Microsoft: 58 procent van alle wereldwijde staatshacks afkomstig van Rusland

Tussen juni 2020 en juli 2021 kwam 58 procent van alle cyberaanvallen die aan aan overheden gelinkt kunnen worden, van Russische bodem. Dat stelt Microsoft. Noord-Korea, Iran, China en Zuid-Korea vervolledigen de top vijf van landen die de meeste cyberaanvallen lieten uitvoeren.

De aanvallen van de Russische staatsactoren worden volgens Microsoft ook steeds succesvoller. In 2020 bedroeg het slagingspercentage 21 procent, in 2021 zou dat 32 procent zijn. De Russische aanvallers richtten hun pijlen voornamelijk op inlichtingendiensten, ministeries van binnen- en buitenlandse zaken en de defensies van de Verenigde Staten, Oekraïne en het Verenigd Koninkrijk.

Spionage zou het grootste motief zijn voor de cyberaanvallen, al stelt Microsoft dat Iran zijn cyberaanvallen tegenover Israël het afgelopen jaar verviervoudigd heeft omdat de twee landen op gespannen voet leven. Noord-Korea richtte zijn pijlen volgens Microsoft dan weer op cryptobedrijven om zijn economie te ondersteunen.

Ongeveer 21 procent van de aanvallen was volgens Microsoft gericht naar consumenten en 79 procent van de aanvallen ging richting bedrijven, ongeveer 48 procent waren overheidsorganisaties en ngo's en denktanken kregen 31 procent van de aanvallen te verwerken. De bedrijventakken die het vaakst werden geviseerd door de 'private' cybercriminelen waren retail (13 procent), de financiële sector (12 procent), de industriële sector (12 procent), de publieke sector (11 procent) en de medische sector (9 procent). Zij zijn volgens Microsoft uit op geld en minder op informatie.

Microsoft vermeldt in zijn rapport ook China. Vanuit dat land viel het hackerscollectief Chromium Indische, Maleisische, Mongoolse, Pakistaanse en Thaise entiteiten aan om op die manier sociaal, politieke en economische inlichtingen te bekomen. Een ander Chinees hackerscollectief, Nickel, zou ministeries van Buitenlandse zaken in Europa, Centraal- en Zuid-Amerika hebben geviseerd. In de Verenigde Staten zou het Chinese collectief Zirconium zijn pijlen gericht hebben op hooggeplaatste individuen die nauw betrokken waren bij de afgelopen Amerikaanse presidentsverkiezingen.

Door Jay Stout

Redacteur

07-10-2021 • 20:49

96

Reacties (96)

Sorteer op:

Weergave:

"58 procent van alle wereldwijde staatshacks afkomstig van Rusland" alleen als je niet ALLE staatshacks meetelt.

Open het rapport (gelinkt in het artikel), gebruik Ctrl-F om alle vermeldingen van "United States" te vinden en je vindt de VS alleen als slachtoffer genoemd. Alle staatshacks vanuit de United States zelf worden verzwegen.

Als je niet weet wat het totaal is, kun je ook niet stellen dat 58% van het totaal uit Rusland komt, als dat 58% van (totaal min X) is, waarbij X het aantal staatshacks door of vanuit de VS is.
Daarom neem ik zulke berichtgeving uit de Verenigde Staten altijd met een korreltje zout, de hoeveelheid berichten waarin het neerkomt op het volgende is bizar hoog:
- Noord Korea is slecht want....
- China is slecht want...
- Rusland is slecht want....
- Iran is slecht want...
- Irak is slecht want...
- Afghanistan is slecht want...


Uiteindelijk zal hetgeen wat ze claimen genuanceerder liggen dan ze brengen, maar de tendens is om men weer bewust te maken dat je moet oppassen voor die landen en diens bevolking.

Je ziet het terug op Twitter, Reddit en zelfs op Tweakers dat men zich al snel negatief uitlaat als het om deze landen betreft, de digitale oorlogsvoering is wat dat betreft geslaagd voor de US.

Verander voor de grap je naam naar iets met Chinese/Russische tekens en je wordt al gauw voor cheater/hacker aangezien in video games, zonder enige aanleiding omdat men er al direct vanuit gaat dat jij 'slecht' bent.
Jij hebt nog nooit een internet-connected server beheerd zeker? Letter jouw hele rijtje aan landen zie je daar voorbij komen als agressor op je poorten.
Alleen nu de catch: Zitten de aanvallers echt in die landen, of zijn er in die landen gewoon veel pc's met slechte beveiliging?
Aka botnets.
Of zijn het vpn's die via die landen lopen?
Dat is m.i. een punt van besef wat veel mensen lijken te missen.

