Cyberspionagegroep CopyKittens boekt ondanks beperkte kennis succes

spionage

De Iraanse cyberspionagegroep CopyKittens heeft sinds 2013 een grote hoeveelheid data weten buit te maken bij buitenlandse partijen. Dit terwijl de kennis en vaardigheden van de cybercrimegroepering beperkt is.

Dit melden Trend Micro en ClearSky in een nieuw rapport. CopyKittens is een cyberspionagegroep die sinds 2013 actief is. In november 2015 publiceerde ClearSky al in samenwerking met Minerva Labs een rapport waarin de activiteiten van de groep worden beschreven. In maart 2017 publiceerde het bedrijf opnieuw een rapport waarin meerdere incidenten worden toegeschreven aan de groepering. Het gaat hierbij onder andere om een cyberaanval op de Duitse Bundestag. Trend Micro en ClearSky stellen dat CopyKittens relatief weinig resources tot zijn beschikking heeft. De cyberaanvallen die de groep opzet zouden daarnaast een stuk minder geavanceerd zijn dan aanvallen van veel andere 'staatshackers'.

Overheden, defensiesector en academische instellingen

Het bedrijf meldt dat CopyKittens zich voornamelijk richt op doelen in landen als Israël, Saudi-Arabië, Turkije, Jordanië, de Verenigde Staten en Duitsland. Daarnaast zijn ook andere landen af en toe doelwit van de groep, evenals medewerkers van de Verenigde Naties. De groep richt zich ondermeer op overheidsorganisaties, academische instellingen, defensiebedrijven, lokale overheden, onderaannemers van het ministerie van Defensie en grote IT-bedrijven.

Ook online nieuwswebsites en andere populaire websites worden aangevallen door de groep. Deze sites worden vaak ingezet om cyberaanvallen op te zetten tegen doelen van de groep via ondermeer watering hole aanvallen. Hierbij wordt een website die populair is onder een bepaalde doelgroep geprepareerd door cybercriminelen en ingezet om bezoekers aan te vallen.

Malware en hacktools

De groep gebruikt verschillende zelfontwikkelde malware varianten en hacktools die niet openbaar beschikbaar zijn. Het gaat hierbij om de TDTESS backdoor; de lateral movement tool Vminst; de Cobalt Strike loader NetSrv en het filecompressieprogramma ZPP. Daarnaast heeft de groep de Remote Access Tool Matryoshka v1 en diens opvolger Matryoshka v2 ontwikkeld. Veel zelfontwikkelde tools zijn echter wat betreft kwaliteit inferieur aan tools die andere cybercrimegroeperingen gebruiken, meldt Eyal Sela, hoofd threat intelligence bij ClearSky tegenover DarkReading. Ook zou de groep geen 0-day kwetsbaarheden inzetten.

Daarnaast worden publiek beschikbare tools ingezet, waaronder Cobalt Strike. Die is commerciële software voor ‘Adversary Simulations and Red Team Operations’. Daarnaast gebruikt de tool ook Metasploit, een bekend en gratis open source raamwerk voor het uitvoeren van penetratietesten. Andere tools zijn:

  • Mimikats - een tool voor het kopiëren van inloggegevens
  • Empire - een PowerShell en Python post-exploitation agent
  • Havij, Acunetix en sqlmap - tools voor het detecteren en uitbuiten van met internet verbonden webservers.

C&C-verkeer

Kenmerkend voor de groep is volgens ClearSky en Trend Micro het gebruik van DNS voor command and control (C&C)-verkeer. Daarnaast wordt DNS ook gebruikt om data van slachtoffers te versturen naar externe servers. Deze feature is beschikbaar in zowel Cobalt Strike als Matryoshka.

Meer informatie over CopyKittens is te vinden in het rapport van Trend Micro en ClearSky (pdf).

Meer over
Lees ook
Acht cybersecurity-tips uit The Walking Dead

Acht cybersecurity-tips uit The Walking Dead

Soms kan de meest onlogische combinatie van twee dingen voor een bijzondere uitkomst zorgen. Neem nu cybersecurity en entertainment. Wat kunnen populaire films, TV-shows, boeken of videogames ons leren over security? Op het eerste oog misschien niets, maar Cory Nachreiner van WatchGuard ontdekte in zijn guilty pleasure ‘The Walking Dead’ acht overlevingstips,...

Explosieve stijging kosten van cybercrime

Explosieve stijging kosten van cybercrime

Onlangs verscheen de vijfde editie van een gezamenlijk door het Ponemon Institute en HP uitgevoerd onderzoek naar de kosten van security. Die kosten blijken explosief toe te nemen en bedragen wereldwijd gemiddeld 12,7 miljoen dollar per organisatie. Het jaarlijkse onderzoek van het Ponemon Institute en HP’s Enterprise Security Products-divisie luistert...

Cybersecurity: vier eye-openers voor de CEO

Cybersecurity: vier eye-openers voor de CEO

Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk...