NSA en NCSC: Russische staatshackers kaapten tools van Iraanse collega's

Een groepering van criminele hackers die banden zou hebben met de Russische overheid heeft infrastructuur gebruikt van een Iraanse groepering die hier geen weet van had, zo claimen de NSA en het Britse National Cyber Security Centre.

De Amerikaanse inlichtingendienst NSA heeft samen met de Britse evenknie NCSC een document gepubliceerd over de groepering met de naam Turla, ook bekend onder de namen Waterbug en Venomous Bear. Het gaat hierbij volgens de diensten om een advanced persistent threat, meestal een staatshackinggroep, uit Rusland. Turla zou gebruikmaken van de implants Neuron en Nautilus en de bijbehorende command & control-infrastructuur.

De Amerikaanse en Britse inlichtingendiensten publiceerden in 2017 en 2018 ook al over het gebruik van Neuron en Nautilus door de Turla-apt maar ze houden de groepering zelf al veel langer in de gaten. De NSA en NCSC melden nu dat deze malware waarschijnlijk Iraans van origine is. De Iraanse groepering die verantwoordelijk is voor de implants, was zich vrijwel zeker niet bewust van het gebruik door Turla, luidt de claim.

Turla zou scans uitgevoerd hebben om te achterhalen waar de Iraanse backdoors zich bevonden om zich vervolgens zelf op deze doelwitten te richten. De activiteit zou zich met name in het Midden-Oosten afgespeeld hebben en onder de doelwitten van Neuron en Nautilus zouden militaire faciliteiten, overheidsorganisaties, wetenschappelijke instituten en universiteiten zijn.

Om een beveiligde verbinding op te kunnen zetten met de implants, moet Turla toegang hebben gehad tot de cryptografische sleutels en controllersoftware, concluderen de NSA en NCSC. Daarnaast zou de groep doelwitten waar het al toegang toe had via zijn eigen Snake-toolkit voorzien hebben van de Neuron-malware.

Reacties (30)

woutervh 21 oktober 2019 23:41

Ben ik nu de enige die zich afvraagt hoe de Amerikaanse hackers weten dat de Russische hackers de Iraanse hackers hacken?

CivLord

Rusland

@woutervh • 22 oktober 2019 09:04

Zodra bekend is dat een bedrijf of instantie gehackt is, zullen de getroffen systemen onderzocht worden.
Wanneer ze dan resten van een trojan vinden die aan Iraanse hackers wordt toegeschreven, die spyware bevat die aan Russische hackers wordt toegeschreven, dan is er sprake van samenwerking of diefstal van hacktools.
Wanneer de trojan en de spyware zo geavanceerd zijn dat het onwaarschijnlijk is dat die met elkaar gedeeld worden, dan is het waarschijnlijk dat de ene hacker de andere hacker gehackt heeft en de tools gestolen heeft. Wie hacker en wie 'slachtoffer' is, kan opgemaakt worden uit het doelwit van de gecombineerde tools. Het ene bedrijf/ instantie is een waarschijnlijker doelwit voor Russische hackers dan voor Iraanse hackers en andersom. Samenwerking is ook onwaarschijnlijk, wanneer enkel bij doelwitten die voor Russen aantrekkelijk zijn beide tools gebruikt zijn en bij doelwitten die voor Iran aantrekkelijk zijn enkel de Iraanse tool gebruikt is.

Videopac

21 oktober 2019 16:28

Hmm: Iran en Rusland waren/zijn toch bondgenoten? De vraag is dus: wie heeft er belang bij dat dit nu naar buiten komt? Ik vermoed de V.S. zelf.

mszwolle @Videopac • 21 oktober 2019 16:34

Even hypothetisch gezien: Iedereen kan bondgenoten zijn van elkaar. Toch kun je dan nog stiekem over de schutting spieken hoe het gaat bij de buurtjes..

TheVivaldi @mszwolle • 21 oktober 2019 16:48

Inderdaad. De VS bijv. is een bondgenoot van Nederland en Duitsland, maar dat weerhield de NSA ook niet van afluisteren.

theduke1989 @mszwolle • 21 oktober 2019 16:52

Klopt, die vraag wordt altijd makkelijk beantwoord met Cisco en backdoors.

Vaak de antwoord:
"Je kan beter door een bondgenoot bespioneert worden, dan een vijand."

Dameuk @Videopac • 21 oktober 2019 16:36

Bondgenoten is in het hedendaagse, en waarschijnlijk altijd al, geopolitieke landschap een groot woord. Het betekent volgens mij niet meer dan dat bepaalde kernbelangen gedeeld worden tussen landen en/of dat er een gezamelijke 'vijand' is die andere partijen dichter naar elkaar laat toe gaan.

Sissors @Videopac • 21 oktober 2019 16:36

Ze hebben soms gemeenschappelijke doelen, zoals dat ze in Syrië allebei Assad steunde. Maar om ze nou bondgenoten te noemen. Daarnaast denk jij echt dat landen elkaars bondgenoten niet hacken? Hell als ze zulke goede vrienden waren was dat niet nodig, want dan had Rusland gewoon lief toegang tot die backdoors gevraagd.

