Inleiding
Op 4 oktober 2018 hield de MIVD een persconferentie over een onderschepte cyberaanval op de OPWC in Nederland. Naar verluidt is deze cyberaanval uitgevoerd door de geavanceerde dreigingsactor Sofacy, ook wel bekend als onder andere APT28 of Fancy Bear. Volgens de MIVD zijn vier verdachten op heterdaad betrapt toen ze probeerden in te breken in het netwerk van OPCW. Voor ons was het geen verrassing om Sofacy actief te zien in Nederland, aangezien we al eerder tekenen van hun aanwezigheid hebben waargenomen. Behalve Sofacy hebben we in Nederland nog niet veel Advanced Persistent Threat (APT)-groepen gezien. In ieder geval niet als we het vergelijken met andere regio’s, zoals het Midden-Oosten. Toen we daar over gingen nadenken, kwamen we tot de conclusie dat dit eigenlijk heel vreemd is. Er zijn immers nogal wat grote multinationals en een aantal hightechbedrijven in Nederland gevestigd. Daarnaast zijn er nog andere potentiële strategische doelen voor dreigingsactoren te bedenken. Daarom hebben we besloten om nog eens goed te kijken naar bedenkelijke cyberactiviteiten die het op Nederland hebben voorzien.
Het is al behoorlijk ingewikkeld om de activiteiten van één APT in kaart te brengen, laat staan alle APT-activiteiten in een land. Om te beginnen zien we niet meer dan wat voor ons inzichtelijk wordt gemaakt; we kunnen alleen data verzamelen vanuit bronnen die toegankelijk voor ons zijn, zoals de data die vrijwillig door onze klanten worden gedeeld met het Kaspersky Security Network (KSN). Die bronnen moeten dan ook nog voorzien in data met betrekking tot een specifieke APT. Kortom: onze telemetrie is, net als die van ieder ander cybersecuritybedrijf, onvolledig.
Een manier om ons overzicht te vergroten is het gebruik van zogenaamde sinkhole-data. Op het moment dat het domein van een APT verloopt, kunnen onderzoekers dit domein registreren en het verkeer naar een sinkhole-server leiden. Dit gebeurt vrij vaak. Gemiddeld hebben we bijna één sinkhole-domein voor iedere APT die we volgen. Vergeleken met andere bronnen, zoals KSN en multi-scannerdiensten, hebben sinkhole-data een paar voordelen. Soms geven ze bijvoorbeeld een beter inzicht in de victimologie van de APT. Een nadeel is dat we de resultaten moeten filteren, omdat er nogal wat foutpositieve resultaten tussen kunnen zitten. Dit kan doordat andere onderzoekers met dezelfde malware bezig zijn. Deze filtering is vaak behoorlijk omslachtig, want het is moeilijk om tot een uitspraak te komen als we uitsluitend uitgaan van IP’s en verzoeken.
Methodologie
Voor deze blogpost hebben we alle sinkhole-data voor Nederlandse IP’s in de afgelopen vier jaar – september 2014 tot september 2018 – verzameld, wat neerkomt op ongeveer 85.000 entries. Dit is natuurlijk veel te veel om met de hand te verifiëren. De eerste stap was daarom het filteren van de resultaten, en vooral alle scanners. Sommige daarvan waren relatief eenvoudig te herkennen en eruit te filteren (zoals alle TOR exit nodes en alle Romanian.anti-sec), andere vereisten iets meer inspanning.
Om de scanners eruit te filteren, hebben we alle entries verwijderd waarvan het IP-adres overeenkwam met meer dan vier ‘tags’ (elke tag staat voor een bepaalde campagne). Hierna hadden we er ongeveer 11.000 over. Dat is 77 procent minder resultaten, maar nog steeds veel te veel. Daarom zijn er nog agressievere filters toegepast.
De onderstaande tabel laat zien hoeveel tags er per IP konden worden afgestreept:
0 | 10.532 |
1 | 1.149 |
2 | 618 |
3 | 344 |
4 | 234 |
>4 | 938 |
Een manier om te bepalen of een treffer in de sinkhole-database correct of foutpositief is, is vaststellen wie het slachtoffer is. Om hier achter te komen, hebben we gekeken of de DNS-invoer, op het moment van de eerste invoer in onze sinkhole-database, overeenkwam met de data in onze passieve DNS-database. Als dit niet het geval was, dan werden de data genegeerd. De volgende stap was om alle data te verwijderen die moeilijk te onderzoeken zouden zijn (bijvoorbeeld IP-adressen die bij een ADSL-verbinding horen). Hoewel deze methode nogal star is en er op deze manier misschien foutpositieve resultaten over het hoofd zouden worden gezien, hebben we hier toch voor gekozen. Vooral omdat we wisten dat het te kostbaar zou zijn om alle data te onderzoeken. Hierna hielden we ongeveer 1.000 entries over om onder de loep te nemen.
