam "MEDUSA", had tot doel de "Snake"-malware te elimineren die wordt gebruikt door een eenheid binnen de Russische FSB genaamd "Turla", die door cyberexperts wordt beschouwd als een van 's werelds meest geavanceerde cyberspionagegroepen. De FBI creëerde een tool genaamd "PERSEUS", die de Snake-malware neutraliseert zonder de hostcomputer of legitieme applicaties aan te tasten, na toestemming te hebben gekregen van een rechter in Brooklyn om toegang te verlenen tot besmette computers. De Snake-malware richtte zich vanaf 2004 op landen die lid zijn van de NAVO, financiële instellingen, journalisten en andere doelwitten van de Russische regering.

De FBI informeerde alle slachtoffers wier computers werden gebruikt tijdens de MEDUSA-operatie, en de Verenigde Staten en Five Eyes-partners hebben een gezamenlijk cyberbeveiligingsadvies uitgebracht met gedetailleerde technische informatie over de malware, zodat cyberbeveiligingsexperts kunnen detecteren of andere netwerken mogelijk zijn geïnfecteerd. Na het verkrijgen van toegang tot netwerken, is het bekend dat de Turla-groep een "keylogger" -tool gebruikt die accountwachtwoorden en andere authenticatiereferenties steelt, wat een voortdurende bedreiging vormt voor sommige van de doelwitten.

Wat zijn door de staat gesponsorde bedreigingsactoren en hoe worden ze vaak ingezet bij internationale cyberspionage?

Door de staat gesponsorde dreigingsactoren zijn cybercriminelen die steun krijgen van nationale regeringen om cyberaanvallen, cyberspionage of andere kwaadaardige activiteiten tegen buitenlandse naties, organisaties of individuen uit te voeren. Deze actoren zijn vaak zeer bekwaam en goed gefinancierd, en ze opereren met als doel de strategische en economische belangen van hun respectievelijke landen te bevorderen.

Door de staat gesponsorde dreigingsactoren richten zich doorgaans op een breed scala aan doelen, waaronder overheidsinstanties, militaire instellingen, kritieke infrastructuur, financiële instellingen, universiteiten en particuliere bedrijven. Ze kunnen verschillende tactieken gebruiken, zoals spear-phishing, malware, social engineering en zero-day exploits, om ongeoorloofde toegang te krijgen tot gerichte systemen of om gevoelige gegevens te stelen.

Deze cyberspionagecampagnes beginnen vaak met verkenning om kwetsbare systemen en interessante informatie te identificeren. Zodra toegang is verkregen, zullen de bedreigingsactoren zich zijdelings door het netwerk verplaatsen om hun privileges te escaleren en gevoelige gegevens te verzamelen. In sommige gevallen kunnen ze backdoors, malware of andere tools inzetten om langdurig toegang te houden tot de gecompromitteerde systemen en hun activiteiten onopgemerkt voort te zetten.

Door de staat gesponsorde dreigingsactoren worden vaak ingezet in internationale cyberspionagecampagnes om een strategisch voordeel te behalen ten opzichte van andere landen of om waardevol intellectueel eigendom te stelen. De aanvallen kunnen worden gebruikt om politieke, militaire, economische of diplomatieke doelen te bevorderen, en de gestolen gegevens kunnen worden gebruikt om nationaal beleid te informeren, zakelijke beslissingen te onderbouwen of voor winst te verkopen op het dark web. De potentiële impact van door de staat gesponsorde cyberspionagecampagnes kan ernstig zijn, waaronder het verlies van kritieke infrastructuur, schade aan de nationale veiligheid en aanzienlijke financiële verliezen voor individuen en organisaties.