Cyberspionagegroep CopyKittens boekt ondanks beperkte kennis succes

De Iraanse cyberspionagegroep CopyKittens heeft sinds 2013 een grote hoeveelheid data weten buit te maken bij buitenlandse partijen. Dit terwijl de kennis en vaardigheden van de cybercrimegroepering beperkt is.

Dit melden Trend Micro en ClearSky in een nieuw rapport. CopyKittens is een cyberspionagegroep die sinds 2013 actief is. In november 2015 publiceerde ClearSky al in samenwerking met Minerva Labs een rapport waarin de activiteiten van de groep worden beschreven. In maart 2017 publiceerde het bedrijf opnieuw een rapport waarin meerdere incidenten worden toegeschreven aan de groepering. Het gaat hierbij onder andere om een cyberaanval op de Duitse Bundestag. Trend Micro en ClearSky stellen dat CopyKittens relatief weinig resources tot zijn beschikking heeft. De cyberaanvallen die de groep opzet zouden daarnaast een stuk minder geavanceerd zijn dan aanvallen van veel andere 'staatshackers'.

Overheden, defensiesector en academische instellingen

Het bedrijf meldt dat CopyKittens zich voornamelijk richt op doelen in landen als Israël, Saudi-Arabië, Turkije, Jordanië, de Verenigde Staten en Duitsland. Daarnaast zijn ook andere landen af en toe doelwit van de groep, evenals medewerkers van de Verenigde Naties. De groep richt zich ondermeer op overheidsorganisaties, academische instellingen, defensiebedrijven, lokale overheden, onderaannemers van het ministerie van Defensie en grote IT-bedrijven.

Ook online nieuwswebsites en andere populaire websites worden aangevallen door de groep. Deze sites worden vaak ingezet om cyberaanvallen op te zetten tegen doelen van de groep via ondermeer watering hole aanvallen. Hierbij wordt een website die populair is onder een bepaalde doelgroep geprepareerd door cybercriminelen en ingezet om bezoekers aan te vallen.

Malware en hacktools

De groep gebruikt verschillende zelfontwikkelde malware varianten en hacktools die niet openbaar beschikbaar zijn. Het gaat hierbij om de TDTESS backdoor; de lateral movement tool Vminst; de Cobalt Strike loader NetSrv en het filecompressieprogramma ZPP. Daarnaast heeft de groep de Remote Access Tool Matryoshka v1 en diens opvolger Matryoshka v2 ontwikkeld. Veel zelfontwikkelde tools zijn echter wat betreft kwaliteit inferieur aan tools die andere cybercrimegroeperingen gebruiken, meldt Eyal Sela, hoofd threat intelligence bij ClearSky tegenover DarkReading. Ook zou de groep geen 0-day kwetsbaarheden inzetten.

Daarnaast worden publiek beschikbare tools ingezet, waaronder Cobalt Strike. Die is commerciële software voor ‘Adversary Simulations and Red Team Operations’. Daarnaast gebruikt de tool ook Metasploit, een bekend en gratis open source raamwerk voor het uitvoeren van penetratietesten. Andere tools zijn:

• Mimikats - een tool voor het kopiëren van inloggegevens
• Empire - een PowerShell en Python post-exploitation agent
• Havij, Acunetix en sqlmap - tools voor het detecteren en uitbuiten van met internet verbonden webservers.

C&C-verkeer

Kenmerkend voor de groep is volgens ClearSky en Trend Micro het gebruik van DNS voor command and control (C&C)-verkeer. Daarnaast wordt DNS ook gebruikt om data van slachtoffers te versturen naar externe servers. Deze feature is beschikbaar in zowel Cobalt Strike als Matryoshka.

Meer informatie over CopyKittens is te vinden in het rapport van Trend Micro en ClearSky (pdf).