Gebruiker:GillianH/Kladblok

Sandworm (vrij vertaald: zandworm) was een Russische cyberspionagecampagne die bestond uit een geheel van cyberaanvallen. Deze aanvallen werden uitgevoerd door Russische hackers. Zij wisten een zwakke plek in Microsoft Windows uit te buiten om zo toegang te krijgen tot de data op computers van wereldleiders en belangrijke internationale organisaties. De hackers gingen doelgericht naar informatie opzoek bij organisaties als de NAVO, Europese Unie, universiteiten en energie- en defensiebedrijven. Deze cyberspionagecampagne duurde ongeveer 5 jaar en werd ontdekt in september 2014 door iSight.

Benaming[bewerken | brontekst bewerken]

Deze Russische cyberspionagecampagne kreeg de naam 'Sandworm'. De naam verwijst naar de sciencefictionboekenreeks Duin, geschreven door Frank Herbert. De onderzoekers kozen deze naam omdat de hackers in hun code verwijzingen maakten naar deze boekenreeks. Hierin spelen zandwormen de hoofdrol en verslinden alles wat op hun pad komt.

Werking[bewerken | brontekst bewerken]

Het team van hackers ging heel specifiek te werk. Ze stuurden phishing mails rond met kwaadaardige bijlagen, om op die manier in de computer van het slachtoffer binnen te raken. Het lek bevond zich op computers waarop Windows Vista, Windows 7, Windows 8 of Windows RT geïnstalleerd was. Die lieten toe dat OLE Packager, INF bestanden ging downloaden en uitvoeren. De hackers maakten vooral gebruik van Microsoft PowerPoint, daarop bevond zich dan een OLE Package object die verwees naar willekeurige externe bestanden. Zo worden de bestanden gedownload in INF bestanden en kunnen er specifieke commando’s worden uitgevoerd. ^[1]

Doel[bewerken | brontekst bewerken]

Het Sandworm team ging heel doelgericht te werk. Ze spioneerden vooral organisaties en bedrijven als de NAVO, Europese Unie, universiteiten en energie- en defensiebedrijven. De recentste aanvallen werden uitgevoerd op een Poolse energie firma, westerse overheidsbedrijven en een Frans Telecommunicatie bedrijf. Ze zochten doelgericht naar informatie die vooral politieke en diplomatieke informatie bevatten.

De opdrachtgever van deze hackers is onbekend, vermoedelijk zou Rusland de opdracht hebben gegeven om deze aanvallen uit te voeren. Een element die aantoont dat Rusland vermoedelijk achter deze aanvallen zit, zijn de codes die ontdekt zijn op de C & C server. Deze server is gevestigd in Duitsland en waren niet goed beveiligd tegen Russische computerbestanden die geüpload werden door de hackers.^[2]

Geschiedenis[bewerken | brontekst bewerken]

Vermoedelijk in 2009 ontstond een team van hackers in Rusland. Later kreeg dit team van hackers de naam Sandworm. Tussen 2009 en 2013 worden er verschillende cyberaanvallen uitgevoerd op overheden en private sectoren. De meeste aanvallen werden uitgevoerd op de NATO. Tijdens de overgang van 2013 naar 2014 namen de activiteiten toe. Onder andere aanwezigen op de GlobSec conferentie werden slachtoffer van deze aanvallen. De laatste aanvallen, voor Sandworm ontdekt werd, vonden plaats in juni 2014. Westerse overheden, een Pools energiebedrijf en een Frans telecommunicatie bedrijf werden als laatste slachtoffer van deze aanvallen. Op 3 september 2014 werd een lek ontdekt door Isight en worden verschillende overheden en betrokken private sectors verwittigd. Op 5 september was de technische analyse klaar, werd een oplossing gevonden voor het lek en verder toezicht gehouden op dreigingen en aanvallen. ^[3]

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]

(en) The Wildlist - Lijst van virussen en wormen "in het wild" (regelmatig gevonden door anti-virus-bedrijven)

Bronnen, noten en/of referenties

↑ Geraadpleegd op 26 november 2014, op http://arstechnica.com/security/2014/10/suspected-russian-sandworm-cyber-spies-targeted-nato-ukraine/
↑ Geraadpleegd op 26 november 2014, op http://www.infosecurity-magazine.com/news/microsoft-zero-day-traced-russian/
↑ Geraadpleegd op 26 november 2014, op http://securityaffairs.co/wordpress/29230/security/sandworm-0day-cyberespionage.html

[1] Geraadpleegd op 26 november 2014, op http://arstechnica.com/security/2014/10/suspected-russian-sandworm-cyber-spies-targeted-nato-ukraine/

[2] Geraadpleegd op 26 november 2014, op http://www.infosecurity-magazine.com/news/microsoft-zero-day-traced-russian/

[3] Geraadpleegd op 26 november 2014, op http://securityaffairs.co/wordpress/29230/security/sandworm-0day-cyberespionage.html

[1]

[2]

[3]