Link gevonden tussen Noord-Koreaanse staatshackers en Oost-Europese hackers

De crimeware-organisatie TrickBot en de Noord-Koreaanse advanced persistent threat (APT) groep Lazarus werken samen. Dit is opvallend, aangezien achter TrickBot naar verluid Oost-Europese cybercriminelen zitten. Ook houdt het Anchor Project, een toolset voor cybercrime, mogelijk verband met het Noord-Koreaanse regime.

Dit blijkt uit onderzoek van SentinelLabs, een nieuw opgerichte onderzoekstak van SentinelOne gericht op de analyse van aanvalsmethodes. Anchor Project vormt een all-in-one toolkit om bedrijven op maat aan te vallen, en ondersteunt zowel data-diefstal als financieel gewin. De meeste landgebaseerde hack-groepen richten zich op toegang tot systemen ten behoeve van spionage, monitoring en het uitlezen van data. De groep Lazarus heeft echter als extra taak het Noord-Koreaanse regime van financiering te voorzien. Het bewijs is nu geleverd dat deze groep de Anchor-tools van TrickBot gebruiken om geld te verdienen met hun acties. Die combinatie en samenwerking was niet eerder aangetoond, en voedt de verdenking dat landgebaseerde groepen mogelijk van focus verschuiven.

Aan het hoofd van SentinelLabs staat Vitali Kremez, een ethical hacker, reverse engineer en veelgevraagd internationaal spreker op dit gebied. Kremez: "TrickBot functioneert als bedrijf en verdient geld met hun cybercrime-as-a-service aanbod. Ze zijn altijd op zoek naar nieuwe markten, maar omdat landgebaseerde hack-groepen zelden op financieel gewin uit zijn, is het opvallend dat TrickBot zich in deze sector begeeft. De link die nu gelegd is tussen hen en Lazarus geeft aan dat er een verschuiving plaatsvindt op het internationale toneel van cybercrime."

Analyse en advies

SentinelOne gebruikt de opgedane kennis in SentinelLab voor het verbeteren van het nieuwe threat intelligence platform op basis van monitoring, rapportages en vergaande analyses. Het lab heeft ook een adviserende functie naar de gebruikers van het platform. Kremez is bekend geworden met zijn onderzoeken en undercoverwerk in met name Oost-Europa. Hij sprak eerder voor de NAVO en VN over digitale beveiliging. Het team bestaat verder uit onder andere Joshua Platt, gespecialiseerd in financiële crimeware en Jason Reaves, een malware reverse engineer.

"De start van SentinelLabs, en de benoeming van Vitali, Joshua en Jason als het hart van onze research-afdeling is een flinke boost voor ons threat intelligence platform. We zijn nog beter in staat onze klanten te beschermen. Er was al aangetoond dat SentinelOne bescherming biedt tegen alle technieken uit het Anchor Project, maar veel legacy en next-generation antivirus-oplossingen doen dat niet. Met de nieuwe kennis kunnen we klanten nog beter adviseren en ondersteunen in hun bescherming tegen cybercrime", aldus Tom Weingarten, CEO van SentinelOne.