Zou mensen van-harte durven aanraden de eeuwenoude game Uplink eens te starten en je zodoende in te leven in "hoe verstop ik waar de actie vandaan komt" en bij sommige missies zelfs "hoe maak ik bewust red-flags voor een bepáálde partij?"

Sure, op veel punten geheel onvergelijkbaar met de werkelijkheid als het gaat om hoe beveiliging en routing daadwerkelijk werkt, maar geeft wel mensen een wat beter inlevingsvermogen in de beweegredenen om niet (al te traceerbaar) vanuit het eigen netwerk dat soort acties te ondernemen.
Dat maakt mij echt geen zier uit, de verantwoordelijkheid komt dan neer op de isp's en hosters in die landen die geen knappe abuse afdeling hebben, geen actie ondernemen of geen blokkades opwerpen voor klanten die onhandige dingen doen.
Neemt niet weg dat genoeg aanvallen toch echt te linken zijn aan belangen in die landen, en niet gewoon alleen rerouted packets van de Amerikanen zijn.
Ik beheer firewall/routers waar ik dat op bijhoud.
De landen met hack pogingen zijn zeer divers, natuurlijk vanwege VPN ook uit EU etc.
Maar ik zie toch echt heel veel connecties uit de genoemde landen komen.
Zoals ook spam mail (pogingen).
Bij sommige firewall/routers ben ik zelf overgegaan op blokkade van alle verkeer uit bepaalde landen.
Voor zover je op IP basis van landen kunt spreken.
Die IP landen tabellen ververs ik op wekelijkse basis.
In de blog staat het er: “During the past year, 58% of all cyberattacks observed by Microsoft from nation-states have come from Russia.”

“The top three countries targeted by Russian nation-state actors were the United States, Ukraine and the UK.”

Het kan wss niet anders dat de VS ook aan spionage/hacking doet op MS systemen in andere landen. Mogelijk gebruiken die landen waar ze interesse in hebben geen Microsoft omgevingen. En valt dat percentage van VS attacks laag uit. Het is idd wel duidelijk dat ze wat verbergen een eenzijdig beeld geven.

[Reactie gewijzigd door Coolstart op 23 juli 2024 05:41]

De vraag is: Kan je als land jezelf bespioneren? Aangezien Microsoft gewoon Amerikaans is :+ :Y)
Ja, dat kan zeker. Van Dale omschrijft ‘spionage’ als het stiekem onderzoeken en achterhalen van (staats)geheimen. Er staat niet bij dat dat in een ander land hoeft te zijn.
Het lijkt mij ook aannemelijk wanneer de VS (we kunnen vrij veilig aannemen dát ze het doen) cyber-aanvallen naar rusland/china/korea/etc. maken dat ze dat niet ál te traceerbaar vanaf eigen bodem zouden (noch zouden moeten willen) doen.
Je kunt allerlei valide redenen verzinnen waarom Rusland als slachtoffer of de Verenigde Staten als "actor" ontbreken in het rapport. Maar ik heb, naar aanleiding van jouw post, ook gekeken naar het rapport en wat duidelijk ontbreekt is een omschrijving van de beperkingen van de dataset. Je had op z'n minst een stuk verwacht met opmerkingen als: "data uit Rusland en China is niet te verkrijgen", of: "Rusland en China maken vrijwel geen gebruik van Microsoft en dus hebben we daar niet veel gegevens van". Zoiets.
Ik vraag mij wel is af hoe hard ze kunnen maken of dit echt vanuit Rusland komt.
Ik denk maar even heel simpel. Als ik vanaf mijn PC een hack zou uit willen voeren, dan doe ik dat uiteraard niet rechtstreeks vanaf mijn PC. Je gaat bij wijze van een VPN opzetten naar land A, vervolgens naar een systeem in land B, dan naar X, Y, Z etc. en vervolgens op een locatie in Rusland. Op die manier lijkt het alsof de hack inderdaad vanuit Rusland word uitgevoerd, maar in de praktijk word het totaal ergens anders gedaan. Als men er zo zeker van is dat 58% vanuit Rusland word gedaan, hebben ze alle hack's vanuit Rusland dan ook helemaal tot de hacker terug getraceerd?

Iemand daar wat interessant leesvoer over?
Leestip: het is oorlog, maar niemand die het ziet van Huib Modderkolk. Er zit meer onderzoek achter dan alleen de digitale sporen.
https://www.bol.com/nl/nl...5WZwGjJLKaXxoCd9kQAvD_BwE
Het zal niet de eerste keer zijn dat er bepaalde landen "excluded" zijn in malware etc. ;) Denk bijvoorbeeld aan het idee van het virus x of y niets laten doen als de taal van het apparaat op Russisch, Oekraiens en dergelijke is ingesteld. I shit you not.

