Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft neemt zes domeinen over die het toeschrijft aan Fancy Bear-hackergroep

Microsoft heeft bekendgemaakt dat het vorige week zes domeinnamen heeft overgenomen die zouden toebehoren aan een groep staatshackers die bekendstaan als Fancy Bear, Strontium of APT28. Sommige domeinen hebben namen gerelateerd aan politieke doelwitten.

Overgenomen domeinen:
my-iri.org
hudsonorg-my-sharepoint.com
senate.group
adfs-senate.services
adfs-senate.email
office365-onedrive.com

Microsoft schrijft dat zijn Digital Crimes Unit de domeinnamen heeft overgenomen via een gerechtelijk bevel. Die aanpak is niet nieuw en is door Microsoft in de afgelopen twee jaar naar eigen zeggen twaalf keer met succes ingezet om in totaal 84 sites van de hackergroep offline te halen. In het huidige geval gaat het om domeinnamen die lijken op bepaalde namen, zoals het International Republican Institute, dat zich richt op de ontwikkeling van democratie, en het Hudson Institute, een denktank. Enkele andere domeinen verwijzen naar de Amerikaanse Senaat.

Microsoft zegt dat de domeinen indicatief zijn voor een verbrede doelgroep van Fancy Bear, maar dat het geen bewijs heeft dat ze daadwerkelijk gebruikt zijn voor een succesvolle aanval. Een aanval zou bijvoorbeeld kunnen bestaan uit doelwitten naar de domeinen doorsturen voor phishing, of het inzetten van de domeinen voor gerichte phishing-e-mails. Microsoft noemt deze mogelijkheden zelf niet expliciet. Het bedrijf is in contact geweest met het International Republican Institute en het Hudson Institute om vervolgstappen te nemen.

Microsoft schrijft: "Ondanks de stappen die we afgelopen week hebben ondernomen zijn we bezorgd over de aanhoudende activiteiten gericht op verkozen functionarissen, politici, politieke groepen en denktanks op het politieke spectrum in de VS. Samengenomen komt het huidige patroon overeen met hetgeen we zagen voor de Amerikaanse verkiezingen in 2016 en de Franse verkiezingen in 2017." De VS maakt zich momenteel op voor de zogenaamde Midterm Elections, die plaatsvinden in november. Daarbij gaat het onder meer om de plaatsen in het Huis van Afgevaardigden en een deel van de Senaat.

Met de verwijzing naar de Franse verkiezingen doelt Microsoft waarschijnlijk op de phishingaanvallen op de Macron-campagne, die eveneens werden toegeschreven aan Fancy Bear. Dat is dezelfde groep die ook verantwoordelijk werd gehouden voor de hack op de Democratische partij in 2016. Voor die hacks heeft de Amerikaanse speciaal aanklager Robert Mueller onlangs dertien Russen aangeklaagd, die in dienst zouden zijn van de Russische militaire inlichtingendienst GROe.

Samen met de huidige bekendmaking kondigt Microsoft de officiële start van het zogenaamde AccountGuard-initiatief aan. Dat is een uitbreiding van zijn eerder aangekondigde Defending Democracy-programma, waarmee het onder meer politieke partijen tegen internetaanvallen wil beschermen en desinformatiecampagnes wil tegengaan. AccountGuard is bedoeld voor alle verkiesbare personen in lokale, federale en statelijke verkiezingen, net als de campagnes van leden van het Congres en ondersteunende bedrijven en organisaties. Die moeten dan wel al over Office 365 beschikken.

AccountGuard biedt threat detection voor e-mailsystemen en accounts, waarmee aanvallen gedetecteerd moeten worden. Daarnaast krijgen deelnemende organisaties voorlichting over beveiliging en kunnen ze toegang krijgen tot previews van beveiligingsfuncties die volgens Microsoft normaal gesproken zijn weggelegd voor grote zakelijke klanten en overheden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Sander van Voorst

Nieuwsredacteur

21-08-2018 • 15:12

22 Linkedin

Submitter: TheekAzzaBreek

Lees meer

Reacties (22)

Wijzig sortering
Het verbaast me niets dat je met domeinen die lijken op bestaande domeinen nog best ver kunt komen met je phishingattack.

Helaas zijn er bedrijven die in plaats van subdomeinen echt aparte domeinen gebruiken voor bepaalde functies. Dus in plaats van registratie.bedrijf.com gebruiken ze registratie-bedrijf.com of iets dergelijks. Daarmee wennen mensen er dus aan dat een email of website best wel eens een licht afwijkend domein kan gebruiken.

Ik kreeg twee weken geleden een phishing email die zogenaamd van de belastingdienst was. Het was de inhoud waardoor ik twijfelde maar het heeft me toch wel een kwartiertje gekost voordat ik doorhad dat ze een nét iets ander domein gebruikten. Aanvankelijk vroeg ik me af hoe ze een officieel domein van de belastingdienst konden misbruiken.