Knijper1962 @Videopac • 21 oktober 2019 16:43

Van je gekende vijanden, weet je dat ze jouw belangen niet zullen steunen. Van je bondgenoten weet je niet zo zeker wat ze gaan doen. Dus is spionage op je bondgenoten belangrijker dan je op het eerste gezicht zou vermoeden.
Welkom in de wereld van politieke belangen.

bbob

Rusland

@Videopac • 21 oktober 2019 17:48

Nederland en USA zijn ook bondgenoten maar denk je dat dat voor de NSA nu iets uitmaakt ?

Bondgenoten kun je beter lezen, als het de ene partij uitkomt zijn ze bondgenoot van de ander. Door dik en dun moet je niet verwachten.

Cergorach

Beveiliging en antivirus

21 oktober 2019 16:59

Dit geeft een nieuwe betekenis aan: "Beter goed gejat dan slecht bedacht." ;-)

Fijinees 21 oktober 2019 19:54

Van oudsher (hmmm, klink zeer bejaard) zijn programmeurs in landen die niet de middelen hebben die we in het westen wel hebben zeer handig in programmeren, juist omdat ze de middelen niet hadden/hebben.

In het westen werd lui geprogrammeerd, en dat is eigenlijk nog steeds zo. En hacken is gewoon programmeren.

aileron 22 oktober 2019 00:51

Tja ik denk dat je nieuws van inlichtingen diensten een beetje met een andere bril moet zien. niemand publiceert iets zonder bedoelingen. achter alles zit een strategie. Denk je dat ze nu klaar zijn met hun werk en even een verslagje naar buiten brengen. nee, dat is een doorlopend proces en dit is iets waar ze blijkbaar punten mee denken te kunnen scoren.

Waarschijnlijk zal dat betekenen dat er op z'n minst een kern van waarheid in zit. Maar hoe het precies zit gaan wij iig nooit weten.

En de suggestie dat de Iraniërs al waren gehacked door de Amerikanen en dat dat de reden is hoe ze achter de identiteit van de Russen zijn gekomen. Lijkt mij een vrij plausibel scenario.

Blijft wel machtig interessant natuurlijk allemaal. Ik heb wel ontzettend het gevoel dat er heel veel aan het veranderen is. geopolitiek, economisch, de invloed van de tech industrie.
Geeeeeen idee hoe dit allemaal gaat uitpakken.

bluegoaindian 21 oktober 2019 16:37

Niet raar , maar ik denk dat de NSA , door de manier dat ze types als snowden hebben behandeld the cutting edge aan t verliezen zijn.
dat dat de echte reden van dit verhaal is...
en voor cyvber heb je creativiteit en brains nodig.
die mensen hebben geen enkele reden om bij een overheid te gaan werken na snowden.
je kan deze mensen zien als de nostradamus van nu , voor zij die weten wat ze kunnen is het beter autonoom te blijven.

The Realone @bluegoaindian • 21 oktober 2019 21:35

Ja? Jij denkt dat een Russische, Chinese of Noord-Koreaanse Snowden er beter vanaf komen als op die manier lekken? Dat weten de staatshackers uit die landen echt wel, maar het belet ze blijkbaar niet dat werk te doen.

CivLord

Rusland

@bluegoaindian • 22 oktober 2019 08:40

Ik denk dat veel van Snowdens collega's zijn behandeling juist nog te mild vinden. Hij heeft flink buiten de pot gepist en ik denk dat veel van zijn collega's een geënsceneerd 'ongeluk' op zijn plaats hadden gevonden.
De NSA is geen organisatie waar mensen tegen hun zin in met dreigementen gedwongen worden te werken. De meesten geloven in waar ze mee bezig zijn en zijn van mening dat het doel alle ingezette middelen heiligt. Degenen met een 'geweten' zijn ver in de minderheid. (Vaak zie je ook dat dat 'geweten' pas op begint te spelen na conflicten op het werk die niets met de gebruikte middelen te maken hebben.)

wiseger @CivLord • 22 oktober 2019 17:03

Ik denk dat je je erin vergist hoeveel externe krachten ingehuurd worden door partijen als de NSA. Die mensen hebben niets met de NSA, hun werkgever heeft ze er gewoon heengestuurd in het kader van hun nieuwe opdracht.

CivLord

Rusland

@wiseger • 23 oktober 2019 07:43

En denk je dat dat krachten zijn die vandaag bij de NSA worden ingezet en morgen bij willekeurig ander bedrijf? Ze worden speciaal aangetrokken en gescreend om bij de NSA te werken.

bluegoaindian @CivLord • 4 november 2019 00:35

nope die mensen zijn onafhankelijk , van de 10 zero days die ze vinden houden ze er 8 zelf en verkopen ze er 2
https://www.youtube.com/watch?v=JhkXSg9KQE8

Luno @smolders2007 • 21 oktober 2019 18:18

RIVM? leg eens uit.

JRvP @Luno • 21 oktober 2019 18:34

hij bedoeld vast de AIVD.. heheh

WillySis @smolders2007 • 21 oktober 2019 22:38

onze RIVM is geen haar beter

Je zal de AIVD bedoelen.

Jongens, het zijn geheime diensten, waarbij het spioneren gewoon een onderdeel van het werk is. Het oude voetwerk (wat spannende boeken opleverde) is grotendeels vervangen door hacken. Het hacken van hackers is natuurlijk het gemakkelijkst, dan kan je anderen jouw werk laten doen.

Hoe denk je dat de NSA tot deze conclusie komt? Grote kans dat ze de Russische hackers hebben gehackt. Het kan zelfs zo zijn dat ze dat aan de AIVD hebben overgelaten. De AIVD heeft al eerder bij de Russische hackers ingebroken.

CivLord

Rusland

@janbaarda • 22 oktober 2019 08:47

Hoe kom je op dat idee? Enkel door de berichtgeving.
Veel van dit soort informatie is afkomstig van veiligheidsorganisaties. Die zullen selectief hacks van 'tegenstanders' naar buiten brengen (vooral om aan te geven dat ze zelf meer budget moeten hebben om weerstand te kunnen bieden), maar hacks van 'medestanders' stil houden, omdat dat politiek ongewenst is. Een enkele keer zie je ze wel opscheppen over hun eigen daden, maar dat is alleen verstandig wanneer de gebruikte mogelijkheden niet meer ingezet kunnen worden.
Dit soort informatie is ook wel eens afkomstig van private beveiligingsbedrijven. Maar die hebben dan weer veel overheidsorganisaties als klant, waardoor ze ook moeten letten op wat ze zeggen.

janbaarda @CivLord • 22 oktober 2019 09:04

Bedankt voor het uitvoerig beantwoorden van mijn terechte vraag. Het hele bericht is een herhaling van halve waarheden en propaganda.

[Reactie gewijzigd door janbaarda op 23 juli 2024 14:35]

wiseger @janbaarda • 22 oktober 2019 17:12

Hoe kom je erbij? De enige reden dat je vaak over Russen, Iraniers en Noord-Koreanen hoort is dat ze ontmaskerd worden is dat de inlichtingendiensten dat graag naar buiten brengen. Meeste van de eigen successen blijven verborgen en vallen onder staatsgeheim.

De AIVD heeft een aantal jaren geleden nog infra gekraakt in het kantoor van Russiche staatshackers in Moskou. Konden ze gewoon bijhouden wie er werkte en dergelijke. In dat specifieke geval hebben ze het succes naar buiten gebracht, echter in de meeste gevallen is het staatsgeheim en zal je er nimmer iets over horen.

Overigens was destijds de stux aanval op Iran echt brilliant, een virus via USB stickjes, speciaal gericht op high spinning centrifuges in fabrieken. Niemand daar begreep wat er gebeurde toen in hun opwerkingsfabrieken de centrifuges ineens op hele andere toeren begonnen te draaien als ingesteld. Het kostte ze daar maanden werk om alles weer normaal te krijgen, was echt een sitback voor hun atoom programma. Het is dat Stux ontsnapte en ook elders in gewone fabrieken schade aan begon te richten, anders hadden we er nimmer iets over gehoord.

janbaarda @wiseger • 23 oktober 2019 03:23

Bedankt, een dergelijke bekentenis was ik naar opzoek. In de Russische pers was de kop waarschijnlijk "Vijandelijke NATO hackers hebben geprobeerd .... enz." Ook in de Iraanse pers: "Westerse saboteurs hebben vele levens in gevaar gebracht. Gelukkig kon onze inlichtingendienst op tijd ingrijpen om erger te voorkomen ..."

wiseger @janbaarda • 23 oktober 2019 11:23

Het is allemaal publieke informatie, uitgebreid in de pers geweest dus je had het eigenlijk wel moeten weten. En ja, in die landen zal men ongetwijfeld op dergelijke wijze communiceren tenzij men niet wil dat de bevolking erachter komt dat hun eigen diensten niet in staat waren de hack te voorkomen. Maar dat er al langer dan een decennia een wereldwijde cyber oorlog woedt, dat moge inmiddels wel duidelijk zijn.

De meeste spionage is zelfs tussen bevriende naties om zo een voorsprong in onderhandelingen of toegang tot technologie van andere bedrijven dan de eigen te verkrijgen. Zo zat de spyware van de Engelsen direct op de mailservers van de EU. Het Nederlandse bedrijf dat dat ontdekte is inmiddels opgekocht door de Engelsen. En wat denk je dat er gebeurt wanneer Boeing en Airbus strijden om orders in het midden Oosten of Azie? Dat die bedrijven via hun overheid geen toegang tot de aanbiedingen van hun concurrent hebben?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (30)

Sorteer op:

Weergave: