Russische hackers richten zich wereldwijd op critici van het Kremlin en onthullen agressieve phishingcampagne
In een zorgwekkende ontwikkeling richten hackers die verbonden zijn met de Russische inlichtingendienst zich actief op critici van het Kremlin over de hele wereld via geavanceerde phishingcampagnes. Deze alarmerende cyber-espionageoperatie werd onlangs onthuld door de digitale rechtengroepen Citizen Lab en Access Now, en het benadrukt de groeiende dreiging van cyberaanvallen nu de Amerikaanse presidentsverkiezingen van 2024 naderen.
Deze phishingaanvallen, die in 2022 begonnen, hebben een breed scala aan personen en organisaties gecompromitteerd, waaronder Russische oppositieleden in ballingschap, voormalige Amerikaanse beleidsambtenaren, academici, personeel van Amerikaanse en EU-non-profitorganisaties en verschillende media. Het bereik van de hackers strekt zich zelfs uit tot personen die nog steeds in Rusland wonen, waardoor ze in groot gevaar zijn. Het primaire doel van deze aanvallen lijkt te zijn om de uitgebreide netwerken van contacten van de slachtoffers te infiltreren en zo toegang te krijgen tot gevoelige informatie.
Inhoudsopgave
Geavanceerde phishingtactieken via imitatie en misleiding
Wat deze phishingcampagne bijzonder gevaarlijk maakt, is de methode om zich voor te doen als personen die bekend zijn bij de slachtoffers, waardoor de kans groter wordt dat de e-mail wordt geopend en vertrouwd. Deze misleidende tactiek onderscheidt deze operatie van typische phishingpogingen en heeft geleid tot succesvolle inbreuken.
Citizen Lab heeft twee Russische hackinggroepen geïdentificeerd die achter deze aanvallen zitten. De eerste, Cold River, is door westerse inlichtingendiensten in verband gebracht met de Russische Federale Veiligheidsdienst (FSB). De tweede groep, Coldwastrel, is een nieuwere entiteit die ook lijkt te zijn gelieerd aan Russische inlichtingendiensten.
De rol van Citizen Lab en Access Now bij het onthullen van de aanval
Ondanks herhaaldelijke ontkenningen van Rusland met betrekking tot betrokkenheid bij dergelijke activiteiten, waaronder die gelinkt aan Cold River, schetst het bewijsmateriaal dat Citizen Lab presenteert een ander beeld. Opvallend is dat een van de doelwitten een voormalige Amerikaanse ambassadeur in Oekraïne was, die werd benaderd via een geloofwaardige phishingpoging die zich voordeed als een andere voormalige ambassadeur die hij kende.
De phishing-e-mails bevatten doorgaans een PDF-bijlage die, zodra erop werd geklikt, de ontvanger doorstuurde naar een nep-Gmail- of ProtonMail-inlogpagina. Slachtoffers die hun inloggegevens op deze vervalste sites invoerden, gaven hackers onbewust toegang tot hun e-mailaccounts en contacten. Helaas zijn meerdere personen ten prooi gevallen aan deze tactiek.
Hoe deze phishingaanvallen zich ontvouwden
Dmitry Zair-Bek, leider van de Russische rechtengroep First Department, benadrukte de effectiviteit van deze eenvoudige maar krachtige aanval. De aard van de e-mails, die afkomstig leken te zijn van collega's, maakte ze bijzonder moeilijk te herkennen als frauduleus. Volgens Zair-Bek ligt het aantal beoogde personen in de dubbele cijfers, waarbij de meeste incidenten dit jaar plaatsvonden.
Citizen Lab benadrukte de ernstige implicaties van deze aanvallen, met name voor degenen met connecties met risicovolle gemeenschappen in Rusland. Voor sommigen zou een succesvol compromis kunnen leiden tot ernstige gevolgen, waaronder gevangenisstraf.
Cold River is snel uitgegroeid tot een van de meest productieve Russische hackersgroepen sinds het in 2016 voor het eerst op de radar van inlichtingendiensten verscheen. Na de Russische inval in Oekraïne escaleerde de groep haar activiteiten, wat leidde tot sancties die in december door de Amerikaanse en Britse autoriteiten werden opgelegd aan enkele van haar leden.