VS: ‘Cybercrimegroepen Fancy Bear en Cozy Bear zitten achter aanvallen op Democratische Partij’

usa-flag-thomas-ricks

De Amerikaanse FBI en het US Department of Homeland Security (DHS) wijten de cyberaanvallen rond de Amerikaanse presidentsverkiezingen aan twee hackersgroepen: APT28 (ook bekend als Fancy Bear) en APT29 (ook bekend als Cozy Bear). De aanvallen van beide partijen worden samen ‘GRIZZLY STEPPE’ genoemd.

Dit blijkt uit een Joint Analysis Report (JAR) dat de FBI en de DHS hebben gepubliceerd. In het rapport worden de pogingen door Russische civiele en militaire inlichtingendiensten om ‘netwerken en endpoints te compromitteren en uit te buiten die gerelateerd zijn aan de Amerikaanse verkiezingen evenals Amerikaanse overheidsinstellingen, politieke instellingen en entiteiten in de private sector’ ook wel ’GRIZZLY STEPPE’ genoemd.

APT29

Uit het rapport blijkt dat in de zomer van 2015 door APT29 een spearphishing campagne is opgezet waarbij een malafide URL werd doorgestuurd naar 1.000 ontvangers, waaronder meerdere slachtoffers binnen de Amerikaanse overheid. Hierbij zouden legitieme domeinnamen zijn misbruikt om malware te hosten en spearphishing e-mails te versturen.

Tenminste één ontvanger van de spearphishing e-mails heeft op de malafide link geklikt of een malafide bijlage geopend waarmee de malware van APT29 is geïnstalleerd. Via deze weg heeft de groep volgens het rapport malware op de systemen van de Amerikaanse Democratische Partij weten te krijgen, waarna de groep zijn rechten op systemen wist op te hogen en e-mailberichten heeft gestolen.

APT28

In de lente van 2016 zou APT28 dezelfde politieke partij hebben aangevallen. Ook ditmaal werd gebruik gemaakt van een spearphishing campagne, waarmee slachtoffers werden opgeroepen hun wachtwoord te wijzigen via een malafide webmail domein dat op infrastructuur van APT28 werd gehost. Via de inloggegevens die via deze aanval werden buitgemaakt wist de groep toegang te krijgen tot de servers van de Democratische Partij en hier data te stelen. Het gaat hierbij vermoedelijk om data van meerdere hooggeplaatste partijleden. Een deel van deze informatie is gelekt naar de pers en openbaar gemaakt.

Het volledige JAR is hier te vinden.

Kritiek

Verschillende beveiligingsexperts zijn overigens niet te spreken over het JAR. Zo stelt beveiligingsexpert Robert Graham van Errata Security dat het rapport van lage kwaliteit is en vooral een politieke tool zijn om bewijs tegen Rusland te kunnen laten zien. Robert M. Lee, CEO en oprichter van beveiligingsbedrijf Dragos, zegt dat er weinig concrete informatie in het rapport te vinden is die helpt systemen veiliger te maken. Jeffrey Carr van oprichter van security consultancybureau Taia Global stelt dat het rapport uitsluitend alle cybercrimegroepen opnoemt die volgens commerciële partijen verband houden met Rusland en deze in verband brengt met Russische inlichtingendiensten, zonder dat hiervoor bewijs wordt geleverd.