The Dukes zijn actief – vormt jouw organisatie een doelwit voor spionage?

Een uiterst toegewijde en goed georganiseerde groep cyberspionnen richt zijn pijlen op overheidsinstellingen en verwante organisaties

Auteur: Sanne
Datum: 19/09/2015
Leestijd: 7 Minuten

Download De Whitepaper

F-Secure Labs heeft een nieuwe whitepaper gepubliceerd waarin het de tools bespreekt die worden gebruikt door The Dukes. Dit is een groep van hackers die informatie probeert te stelen van organisaties die zich bezighouden met buitenlands en veiligheidsbeleid.

The Dukes is een goed georganiseerde groep van cyberspionnen die over ruime middelen beschikt en volgens F-Secure Labs minimaal sinds 2008 in opdracht van de Russische Federatie actief is.

Erka Koivunen, adviseur op het gebied van cybersecurity:

De bevindingen van ons onderzoekslaboratorium zijn gebaseerd op een grondige analyse van een omvangrijk archief van malware-fragmenten die we in de loop van jaren hebben verzameld. Deze fragmenten werden naar ons verzonden, zijn aangetroffen in Open Source Intelligence (OSINT)-databases of werden uitgewisseld tussen antivirusbedrijven. De whitepaper biedt een tijdlijn van de activiteiten van de hackers, beschrijft de tools die zij gebruiken en toont de enorme reikwijdte van hun activiteiten. Het is een heuse eyeopener voor iedereen die in cybersecurity is geïnteresseerd.

Erka Koivunen
Erka Koivunen

F-Secure werkte met de betrokken organisaties samen om de aanvallen te analyseren en informeerde hen over de bevindingen en zijn plannen voor het publiceren van de whitepaper.

Hoe gaan The Dukes te werk?

The Dukes richten zich vooral op westerse overheidsinstellingen en verwante organisaties, zoals Ministeries en overheidsagentschappen, politieke denktanks en onderaannemers van de overheid. The Dukes lijken hun pijlen consequent te richten op organisaties die zich bezighouden met het buitenlands- en veiligheidsbeleid.

De afgelopen jaren lijken The Dukes grootschalige tweejaarlijkse spearphishing-campagnes te hebben uitgevoerd. Hierbij werden e-mails verzonden naar honderden of zelfs duizenden ontvangers bij overheidsinstellingen en vergelijkbare instanties.

De aanvallen van The Dukes kenmerken zich door een ‘ramkraak’-aanpak die tegenwoordig zeer populair onder cybercriminelen lijkt te zijn. Hierbij wordt een snelle doch opvallende inbraakpoging gewaagd, waarbij snel gegevens worden verzameld en zoveel mogelijk data naar buiten wordt gesmokkeld. En de effectiviteit van deze aanpak is op zijn zachtst gezegd opmerkelijk te noemen.

In één interessant geval gebruikten de hackers meer onopvallende technieken, waarbij ze langzaam maar zeker een voet achter de deur wisten te krijgen binnen het bedrijfsnetwerk en over een langere periode informatie verzamelden. The Dukes voerden daarnaast ook kleinschaliger en meer gerichte aanvallen uit.

The Dukes reageren snel op onderzoeksrapporten die over hun tools en activiteiten wordt gepubliceerd. Ze houden echter niet op met hun activiteiten terwijl ze hun tools aanpassen. Ze kiezen ervoor om deze geleidelijk aan te wijzigen. Daarmee lopen ze wel het risico dat hun activiteiten worden ontdekt.

In een aantal extreme gevallen maakten The Dukes gebruik van ongewijzigde versies van hun tools, terwijl die slechts een paar dagen eerder onder de aandacht van het publiek waren gebracht door beveiligingsbedrijven en vervolgens uitvoering door de media waren beschreven. Deze brutale aanpak wijst erop dat de leden van The Dukes bijzonder veel vertrouwen hebben in hun vermogen om in te breken in de netwerken van hun slachtoffers, zelfs als de tools die zij hiervoor gebruiken alom bekend zijn. Het is niet bekend of deze brutale opstelling is gebaseerd op uitgebreide verkenningen van de beveiliging van hun doelwit of simpelweg toe te schrijven is aan arrogantie.

Na minimaal zeven jaar actief te zijn geweest blijven The Dukes hun aanvallen voortzetten en nieuwe tools en technieken ontwikkelen.

Mika Aaltola van het Finnish Institute of International Affairs:

Hackers profiteren sterk van het feit dat het moeilijk is om de daders achter aanvallen te achterhalen. Deze ondoorzichtigheid biedt cybercriminelen de gelegenheid om aanvallen uit te blijven voeren en maakt het moeilijk om effectieve afweermaatregelen te identificeren en toe te passen.

Wat betekent dit voor jouw organisatie?

The Dukes maken voornamelijk gebruik van spearphishing-mails in een poging om hun doelwit met malware te besmetten. Spearphishing is een tactiek die in populariteit toeneemt, ook onder cybercriminelen. Aanvallen van dit type zijn vaak gericht op financiële organisaties en andere kritische dienstverleners. Deze methode wordt voor de meeste cyberaanvallen gebruikt. Deze spearphishing-mails variëren van op spam gelijkende berichten die worden verspreid naar grote aantallen ontvangers, tot uiterst doelgerichte e-mails die naar slechts een handvol mensen worden verzonden en inhoud bevatten die zeer relevant is voor de ontvanger.

