Alleen hacken tijdens kantooruren

De aanvallen van hackersgroep ‘APT28’ passen precies in strategische belangen van de regering-Poetin.

De Russische hackers van APT28 zijn geen nachtbrakers. De jongens en meisjes die in verband worden gebracht met de recente inbraak bij de Duitse Bondsdag werken gewoon van 08.00 tot 18.00 uur, en van maandag tot en met vrijdag. De hackers van APT28, zo lijkt het, hebben meer weg van saaie Russische ambtenaren dan van briljante nerds op een zolderkamertje driehoog-achter in Moskou.

Maar onderschat ze niet.

APT28 is verantwoordelijk voor een serie aanvallen op westerse overheden, bedrijven en internationale (veiligheids) organisaties, waaronder zelfs de NAVO. Duitse media brengen de groep in verband met de grootschalige infiltratie van het computersysteem van de Duitse Bondsdag, waarbij grote hoeveelheden vertrouwelijke informatie zijn weg gesluisd en waarschijnlijk onherstelbare schade is aangericht. Het Franse openbaar ministerie onderzoekt of APT28 verantwoordelijk is voor het kapen van de website van TV5, en het platleggen van de uitzendingen van de wereldwijde Franstalige zender.

Waar zitten ze?

De verantwoordelijken voor al deze spectaculaire computerinbraken, zo vermoedt het Amerikaanse computerbeveiligingsbedrijf FireEye, zitten in een kantoor in Moskou of Sint-Petersburg, en werken in opdracht van het Kremlin.

FireEye is niet de eerste de beste: het is eigenaar van het Amerikaanse it-beveiligingsbedrijf Mandiant, dat in 2013 een beroemd en berucht rapport uitbracht over Chinese internetspionage, rapport APT1. Rapport APT28, waarnaar de Russische hackers zijn vernoemd, past dus in een gezaghebbende reeks. Mandiant werkte nauw samen met de Amerikaanse overheid. De verslagen van Mandiant/FireEye lezen als een inlichtingenrapport van de CIA en dat is waarschijnlijk geen toeval. Maar rapport APT28 leunt niet alleen op Amerikaanse informatie: het Japanse onderzoeksbedrijf Trend Micro deed al eerder onderzoek dat de Amerikaanse bevindingen onderbouwt.

Het zijn ervaren ontwikkelaars

Na uitgebreide studie van de modus operandi van APT28 en de malware, kwaadaardige software die door de groep is geschreven, trekt FireEye de conclusie dat we hier te maken hebben met „ervaren Russische ontwikkelaars” die aandacht hebben voor de lange termijn, veel moeite steken in het maskeren van hun activiteiten en grote financiële middelen tot hun beschikking hebben. Dergelijke cyberspionage, zo concluderen de Amerikanen, wijst op de steun van een ‘natiestaat’ – Rusland. Een belangrijke aanwijzing daarvoor zijn de tijdstippen waarop de malware is geschreven. Meer dan 89 procent werd geproduceerd tussen 08.00 uur en 18.00 uur Moskou-tijd. De scripts zijn bovendien getikt op computers die waren ingesteld op ‘Russisch’ als eerste taal.

Strategische belangen

APT28 is bovendien niet geïnteresseerd in het kraken van bankrekeningen of het stelen van intellectuele eigendommen. Sterker nog: alle ‘targets’ die tot nu toe zijn ontdekt, sluiten naadloos aan op de strategische belangen van de Russische regering. APT28 heeft een grote belangstelling voor Georgië, en voor de regeringen van landen in Oost-Europa.

De groep heeft geprobeerd in te breken bij het Noorse leger, bij de NAVO, bij de OVSE en bij de Wereldbank. Afgelopen augustus onderschepte een Pools beveiligingsbedrijf een nepmail die was gestuurd naar overheidsfunctionarissen in Warschau. Onderwerp: de crash van MH17. Poolse ambtenaren die klikten op de link kwamen terecht op een valse site, waar hun computer werd geïnfecteerd met malware.

APT28 hanteerde een groot aantal domeinnamen die leken op die van hun targets: die van het NATO Special Operations Headquarters, bijvoorbeeld, of van de regering van Hongarije: qov.hu.com (met een ‘q’) in plaats van gov.hu.

Toch even opletten voordat u klikt.