Cyberspionagegroep CopyKittens boekt ondanks beperkte kennis succes

spionage

De Iraanse cyberspionagegroep CopyKittens heeft sinds 2013 een grote hoeveelheid data weten buit te maken bij buitenlandse partijen. Dit terwijl de kennis en vaardigheden van de cybercrimegroepering beperkt is.

Dit melden Trend Micro en ClearSky in een nieuw rapport. CopyKittens is een cyberspionagegroep die sinds 2013 actief is. In november 2015 publiceerde ClearSky al in samenwerking met Minerva Labs een rapport waarin de activiteiten van de groep worden beschreven. In maart 2017 publiceerde het bedrijf opnieuw een rapport waarin meerdere incidenten worden toegeschreven aan de groepering. Het gaat hierbij onder andere om een cyberaanval op de Duitse Bundestag. Trend Micro en ClearSky stellen dat CopyKittens relatief weinig resources tot zijn beschikking heeft. De cyberaanvallen die de groep opzet zouden daarnaast een stuk minder geavanceerd zijn dan aanvallen van veel andere 'staatshackers'.

Overheden, defensiesector en academische instellingen

Het bedrijf meldt dat CopyKittens zich voornamelijk richt op doelen in landen als Israël, Saudi-Arabië, Turkije, Jordanië, de Verenigde Staten en Duitsland. Daarnaast zijn ook andere landen af en toe doelwit van de groep, evenals medewerkers van de Verenigde Naties. De groep richt zich ondermeer op overheidsorganisaties, academische instellingen, defensiebedrijven, lokale overheden, onderaannemers van het ministerie van Defensie en grote IT-bedrijven.

Ook online nieuwswebsites en andere populaire websites worden aangevallen door de groep. Deze sites worden vaak ingezet om cyberaanvallen op te zetten tegen doelen van de groep via ondermeer watering hole aanvallen. Hierbij wordt een website die populair is onder een bepaalde doelgroep geprepareerd door cybercriminelen en ingezet om bezoekers aan te vallen.

Malware en hacktools

De groep gebruikt verschillende zelfontwikkelde malware varianten en hacktools die niet openbaar beschikbaar zijn. Het gaat hierbij om de TDTESS backdoor; de lateral movement tool Vminst; de Cobalt Strike loader NetSrv en het filecompressieprogramma ZPP. Daarnaast heeft de groep de Remote Access Tool Matryoshka v1 en diens opvolger Matryoshka v2 ontwikkeld. Veel zelfontwikkelde tools zijn echter wat betreft kwaliteit inferieur aan tools die andere cybercrimegroeperingen gebruiken, meldt Eyal Sela, hoofd threat intelligence bij ClearSky tegenover DarkReading. Ook zou de groep geen 0-day kwetsbaarheden inzetten.

Daarnaast worden publiek beschikbare tools ingezet, waaronder Cobalt Strike. Die is commerciële software voor ‘Adversary Simulations and Red Team Operations’. Daarnaast gebruikt de tool ook Metasploit, een bekend en gratis open source raamwerk voor het uitvoeren van penetratietesten. Andere tools zijn:

  • Mimikats - een tool voor het kopiëren van inloggegevens
  • Empire - een PowerShell en Python post-exploitation agent
  • Havij, Acunetix en sqlmap - tools voor het detecteren en uitbuiten van met internet verbonden webservers.

C&C-verkeer

Kenmerkend voor de groep is volgens ClearSky en Trend Micro het gebruik van DNS voor command and control (C&C)-verkeer. Daarnaast wordt DNS ook gebruikt om data van slachtoffers te versturen naar externe servers. Deze feature is beschikbaar in zowel Cobalt Strike als Matryoshka.

Meer informatie over CopyKittens is te vinden in het rapport van Trend Micro en ClearSky (pdf).

Lees ook
Pulse Secure versterkt veilige toegang via McAfee’s Security Innovation Alliance

Pulse Secure versterkt veilige toegang via McAfee’s Security Innovation Alliance

Pulse Secure, gespecialiseerd in software-gebaseerde beveiligingsoplossingen, heeft een integratie gerealiseerd met McAfee’s ePolicy Orchestrator (ePO). Daarmee kunnen gebruikers van Pulse Policy Secure (PPS) Network Access Control oplossingen garanderen dat alleen compatibel endpoints toegang krijgen tot de bedrijfssystemen en -software. Beide bedrijven...

Onderzoek Bitdefender: (neuro)diversiteit essentieel voor succesvolle cybersecurity

Onderzoek Bitdefender: (neuro)diversiteit essentieel voor succesvolle cybersecurity

(Neuro)diversiteit binnen cybersecurityteams is noodzakelijk om optimaal te kunnen anticiperen op het veranderende dreigingslandschap. Dat blijkt uit onderzoek van Bitdefender. De cybersecurityspecialist onderzocht de belangrijkste factoren en ontwikkelingen die het komende decennium doorslaggevend zullen zijn voor de effectiviteit van cybersecurity.

Acronis onderzoek: complexiteit cyberbeveiliging vanwege coronapandemie sterk toegenomen; Acronis lanceert Acronis Cyber Protect 15

Acronis onderzoek: complexiteit cyberbeveiliging vanwege coronapandemie sterk toegenomen; Acronis lanceert Acronis Cyber Protect 15

Acronis lanceert vandaag Acronis Cyber Protect 15, een geïntegreerde zakelijke oplossing die back-up, noodherstel, anti-malware, cyberbescherming en tools voor endpoint-beheer combineert. De bevindingen van het Cyber Readiness Report 2020 laten zien waarom organisaties een cyberbeschermingsoplossing nodig hebben die de complexiteit verkleint, de...