Justitie VS grijpt in bij Nobelium-phishingaanval via USAID

De justitie in de VS had daartoe onmiddellijk na de waarschuwing van Microsoft om een gerechtelijk bevel gevraagd en gekregen om de actie uit te voeren. De twee servers zorgden voor de vervolgacties wanneer slachtoffers van de spearphishing-actie via de dienstverlening van massa-emaildienstverlener Constant Contact op een link in de mail klikten. Dan werd contact gemaakt met deze servers en startte het binnenhalen van Cobalt Strike-malware die uiteindelijk de aanvallers een achterdeur op het betreffende systeem opleverde.

De aanvallers waren voor hun actie binnengedrongen bij Constant Contact die veel mailingwerk verricht voor overheden en non-gouvernementele organisaties, waaronder de hulporganisatie USAID. De indringers konden zo uit naam van deze organisaties malafide e-mail versturen die heel overtuigend overkwamen.

Microsoft schreef donderdag de aanval toe aan Nobelium, een groep die door de Amerikaanse overheid het label APT29 heeft gekregen en inmiddels vele bijnamen heeft waaronder CosyBear, CozyCar, CozyDuke, Fancy Bear, Dark Halo, The Dukes, OfficeMonkeys StellarParticle, UNC2452, en YTTRIUM.  De groep wordt verantwoordelijk gehouden voor verschillende grote cyberaanvallen, onder meer - heel recent - het binnendringen bij een groot aantal overheidsinstanties en bedrijven via de managementsoftware van SolarWinds. Ook een aantal Nederlandse ministeries lagen in 2017 in de aanloop naar de voorlaatste verkiezingen onder vuur van de groep.

Verschillende IT-beveiligingsbedrijven hebben een link gelegd tussen deze groep hackers en de Russische geheime dienst SVR, hoewel deze dienst en de Russische overheid stelselmatig betrokkenheid ontkennen.

Pro-actieve tegenaanval

"Cyberinbraken en spearphishing e-mail-aanvallen kunnen een verstrekkende schade veroorzaken in de betrokken computernetwerken en significante schade toebrengen aan individuele slachtoffers, overheidsdiensten, NGO's en private bedrijven", zei de waarnemend Amerikaanse procureur Raj Parekh van de staat Virginia in een verklaring die gisteren werd uitgebracht naar aanleiding van de overheidsactie.

In dezelfde verklaring zegt assistent procureur-generaal John C. Demers van de National Security Division van het ministerie van Justitie dat de actie op de twee command-and-control-servers een voorbeeld is van het proactief optreden om hacking-activiteiten te verstoren voordat er een conclusie wordt getrokken in een strafrechtelijk onderzoek. "Wij zullen continu alle mogelijke opties evalueren om onze unieke autoriteiten in te zetten tegen zulke bedreigingen."

Op 16 juni spreekt de Amerikaanse president Joe Biden in Genève voor het eerst in levende lijve met de Russische president Vladimir Poetin. Het is nog onduidelijk of de cyberaanvallen daar ter discussie komen.