Het doel van deze blogpost is om een overzicht te geven van APT-groepen die in Nederland actief zijn en op welke gebieden hun belangen liggen. Daar hebben we correcte resultaten voor nodig, geen foutpositieve. Voor de resterende entries is een omgekeerde DNS-zoekopdracht uitgevoerd, waarna de ASN-informatie is opgeslagen. Deze is vergeleken met onze passieve DNS-database om na te gaan of het domein van het betreffende IP-adres overeenkwam met de eerste entry in de sinkhole-database. Als dit het geval was, werden de data bewaard. Als dit niet het geval was, hebben we geprobeerd uit te zoeken van welke organisatie het IP was.
Van de overgebleven entries hebben we vervolgens de onbewerkte verzoeken vergeleken met het verzoek dat door de APT werd gedaan. Tot slot hebben we geprobeerd alle IP’s die nog op onze lijst stonden aan een bedrijf of instelling te koppelen. Bij succes werd de invoer bewaard en gemarkeerd als correct resultaat.
Ook hebben we onze APT-rapporten gecontroleerd op doelen in Nederland en de resultaten aan dit rapport toegevoegd.
Resultaten
Met de hierboven beschreven methoden hebben we de volgende APT’s gevonden die in Nederland actief zijn of zijn geweest:
BlackOasis
BlackOasis is een APT-groep die we sinds mei 2016 in het vizier hebben. De groep maakt gebruik van de commercieel verkrijgbare FinFisher-malware. Dit wordt gemaakt door Gamma International en aan wetshandhavingsinstanties en natiestaten verkocht. BlackOasis onderscheidt zich van andere APT-groepen door de veelvuldige toepassing van zero-day kwetsbaarheden: minstens vijf sinds 2015. De meeste slachtoffers bevinden zich in het Midden-Oosten, waar de groep bijzonder geïnteresseerd is in politiek. Ook hebben we geconstateerd dat de groep het heeft gemunt op leden van de Verenigde Naties en regionale nieuwscorrespondenten. Onlangs hebben we een accentverschuiving waargenomen naar andere landen: Rusland, het Verenigd Koninkrijk en nu ook Nederland.
Sofacy
Sofacy, ook bekend als Pawn Storm, Fancy Bear en nog veel meer namen, is een actieve APT-groep die we sinds 2011 volgen. De groep staat bekend om de toepassing van Zero-days en spear-phishing-e-mails om hun doelen te infecteren. In 2015 hebben onderzoekers van Trend Micro ontdekt dat de groep zich richtte op het MH17-onderzoeksteam. Vorig jaar heeft de Volkskrant een artikel gepubliceerd waarin werd beweerd dat Sofacy geprobeerd heeft verschillende Nederlandse ministeries te infecteren. Op 4 oktober 2018 kwam bovendien het nieuws naar buiten dat vier vermeende Sofacy-leden in april 2018 zijn betrapt bij hun poging de OPWC te hacken. Hoewel we deze laatste twee incidenten niet kunnen bevestigen, omdat we niet bij het onderzoek zijn betrokken, hebben we verschillende Nederlandse doelen geobserveerd die besmet zijn met Sofacy. Een interessante bijkomstigheid is dat we na april 2018 minder implementaties van Xagent (een van de modules van Sofacy) hebben waargenomen. Hoewel er in augustus 2018 één nieuwe implementatie van Xagent is vastgesteld, lijkt het erop dat de groep dit tussen april en juni 2018 minder vaak heeft toegepast.
Hades
Hades is de naam die is gegeven aan de groep die verantwoordelijk wordt gehouden voor de Olympic Destroyer-malware, gericht op de Olympische Winterspelen van 2018 in Zuid-Korea. Aanvankelijk dachten we dat de malware was gerelateerd aan de Lazarus-groep, omdat verschillende van onze Yara-regels voor honderd procent overeenkwamen met de malware. Na zorgvuldig onderzoek hebben we echter een groot aantal ‘false flags‘ gevonden die naar verschillende APT-groepen wijzen. Een paar maanden later, in mei 2018 (niet lang na het OPCW-incident), hebben we vastgesteld dat Hades was teruggekeerd. Hades had het voorzien op financiële instellingen en laboratoria voor de preventie van chemische dreigingen. Gezien deze belangenverschuiving is het geen verrassing dat ook entiteiten in Nederland doelwit zijn geweest.
Buhtrap
Buhtrap is een van de groepen die zich richt op financiële instellingen met het doel geld te stelen. De tools, technieken en processen (TTP’s) van Buhtrap verschillen niet veel van die van traditionele APT-groepen. Buhtrap is een van de groepen (naast Carbanak en Tyupkin) die zijn begonnen met het infecteren van financiële instellingen in Rusland en Oekraïne. Na een tijdje is hun focus naar andere delen van de wereld verplaatst. In 2017 hebben we activiteiten van Buhtrap in Nederland gedetecteerd.
The Lamberts
In maart 2017 heeft WikiLeaks online een reeks documenten gepubliceerd onder de naam ‘Vault 7’. Sommige van deze documenten vermelden malware die lijkt op de malware in the Lamberts, een toolkit die al enkele jaren wordt gebruikt en vooral in 2013 en 2014 actief was. Een van de varianten van the Lamberts die we hebben onderzocht is ‘The Green Lamberts’. Tot onze verrassing kwamen er heel wat infecties in Nederland aan het licht, terwijl de meeste aanvallen op Iran zijn gericht. We weten niets over het profiel van de Nederlandse slachtoffers. Desalniettemin wijzen de Nederlandse activiteiten van the Lamberts op een mogelijke verschuiving van focus. Het herinnert ons er in ieder geval aan dat APT-groepen geen grenzen kennen.
