Venezolaans leger onder aanval van cyberspionnen
Venezolaans leger onder aanval van cyberspionnen die grote hoeveelheden aan vertrouwelijke documenten stelen. De groep is voornamelijk geïnteresseerd in bestanden die navigatieroutes en militaire positioneringen beschrijven
ESET-onderzoekers hebben een doorlopende cyberspionagecampagne tegen hooggeplaatste doelwitten in Latijns-Amerika ontdekt. De meerderheid van de aangevallen computers behoort tot het Venezolaanse leger. Tot de overige doelwitten behoren verschillende instanties – van politie en educatie tot buitenlandse zaken. De meerderheid van de aanvallen, wel 75%, heeft in Venezuela plaatsgevonden. Ecuador was het tweede grootste doelwit: daar werd 16% van de aanvallen uitgevoerd. De Machete-groep achter deze aanvallen heeft elke week gigabytes aan vertrouwelijke documenten gestolen. De campagne is nog steeds zeer actief en wordt gevoerd op een moment van verhoogde spanning, zowel regionaal als internationaal tussen Venezuela en de Verenigde Staten van Amerika.
ESET-onderzoekers hebben de nieuwe versie van Machete (de toolset van de groep), die een jaar geleden voor het eerst werd gezien, gevolgd. In slechts drie maanden, tussen maart en mei 2019, zag ESET meer dan 50 computers die met Command & Control-servers van de cyberspionnen communiceerden. De aanvallers brengen met regelmaat veranderingen aan in de malware, diens infrastructuur en de spearphishing-campagnes.
Landen in 2019 met slachtoffers van Machette volgens onderzoek van ESET
“De aanvallers van Macheter gebruiken effectieve spearphishing-technieken. Door de lange duur van de aanvallen, gericht op Latijns-Amerikaanse landen, hebben ze veel informatie kunnen vergaren en hun tactieken door de jaren heen kunnen verfijnen. Ze kennen hun doelwitten, weten hoe ze niet opvallen tussen normale communicaties en welke documenten het meest waardevol zijn om te stelen,” zegt ESET-onderzoeker Matias Porolli. “De aanvallers exfiltreren gespecialiseerde bestandstypen die gebruikt worden door geografische informatiesystemen (GIS) software. De groep is voornamelijk geïnteresseerd in bestanden die navigatieroutes en positionering middels militaire rasters beschrijven.”
De Machete-groep stuurt zeer specifieke phishing rechtstreeks naar hun slachtoffers, waarbij de inhoud verandert van doelwit tot doelwit. Om onbedachte slachtoffers in de val te lokken, gebruiken de beheerders van Machete echte documenten die ze eerder gestolen hebben, zoals geclassificeerde militaire documenten. Zo gebruiken ze ook “Radiogramas” (radiogrammen) die binnen het leger voor communicatiedoeleinden wordt gebruikt. Aanvallers maken daar misbruik van zodat ze, in combinatie met hun kennis van militair jargon en etiquette, overtuigende phishingmails kunnen opstellen.
De aanval begint met een bestand dat zichzelf uitpakt waarin een document als lokaas is aangeleverd. Daarna gaat de aanval verder met downloaden en installatie van de backdoor-componenten verder. De backdoor bestaat uit een spionagecomponent dat voor onbepaalde tijd draait, documenten kopieert en versleutelt, screenshots maakt en toetsaanslagen vastlegt. Het component draait elke 30 minuten en installeert andere componenten. Daarbij wordt communicatie met de aanvallers elke tien minuten vastgesteld zodat de gestolen data via de Command & Control-server verstuurd kan worden. Alle componenten misbruiken “Google” in hun bestandsnamen om hun kwade aard te verhullen.
“De activiteiten van de Machete-groep zijn sterker dan ooit en ons onderzoek heeft laten zien dat ze zich snel ontwikkelen, soms in slechts een paar weken. Verschillende elementen in de code van Machete en de onderliggende infrastructuur leiden ertoe dat we vermoeden dat dit een Spaanstalige groep is,” voegt Porolli toe.
Componenten van Machete op basis van ESET-onderzoek.
Lees voor meer informatie de blog “Machete just got sharper…” en de whitepaper “Machete just got sharper: Venezuela’s military under attack” op WeLiveSecurity.com.