Als je dan een Amerikaanse politicus bent die waarschijnlijk een paar honderd emails per dag krijgt en je bent het doelwit van een spearphishing attack (de aanvallers weten dus precies met wie je regelmatig mailt en misschien zelfs met wat voor toon) dan is het niet vreemd dat mensen ten prooi vallen.
Het was de inhoud waardoor ik twijfelde maar het heeft me toch wel een kwartiertje gekost voordat ik doorhad dat ze een nét iets ander domein gebruikten.
Kun je hier over uitwijden? Ben benieuwd wat de strekking van die mail was.
Als je dan een Amerikaanse politicus bent die waarschijnlijk een paar honderd emails per dag krijgt en je bent het doelwit van een spearphishing attack (de aanvallers weten dus precies met wie je regelmatig mailt en misschien zelfs met wat voor toon) dan is het niet vreemd dan mensen ten prooi vallen.
Ik vraag me dan ook af in hoeverre dat soort mensen door de veiligheidsdienst gecoached of beschermd worden, zeker als je ziet wat voor een effect het kan hebben.

[Reactie gewijzigd door Vexxon op 21 augustus 2018 15:47]

Ik moet ieder kwartaal BTW aangifte doen bij de Britse belastingdienst (HMRC). Afhankelijk van het kwartaal moet ik soms ook nog een EC Sales List opsturen als ik klanten heb gehad in andere EU landen.

Dit betekent dat ik zeer regelmatig emails krijg van de belastingdienst ("Let op, de BTW aangifte komt er weer aan", "De aangifte is nu open", "let op, de deadline is XXX", "Aangifte ontvangen", "EC Sales List moet opnieuw worden ingestuurd" etc. etc.). Ik ben dus erg gewend aan email van HMRC. In dit geval kreeg ik een email dat mijn aangifte niet goed was ontvangen terwijl ik twee dagen ervoor nog een emailje had gekregen dat hij wel goed was ontvangen. Bovendien zat er een Word attachment bij, en dat zou HMRC nooit doen. Verder zag hij er prima uit, correct Engels, perfecte opmaak met huisstijl, disclaimers etc. van HMRC.

Ik weet niet meer precies wat uiteindelijk het probleem was met de URL maar het zag er uit alsof het zo een domein had kunnen zijn dat HMRC zou kunnen gebruiken behalve dat er een klein streepje in plaats van een punt gebruikt werd.
En vooral dit is tricky inderdaad. test.maurits@payment.tweakers.net ok deze klopt, test.maurits@payment-tweakers.net is gevaarlijk..

Om deze reden vind ik ook dat grote (nja, alle...) bedrijven van die subdomein af moeten stappen in hun email.
Doe dan info@tweakers.net en klantenservice@tweakers.net maar niet aap@info.tweakers.net want hier kan je dus vervelende situaties mee krijgen (even een voorbeeld hoor, ik weet niet of tweakers.net het op deze manier doet).

Microsoft doet dit zelf ook op deze manier door verschillende email adressen op verschillende subdomeinen te zetten, zelfs de Nederlandse belastingdienst doet dit naar mijn weten.. Dit vraagt om fraude..
Phishing kan om diverse redenen succesvol zijn. Het begint er al mee dat gebruikers mailafzenders te makkelijk vertrouwen, de inhoud te makkelijk vertrouwen, de eventuele links te makkelijk vertrouwen, de domeinen waar ze uiteindelijk op uit komen te makkelijk vertrouwen, te makkelijk hun vertrouwelijke gegevens invullen. Er zijn tal van excuses te bedenken waarom en wiens schuld het is.
Een leuk voorbeeld van een bedrijf die mail verstuurd met niet-subdomein adressen die je vragen om in te loggen is Paypal. Als zelfs Paypal al niet aan zulke basis anti phishing maatregelen houdt, kan ik goed begrijpen dat het voor minder technisch aangelegde mensen moeilijk is. Recent voorbeeld: https://i.imgur.com/Btsmhm2.png
Wat ik mij afvraag is, wat is de Microsoft crime unit? Begrijp ik goed dat een multinational een handhavende eenheid heeft die bij justitie om een bevel kan vragen waarna ze gelegitimeerd zijn om over te gaan tot inbeslagname of beslaglegging?

Tenzij deze hackers zich bedienden van Microsoft hard- en software zie ik niet in waarom Microsoft hier het voortouw in neemt en niet een justitieel apparaat.
Dit zijn civiele procedures. Die kan iedereen starten.
Maar waarom mag Microsoft ze dan hebben?
Misschien begrijp ik het verkeerd maar het klinkt als; Als ik de procedure had gestart, waren de domeinnamen nu van mij?
Als jij kan bewijzen dat de domeinen voor malware gebruikt worden, dat jij ze gaat gebruiken om de slachtoffers te helpen zonder winstoogmerk en je aannemelijk kan maken dat jij dit deze domeinen doorvaar jarenlang in de lucht zal houden. Ja, dan kan jij die domeinen krijgen.