Turla
Turla, ook wel bekend als Uroboros, is een zeer actieve APT-groep die in verband wordt gebracht met spraakmakende incidenten als de US Central Command Attack in 2008 en de aanval op het Zwitserse bedrijf voor militaire technologie RUAG. Tot de andere doelen van Turla behoren ook ministeries en overheidsorganisaties. Nederland is derhalve een voor de hand liggend doelwit voor de Turla-groep. Sterker nog: het zou ons hebben verbaasd als we geen Turla-infecties in Nederland zouden hebben gevonden.
Gatak
Gatak, ook bekend onder de namen Stegoloader en GOLD, is een groep die zich bezighoudt met datadiefstal door middel van watering hole-aanvallen. De groep is al zeker sinds 2015 actief en is voornamelijk geïnteresseerd in intellectueel eigendom. Hoewel het gebruik van watering holes inhoudt dat de groep geen volledige controle heeft over wie er worden geïnfecteerd, heeft Gatak wel enkele prominente doelen kunnen treffen. Met behulp van onze sinkholedatabase hebben we kunnen vaststellen dat daar ook een Nederlands doelwit onder valt.
Putter Panda
Naar verluidt is in 2015 de Nederlandse chipmaker ASML getroffen door Putter Panda. ASML heeft de inbreuk bevestigd en heeft verklaard dat er één bestand is gestolen. Er zijn geen verdere details publiekelijk beschikbaar, hoewel het onderzoeksjournalistieke televisieprogramma Brandpunt Reporter een deel van een aflevering aan het incident heeft gewijd. ASML is een van de relatief weinige hightechbedrijven in Nederland. Het feit dat het bedrijf is getroffen, is een duidelijk signaal dat buitenlandse cybergroepen geïnteresseerd zijn in industriële spionage in Nederland.
Animal Farm
Animal Farm is een groep die al zeker sinds 2009 actief is. Deze relatief geavanceerde groep heeft zich de afgelopen jaren op een verscheidenheid aan organisaties gericht. Slachtoffers zijn onder meer overheidsorganisaties, militaire contractanten, activisten en journalisten. Hoewel de groep voornamelijk actief is in Franstalige landen, hebben we toch enkele infecties in Nederland gevonden.
Conclusie
Hoewel de activiteiten van dreigingsactoren in Nederland voor ons niet volledig zichtbaar zijn, kunnen we de resultaten verrassend noemen. Groepen die we niet hadden verwacht aan te treffen, zoals the Lamberts, zijn hier wel degelijk actief. Bij nadere beschouwing zijn hun activiteiten in Nederland helemaal niet zo vreemd. Vooral als we naar potentiële doelwitten in Nederland kijken en deze vergelijken met de belangen van sommige APT-groepen.
De verwachte en onverwachte aanwezigheid van cybergroepen is een goede reden voor organisaties om op de hoogte te willen blijven van de nieuwste ontwikkelingen in cyberspace, met name via dreigingsrapporten. Immers, als je weet wat APT-groepen van plan zijn, op welke organisaties ze het hebben gemunt en welke TTP’s ze toepassen, dan kun je de benodigde bescherming implementeren om hen een stap voor te blijven.
Een van de meest verbazingwekkende bevindingen bij de inspectie van sinkhole-databases is het grote aantal organisaties dat met ‘gewone’ malware is geïnfecteerd. Dit geeft aan hoe belangrijk bovengenoemde voorzorgsmaatregelen zijn. We hebben infecties ontdekt bij luchtvaartmaatschappijen, luchthavens en andere grote bedrijven. Hierbij moeten we wel direct de kanttekening plaatsen dat dit ook in andere landen gebeurt. Hoe dan ook: het toont maar weer eens aan hoe belangrijk elementaire cyberhygiëne voor iedereen is. Want zo moeilijk is het niet voor APT-groepen om bij waardevolle doelen binnen te dringen.
Tot slot moet worden opgemerkt dat we altijd voorzichtig moeten zijn met het trekken van harde conclusies uit APT-bevindingen, met name als het gaat om attributie. We hebben bijvoorbeeld gezien dat de Olympic Destroyer-malware kort na het OPWC-incident werd gebruikt om laboratoria voor de preventie van chemische dreigingen te treffen. Dit bewijst echter niet dat dezelfde groep achter deze aanvallen zit of dat de aanvallers aan elkaar verwant zijn. Dit neemt niet weg dat het verstandig is om jouw netwerk te controleren op de aanwezigheid van Olympic Destroyer bij het vermoeden dat je een mogelijk Sofacy-doelwit bent, en vice versa.
Voor meer informatie over onze private meldingsdienst voor dreigingsinformatie kun je contact opnemen met intelreports@kaspersky.com.