Doelstellingen van The Dukes zijn onder meer:

  • Informatie buitmaken
  • Een achterdeur naar bedrijfssystemen openen
  • Screenshots vergaren
  • Zich toegangsrechten bemachtigen
  • Wachtwoorden en wachtwoord-hashcodes stelen
  • Distributed Denial of Service (DDos)-aanvallen uitvoeren
  • Misleidende informatie verspreiden en zich voor andere personen uitgeven op social media
  • Aanvullende malware downloaden

De personen op wie The Dukes hun vizier richten, bekleden vaak een publieke functie, zoals ambassadeurs of andere hoge beleidsvormers die dagelijks met belangrijke kwesties te maken hebben en met diverse bondgenoten en niet-bondgenoten communiceren. Dergelijke functionarissen kunnen zich vaak niet permitteren om te kieskeurig te zijn met het openen van bijlagen of links. Het zijn personen die in een werkelijk risicovolle omgeving werken.

Het is duidelijk dat het voorlichten van medewerkers over de beveiliging een belangrijk hulpmiddel is in de strijd tegen dit soort spearphishing-activiteiten. Werknemers die worden blootgesteld aan bedreigingen als phishing en watering holes (legitieme websites die worden gekaapt om malware te verspreiden) dienen kennis te hebben van dit soort gevaren en in staat te zijn om de meest gebruikte tactieken te herkennen die cybercriminelen gebruiken om hen een rad voor ogen te draaien. Werknemers moeten daarnaast beschikken over de beste beveiligingsoplossingen tegen dergelijke aanvallen. Organisaties moeten daarom voldoende krachtige beveiligingsmechanismen toepassen om dit soort aanvallen af te kunnen slaan.

Erka vervolgt:

Het is echter minstens zo belangrijk om ervoor te zorgen dat de mensen binnen de organisatie die verantwoordelijk zijn voor de beveiliging makkelijk benaderbaar zijn en over alle tools beschikken die nodig zijn voor het evalueren van verdachte links, e-mailberichten of op geïsoleerde locaties opgeslagen bestanden. Het verbeteren van de interne beveiligingspraktijken zal helpen om dit soort risico’s tegen te gaan. Waarom gebruikmaken van Microsoft Office-documenten met macro’s die ontvangers worden geacht te activeren, of PDF-bestanden die zonder duidelijke reden JavaScript bevatten? Het terugdringen van dit soort onveilige praktijken is een even simpele als effectieve manier om het aanvalsoppervlak voor cybercriminelen te verkleinen.

The Dukes maken vaak gebruik van afbeeldingen, documenten, Adobe Flash-video’s en vergelijkbare content om de aandacht van de ontvanger af te leiden van de kwaadaardige activiteit. Terwijl het slachtoffer bezig is met het bestuderen een grappige video van een app of een officieel ogend rapport of uitnodiging, banen The Dukes zich een weg door het netwerk om informatie te verzamelen. Het is belangrijk dat mensen zich beseffen dat een malware-infectie er niet uitziet of aanvoelt als iets gevaarlijks. Er gaan geen alarmen af, er zijn geen onweersflitsen te zien en er is geen sprake van een computer die zich vreemd begint te gedragen. Cybercriminelen zorgen ervoor dat het besturingssysteem een nieuw proces in werking zet. Het kwaad is al geschied voordat de ontvanger de titel heeft gelezen van het document dat ter afleiding dient.

The Dukes maakten voor hun aanvallen misbruik van kwetsbaarheden in de beveiliging (exploits). Deze ontdekten of ontwikkelde ze echter vaak niet zelf. Het lijkt erop dat de groep in de meeste gevallen gebruikmaakte van publiekelijk beschikbare exploits of proofs of concept.

Erka stelt het als volgt:

Het wordt snel duidelijk dat het voor The Dukes kinderlijk eenvoudig is om telkens opnieuw de netwerken van hun slachtoffers binnen te dringen. Een reden hiervoor zou kunnen zijn dat organisaties traag zijn met het patchen van kwetsbaarheden. Daarmee staat de deur wijd open voor aanvallers die misbruik maken van bekende kwetsbaarheden.

Dit bevestigt eens temeer dat het patchen van kwetsbaarheden in de beveiliging van software een cruciaal onderdeel dient te vormen van de beveiligingsstrategie van organisaties. Dit is op zich niet voldoende om zich tegen cyberaanvallen te beschermen, maar desondanks van essentieel belang.

Mika Aaltola:

De herhaaldelijke aanvallen die The Dukes sinds 2008 uitvoerden, wijzen duidelijk op het gebrekkige vermogen van westerse landen om cyberaanvallen af te slaan. Het feit dat één groepering met sterk vergelijkbare tools keer op keer succesvolle aanvallen weet uit te voeren, wijst op een tekortkoming in zowel de passieve als actieve verdedigingsmechanismen.

Whitepaper over The Dukes malware tools (engelstalig)
Whitepaper over The Dukes malware tools (engelstalig)

Download de technische whitepaper voor het verhaal achter The Dukes. Het beschrijft de tools en technieken die door deze groep cyberspionnen worden gebruikt. Laat hieronder je gegevens achter en wij mailen je een gratis exemplaar.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s