Juni 2016 werd het Incident Response Team van het beveiligingsbedrijf Crowdstrike gebeld. De vraag was of ze een datalek wilden dichten en the Democratic National Committee (DNC), het bestuur van de Amerikaanse Democratische Partij, grondig te onderzoeken.
Niets bijzonders: dagelijks trekt het team van Crowdstrike eropuit. Dit keer was alles alleen nét een beetje anders. Niet alleen was de hack wereldnieuws, Crowdstrike mocht het rapport van de hack openbaar maken. Opmerkelijk, aangezien deze rapporten gewoonlijk achter gesloten deuren blijven. Grote bedrijven, ziekenhuizen en banken worden dagelijks gehackt, maar houden dat vanzelfsprekend liever geheim.
Zo gaat dat:
Dmitri Alperovitch, de CTO van Crowdstrike, schreef in het rapport dat zijn werknemers de malware die gebruikt werd door de hackers snel herkenden: deze ‘digitale vingerafdrukken’ zijn bekend bij ieder zichzelf respecterend computerbeveiligingsbedrijf. Cozy Bear en Fancy Bear, noemden ze deze hackersgroepen bij Crowdstrike.
Het beveiligingsbedrijf FireEye doopte ze eerder al APT 28 en APT 29. APT is een afkorting van Advanced Persistent Threat: een hack–methode die maanden en soms jaren in beslag neemt. Het begint met onderzoek op Google of Yandex (de ‘Russische Google’). Als de ING doelwit is van een APT, dan zullen de hackers eerst informatie verzamelen over ING-medewerkers: welke computers gebruiken ze? Wat voor trainingen volgen ze? Vervolgens zullen de hackers mails sturen met een link die veel ING-ers zal interesseren – ‘Idioot goedkope vliegtickets!’ – of een mail naar medewerkers die oude (gemakkelijk te hacken) besturingssystemen gebruiken.
Een bekende tactiek is het sturen van een mailtje met daarin de boodschap dat een hacker heeft ingelogd op je account, en dat je via een link snel je wachtwoord moet veranderen. Dat nieuwe wachtwoord is dan meteen in handen van de hackers. Vanuit de eerste gehackte computer, kunnen de hackers mails versturen naar anderen – systeembeheerders, bijvoorbeeld – om nog een stapje verder te komen binnen de organisatie. Zo banen ze zich langzaam een weg, dieper in het systeem in, tot ze uiteindelijk overal bij kunnen. Met APT-aanvallen zijn al veel banken beroofd en zelfs wisselkoersen gemanipuleerd. Ook bedrijfsspionage gaat meestal via een APT-aanval.
Nul dagen
Een paar jaar geleden waarschuwden beveiligingsbedrijven voor een nieuw soort APT-teams. Zij waren niet uit op geld of bedrijfsdata, maar op gevoelige politieke informatie. De doelwitten van deze groepen waren politieke partijen, journalisten, overheidsinstanties en activisten. Microsoft en FireEye stelden vanaf 2014 dikke rapporten samen over APT 28. Rapporten die door Microsoft liefkozend ‘Strontium’ werden genoemd.
APT 28 lanceerde aanvallen op het Duitse parlement, het Franse TV5 en de Onderzoeksraad voor Veiligheid, die de crash van MH17 onderzocht. De hackersgroep wordt in verband gebracht met Rusland, omdat de programmaatjes worden aangeroepen op tijden waarop het dag is in Moskou en in St. Petersburg. Ook zijn er Russische woorden in de malware gevonden.
Een van de redenen om aan te nemen dat er banden zijn met de Russische veiligheidsdiensten is dat APT 28 alleen doelen aanvalt die de belangen van Rusland kunnen schaden. Daarnaast maakt APT28 gebruik van 0days (‘zero days’). Dat zijn hacks die nog niet – nul dagen – bij anderen bekend zijn. 0days kun je kopen op de zwarte markt, maar een goede 0day kost al snel 100.000 dollar.
De hackers hebben dus tijd en geld, schaarse goederen die suggereren dat de hackers wel steun móéten krijgen van een overheid. Dit is ongeveer de gedachte achter het uitspreken van flink gefundeerd vermoeden, of een ‘medium level of confidence‘: APT 28 zou best wel eens gekoppeld kunnen zijn aan de Russische militaire geheime dienst GRU. APT 29 wordt op dezelfde manier gekoppeld aan de FSB, de opvolger van de KGB.
Het rapport bevat opnieuw geen nieuwe informatie over de hacks. APT 28 en APT 29 worden nu wel voor het gemak ‘Russische inlichtingendiensten’ genoemd.
False Flag
Vorige week verscheen een rapport van de FBI en de DHS (The US Department of Homeland Security). Maar daar staat beduidend minder in dan in de oude rapporten van Crowdstrike, Microsoft, FireEye of anti-virus-software-bedrijf ESET. Zij wisten de malware van APT 28 bijvoorbeeld via reverse engineering na te maken. Zo konden ze de ‘digitale vingerafdruk’ van de hackersgroep vervalsen. En als ESET dát kan, kan iemand anders dat ook. Een false flag operatie kan dus niet uitgesloten worden: een Chinese of een Noord-Koreaanse geheime dienst kan zich hebben voorgedaan als APT 28.
In een interview met het Engelstalige Russische televisiekanaal Russian Times (RT) wijst computerveiligheidsgoeroe John McAfee erop dat de Russische geheime dienst amateuristisch te werk is gegaan als ze achter de hack zat. De gebruikte malware was volgens McAfee op dat moment al anderhalf jaar oud – niks 0days – ze gebruikten Cyrillische tekens in de code, en opereerden inderdaad op tijden waarop het dag was in Moskou en Sint-Petersburg. Een fatsoenlijke geheime dienst had een Chinees toetsenbord gebruikt, de time stamps verwijderd of op zijn minst veranderd, en zeker geen oude versie van het programma gebruikt.
Gisteren verscheen het niet-geheime deel van een rapport van de CIA, FBI en NSA. Background to Assessing Russian Activities and Intentions in Recent US Elections. Het bevat een opsomming van de manieren waarop de Russen de verkiezingen gemanipuleerd hebben met fake nieuws en het lekken van e-mails. Het doel was om het vertrouwen in de democratie te ondermijnen. Het rapport bevat opnieuw geen nieuwe informatie over de hacks. APT 28 en APT 29 worden nu wel voor het gemak ‘Russische inlichtingendiensten’ genoemd.
Opmerkelijk is dat in een bijlage bij het Amerikaanse overheidsrapport Russian Times nadrukkelijk wordt aangewezen als kwade spin in het web. Datzelfde kanaal waarop John McAfee een paar dagen geleden nog het eerdere rapport fileerde. In Engeland is RT op het moment het best bekeken buitenlandse nieuwskanaal. En in Amerika wordt het almaar populairder met een programma als ‘Truthseeker’, dat zijn pijlen richt op Wall Street en de Amerikaanse ‘surveillance state’. Bottom line: RT krijgt geld van de Russische overheid en ondermijnt volgens de Amerikaanse geheime diensten het vertrouwen in de Amerikaanse overheid.
Het kan natuurlijk zo zijn dat in het geheime rapport van de CIA, FBI en de NSA wél overtuigend bewijs staat dat de Russen achter de DNC-hack zitten: bewijs dat ze niet kunnen tonen, om bronnen rond Poetin te beschermen (maar daar moet iedereen dan maar op vertrouwen). Dit kan verklaren waarom Donald Trump inmiddels, na influisteren door zijn topadviseur Reince Priebus, naar buiten toe concludeert dat ‘de Russen’ achter de DNC-hack zitten.