In de praktijk zal jij een rechter daar een stuk moeilijker van overtuigen dan een groot technologiebedrijf wat al vele decennia bestaat.
Dit is niet waar. Je moet wel een partij zijn met een redelijk belang. Daarmee bedoel ik: ja, ik kan een rechtzaak beginnen om microsoft.com in mijn bezig te krijgen. Maar in de praktijk is dat een volledig kansloze zaak, tenzij je 'Microsoft' heet of een bedrijf hebt met die naam en een eerdere claim op dat handelsmerk.

Dus nee, Chriistiix zal die domeinnamen nooit toegewezen kunnen krijgen.

Meer weten.
Je heeft een link naar een uitleg over het Nederlands recht. Maar dat is helemaal niet gebruikt.
In de Verenigde Staten mag Microsoft de domeinen waarvan ze kan aantonen dat ze voor fraude bedoeld zijn opeisen.
Dit hebben ze regelmatig succesvol en netjes gedaan. Dat maakt het dat ze ermee vertrouwt worden.
In Nederland denk ik dat de meeste domeinen niet zouden worden toegewezen aan Microsoft. (Wellicht day SIDN zelf het een en ander zal doen tegen phishing )

Veel logischer zou zijn als een overheidsinstantie dit zou oplossen. Maar of die dezelfde capaciteiten heeft als Microsoft is maar de vraag.
Het belang van MS is minder malware en een rustigere helpdesk, want je moest eens weten met welk niet-MS gezeik men op die klantenservice van hun terecht komen. Een groot deel van de Windows Sucks haat uit de jaren 90 is toe te schrijven aan derde partijen en malware.

MS doe dit al een aantal jaar, met veel success. MS heeft een aantal van de grootste botnets en spammers offline gehaald. En lang niet alleen maar troep die zich op MS gericht heeft.

En MS bereidt zijn verhaal goed voor.

Oh en SIDN gooit ook domeinen offline of geeft ze aan MS, mochten ze malware of troep verspreiden. MS had namelijk in het verleden een ook paar Nederlandse domeinen onderuitgehaald.
We hadden het ook helemaal niet over domein van Microsoft.com, we hadden het over de zes domeinnamen die met geen enkele verbinding staan tot Microsoft, maar toch deze nu in het bezit heeft.
Office 365, Sharepoint...
Bekijk eerst eens heel even de URL's helemaal bovenaan in het artikel :) Waarom jij er recht op zou hebben weet ik niet :P
Tenzij deze hackers zich bedienden van Microsoft hard- en software zie ik niet in waarom Microsoft hier het voortouw in neemt en niet een justitieel apparaat.
Nou kennelijk stonden de justitiële apparaten niet allemaal te dringen om hierin het voortouw te nemen
Het is een bedrijfsonderdeel van Microsoft. Net als de meeste personen kunnen die een procedure starten om met claims een rechter te proberen te overtuigen dat ze een belang hebben. Waarop beroep is gedaan om aanspraak op de domeinen te maken en waarom die zijn toegewezen is helaas niet duidelijk. Maar het doet wel vermoeden dat een bedrijf wel erg makkelijk ook het recht op een domein kan claimen, zelfs als de naam niets met de eigen belangen of doelstellingen te maken lijkt te hebben. Was er maar eens een journalist die dat uitzocht en niet alleen de makkelijke kant vermeld.
Ik lees twee domeinen waar Microsoft als bedrijf een recht op kan claimen waar ik de grond van kan vermoeden: misbruik van merknaam en onrechtmatig gebruik daarvan.
Van de andere domeinen is me onduidelijkheid met welk recht ze deze kunnen claimen en het is toegewezen. Een beroep doen op onrechtmatig gebruik en risico om het domein te cancelen zou ik nog kunnen zien. Maar op welke grond ze het eigendom meteen kunnen claimen? Waarom zou Microsoft recht hebben op die domeinen of zelfs meer dan een ander. Het antwoord kan niet zijn het voeren van een rechtzaak met een claim. Een claim moet een grond hebben.
Fancy Bear is echt zo'n briljante naam.
Het valt me op dat in mediaberichten steeds meer gestandaardiseerd lijkt te worden op de naamgeving van Crowdstrike (Bears = Rusland, Pandas =
China, Kittens = Iran, etc.), ook wel handiger naamgeving dan elke hackersgroep een willekeurige naam te geven of APT met een nummertje...
Praat en onthoud toch wat makkelijker zo, hebben de Intel jongebs en meisjes bij Crowdstrike goed over nagedacht, al was het maar media- en marketingtechnisch...

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True