‘Franse en Duitse verkiezingskandidaten zijn doelwit van cyberspionage’

Zowel de Franse als Duitse verkiezingen worden actief aangevallen door de spionagegroep Pawn Storm. De Franse kandidaat Emmanuel Macron en de Duitse kandidaat Konrad Adenauer Stiftung zijn doelwit van de groep.

Dit meldt Trend Micro in een nieuw Pawn Storm-paper. Het beveiligingsbedrijf trok eerder al aan de bel over de toename in aanvallen op politieke doelwitten door spionagegroep Pawn Storm, die ook bekend staat als Fancy Bear, APT28, Sofacy, en STRONTIUM. Deze hackersgroep staat erom bekend aanvallen uit te voeren op mensen en organisaties die een bedreiging voor Rusland zouden zijn.

Phishingaanvallen
Trend Micro bevestigt in de paper dat er meerdere phishing-domeinen zijn uitgevoerd opp de Franse presidentskandidaat Emmanuel Macron en dat er meerdere phishing-domeinen zijn ingesteld om de ‘Konrad Adenauer Stiftung’ (gekoppeld aan CDU) en de ‘Friedrich Ebert Stiftung’ (van de SPD) aan te vallen.

In het nieuwe paper worden de activiteiten van de Pawn Storm-hackersgroep van de afgelopen jaren op een rij gezet en geanalyseerd. Enkele feiten over deze groep:

• Zeker is dat Pawn Storm politieke organisaties aanvalt sinds 2015 in een hele reeks social engineering-campagnes. Ook overheidsdiensten, militaire organisaties en media verspreid over de hele wereld werden belaagd door Pawn Storm.
• Een favoriet aanvalswapen van Pawn Storm is ‘credential phishing’, de specifieke vorm van phishing waarbij naar login-gegevens van gebruikers wordt ‘gevist’. Geen geavanceerde technologie op zichzelf, maar altijd bijzonder goed uitgevoerd door Pawn Storm, met soms desastreuze gevolgen.
• Het doel van Pawn Storm bij politieke aanvallen is meestal hetzelfde: belastende informatie over een organisatie bemachtigen om die nadien selectief en goed getimed via Wikileaks of andere bronnen te lekken. Met dit selectief en goed getimed lekken probeert Pawn Storm de publieke opinie over bepaalde politieke onderwerpen te beïnvloeden.
• Bij spearphishing-aanvallen met malware gebruikt Pawn Storm een drietrapsraket: in een eerste fase wordt zoveel mogelijk informatie verzameld over gebruikers die op de spearphishing-mails zijn ingegaan. In een volgende fase wordt een meer selecte groep gebruikers met relatief eenvoudige malware besmet om de infrastructuur en credentials van de gebruikers te verkennen. Pas daarna wordt meer geavanceerde malware, zoals X-Agent voor het stelen van wachtwoorden en backups, geïnstalleerd.

Meer informatie is beschikbaar in het rapport dat Trend Micro over Pawn Storm heeft vrijgegeven.

Trend_Micro_Two-years-of-pawn-storm.pdf