Lazarus Group

Beveiligingsexperts opgelet: Noord-Korea voert digitale wereldoorlog!

 

Er is een heftige cyberaanval uitgevoerd vanuit Noord-Korea op onderzoekers van digitale veiligheid in de westerse wereld. Eén van de doelwitten was Ricky Gevers die te gast was bij BNR Digitaal om hierover te vertellen. “Ik denk dat dit een hele goede les is voor de volledige security community”, aldus Ricky Gevers.

 

De hackers en hun motieven

Volgens Microsoft en Google zit er een groep hackers uit Noord-Korea genaamd “Lazarus Group”, door Microsoft genaamd “ZINC”, achter deze hack-campagne. Dit is een hackergroep die wordt gefinancierd en wordt aangestuurd door de overheid van Noord-Korea. Deze groep hackers zitten bijvoorbeeld achter de WannaCry aanvallen van 2017. Ook stalen zij in 2020 betrouwbare informatie van farmaceutische bedrijven om deze vervolgens door te kunnen verkopen. Hier gingen zij voornamelijk achter de COVID-19 onderzoeken aan.

Een van de motieven van de hackers was waarschijnlijk het buitmaken van meerdere zero-day aanvalstechnieken (hacks om bijvoorbeeld computers mee binnen te komen). Het is een goedkope manier om dure wapens te stelen. Zelf de hacks ontwikkelen kost veel meer tijd en geld. Met de hacks kunnen zij alleen maar meer geld verdienen (door bijvoorbeeld het stelen van betrouwbare informatie om vervolgens door te kunnen verkopen).

 

Hoe de hackers te werk zijn gegaan

De hackers hebben neppe accounts aangemaakt op online platformen zoals GitHub, Twitter en LinkedIn. Deze accounts zijn in de loop van 2020 gevuld met publicaties over onderzoeken om zo minder/niet op te vallen als nepaccount. De hackers plaatsten bijvoorbeeld ook filmpjes waarin er gedaan deed alsof er een zero-day aanval werd gedaan.

De hackers deden zich als het ware voor als collega’s in dezelfde branche. Zo maakten zij blogs over hoe ze exploits maken. Via DM (Direct Message) stuurden de hackers berichten via Twitter en LinkedIn om zo contact te zoeken met ‘andere’ beveiligingsexperts. Zij vragen in deze privéberichten om mee te werken aan een zero-day exploit (wat eigenlijk een aanbod is dat te mooi is om waar te zijn).

Een ‘zero-day exploit’ is een bepaalde hack die niet publieke bekend is en dus ook niet voor virusscanners. Je kan dit soort hacks dus niet tegenhouden. Zero-day exploits kunnen veel geld waar zijn (soms wel €100.000 euro).

Al met al zijn deze zero-day exploits dus erg belangrijk voor een beveiligingsexpert… Wie zich liet overhalen mee te werken aan de zero-day exploits kreeg vervolgens een Visual Studio project opgestuurd waarin malware verstopt zat.

Ook konden beveiligingsexperts geïnfecteerd raken wanneer zij met Google Chrome webbrowser op Windows 10 een blog website bezochten. Ook wanneer zij de software met de laatste updates draaiden konden zij geïnfecteerd raken door simpelweg de website te bezoeken. Het ging hier onder andere om links van blogs die via Twitter en LinkedIn werden verspreid.

 

Waarom is dit zo erg?

De crème de la crème onder de it beveiligingsexperts zijn gehackt (topspelers in de digitale wereld) – Ze zijn erin gestonken… De experts werken zelf ook aan zero-day exploits. Waarschijnlijk gingen de Noord-Koreaanse hackers achter deze exploits aan zodat zij hier zelf weer mee aan de slag kunnen.

De hackers zijn niet alleen bij de experts binnen gedrongen maar ook gelijk binnen de interne netwerken waarop zij werkten. De hackers hebben wellicht nieuwe zero-day exploits buit gemaakt. Dit maakt het digitale leger van Noord-Korea alleen maar sterker…

 

Zijn de hackers nog binnen?

Dat weten de beveiligingsexperts (nog) niet; er werden ten slotte zero-day exploits gebruikt. De kans bestaat altijd dat de hackers nog in de systemen zitten. Het kan zijn dat er nog ergens een slim achterdeurtje is ingebouwd.

 

“Hopelijk zijn de beveiligingsexperts nu veiligheid-bewuster”.

 

Benieuwd naar jouw (online) IT-veiligheid?

Bel ons dan voor vrijblijvend advies! Je kan ons ook een bericht sturen via het contactformulier (wij helpen je graag).

Je kan ook een kijkje nemen op onze forensisch-ict pagina!

 

 

Bronnen:

 

 

Vragen of opmerkingen over dit artikel? Laat dan hieronder een reactie achter!

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *