MIVD waarschuwt voor cyberaanvallen van Russische militaire geheime dienst
Diverse inlichtingendiensten waaronder Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) waarschuwen voor cyberaanvallen van de Russische militaire geheime dienst GROe. Het doel van de aanvallen is naar verluid het verstoren van de Westerse steun aan Oekraïne.
De aanvallen zijn het werd van Eenheid 29155, die bekend staat om fysieke sabotage en beïnvloedingscampagnes. Eerder is de divisie onder meer in verband gebracht met het vergiftigen van oud-dubbelspion Sergej Skripal. Het is voor het eerst dat Eenheid 29155 in verband wordt gebracht met cyberaanvallen.
Landen die Oekraïne steunen zijn doelwit
De divisie zou zich momenteel onder meer bezig houden met het aanvallen van Westerse doelen in landen die Oekraïne steunen. Zo proberen de aanvallers naar verluid inzicht te krijgen in Westerse wapenleveranties aan het land. Ook zou de divisie met cyberaanvallen fysieke sabotageacties willen ondersteunen.
Nederland is vooralsnog geen doelwit geweest van aanvallen van Eenheid 29155 op vitale infrastructuur. “Maar het vormt wel een dreiging waar we steeds meer rekening mee moeten houden", meldt directeur MIVD viceadmiraal Peter Reesink. “Deze actor heeft namelijk cyberoperaties ontplooid. Ze zijn gericht op de logistieke sector in landen die hulp aan Oekraïne leveren of daar een rol in hebben. En Nederland is een belangrijk doorvoerland.”
Minister van Defensie Ruben Brekelmans: “We kiezen er samen met partners voor de werkwijze van deze beruchte Russische cybereenheid bloot te leggen. Zo kan iedereen zien hoe zij te werk gaan. Zo is men in staat zich tegen deze ingrijpende aanvallen en spionage te wapenen. Niet alleen overheden, maar juist ook fabrikanten en leveranciers van militaire middelen voor Oekraïne.”
Langlopende campagne
"Het rapport over de cyberoperaties van Unit 29155 gaat over de impact van een langlopende campagne die gericht is op het verstoren en schaden van vijanden van de Russische staat. Dit omvat malware-aanvallen die gericht waren op Oekraïne en bepaalde NAVO-lidstaten over een periode van vier jaar", zegt Michael Covington, vice president of portfolio strategy bij Jamf.
"Het is in de cybersecurityindustrie niet gebruikelijk om een aanvaller specifiek te identificeren en details over de gehanteerde methodes te publiceren. Een beleid van geheimhouding in combinatie met inspanningen om een voordeel ten opzichte van de aanvaller te behouden, weerhoudt verdedigers er vaak van om openbare verklaringen te doen over wie er achter een aanval zit en beperkt de openbaarmaking van gedetailleerde tactieken, technieken en procedures die door de aanvaller worden gebruikt."
Covington: "Het is dan ook prijzenswaardig dat het NCSC, de FBI en hun collega's Unit 29155 nu hebben blootgesteld en een uitgebreide reeks IOC's hebben gedeeld die worden gelinkt aan de aanhoudende campagnes die worden uitgevoerd namens de Russische inlichtingendienst, waaronder de verspreiding van Whispergate malware in Oekraïne."
"De nu gepubliceerde details over de aanval uitgave zijn belangrijk voor zowel securityanalisten als voor de teams die verantwoordelijk zijn voor het toepassen van deze dreigingsinformatie in securitytools en policy mechanismen om deze dreigingen in de toekomst te neutraliseren."
Covington: "Rapporten zoals deze dragen bij aan het inzicht van de gemeenschap in moderne APT-technieken. Ze maken het makkelijker om gecoördineerde actie te ondernemen en om toekomstige inbreuken tegen te gaan. We kunnen er verder van uitgaan dat het verstrekte detailniveau ook zal worden gebruikt om sancties in te stellen tegen de leden van Unit 29155, dus dit is waarschijnlijk niet de laatste keer dat deze organisatie besproken zal worden."
Meer informatie is hier beschikbaar.