Uiteraard is het dan nog steeds geen garantie, maar het is geen nieuws dat de Russische regering vaak een oogje dichtknijpt. Het lastige is vaak dat bijvoorbeeld APT's hun aanval vermomen. Bijvoorbeeld Koreanen die Russisch en Chinees gebruiken in hun code of build tools. Dan mag je als malware researcher op zoek gaan naar allerlei verbanden en hints om de daadwerkelijke dader(s) op te sporen :+

EDIT: Leesvoer hieronder

https://nakedsecurity.sophos.com/
https://blog.openthreatresearch.com/
https://blog.fox-it.com/

Praktisch iedere security vendor heeft wel een blog en/of podcast.

[Reactie gewijzigd door NotLikeTheOther op 23 juli 2024 05:41]

Die artikelen bewijzen helemaal niets als het om staatsgerelateerde hacks gaat.
In Rusland wordt en niet opgetreden tegen hackers die het op buitenlandse bedrijven of instellingen hebben gemunt. Er staan ook geen hackers op de loonlijst van overheden.
Via rare omwegen worden er echter wel een aantal hackerscollectieven door de overheid gefaciliteerd. Dat kan zijn door apparatuur, werkruimte, loon of justiciële bescherming. Vermoedelijk voorziet een deel van de hackers in hun eigen inkomsten door gijzel-software, maar zullen alle onderzoeken naar de herkomst van die aanvallen en het opsporen van de daders worden gefrustreerd.

Echt harde bewijzen zijn moeilijk te vinden. De verschillende hackers-collectieven zijn vaak wel te herkennen, maar het land van herkomst is een stuk lastiger. Een Russisch hackers-collectief kan best in werkelijkheid in Oekraine of Iran zitten. China en Noord-Korea worden vaak herkend aan het type instellingen dat aangevallen wordt, maar ook daar is de herkomst meestal een overwogen gok met ruwweg 70% kans.
In de hacktools van Vault7 worden diverse mogelijkheden gegeven om te laten lijken dat de hack uit een ander land komt (zelfs met een aantal taaleigenschappen). "Rusland" zit al ingebouwd in de CIA hacktools, waardoor het vingerwijzen al een stuk makkelijker is.

Wat mij altijd verbaast is dat de in de pers (nieuws, opinies, enz.) de als domste landen met nul creativiteit worden voorgeschoteld ook de landen met de beste hackers zijn. Ergens heb ik het gevoel dat de logica ontbreekt...
Puntje 8 uit de lijst van 14 kenmerken van fascisme van Eco: the enemy is both weak and strong.
https://www.openculture.c...-features-of-fascism.html

Niet dat ik zeg dat wij in fascistische landen leven, maar wijst er misschien wel op dat het een hellend vlak is waarbij we continu waakzaam moeten zijn om niet af te glijden naar fascisme.
Ja, zeker in de vs waar fascisme echt sterk toeneemt.

Maar meer on-topic: de statistieken zullen zeker niet objectief zijn, maar dat komt ook zeker omdat de CIA haar hackpogingen probeert te verbergen (en daar vast goed in is) terwijl Rusland daar geen fluit om geeft. Rusland wil juist graag dat iedereen weet van en bang is van hun macht, terwijl de eigen burgers trots zijn. De VS en veel andere westerse landen weten dat ze veel gezeik krijgen als hun burgers wisten van hun illegale (!) Praktijken... dus doen ze moeite ze te verbergen. Natuurlijk valt Israël Iran aan, meer dan andersom durf ik te wedden, maar kijk hoeveel commentaar ze krijgen als ze de palestijnen bombarderen... dat willen ze niet he. Dus zijn ze voorzichtig.
Je hebt maar een paar slimme mensen nodig om te hacken. Ook in "domme" landen lopen altijd wel een paar van die handige Harry's rond. Anders kan je mensen nog in het buitenland laten opleiden (zoals Noord-Korea lijkt te doen) of gewoon buitenlanders inhuren.
Hoeveel denk je dat er rondlopen bij de NSA en CIA? Dat gaat niet meer over een "paar slimme mensen". Ze huren zelfs hele bedrijven in om hackingstools te ontwikkelen. Denk je echt dat dat in een land als Noord-Korea ook mogelijk is?

Ze kunnen natuurlijk altijd nog van NSO het hackingstool Pegasus kopen ...
Onder het mom van wetenschap zijn er in Noord-Korea een aantal mensen die gewoon met moderne computers kunnen werken en ook vrij toegang hebben tot het internet. Inkomsten (in de vorm van buitenlands geld of crypto's) zijn heel belangrijk, dus krijgen deze mensen (meest vrouwen!) alles wat ze nodig hebben. Naar verluid schijnt het om een groep van ca 20 mensen te gaan waarvan er minimaal 8 in het buitenland zijn opgeleid. Die 8 zijn buiten Noord-Korea ook bij naam bekend.

Er zijn dus ook in Noord-Korea een aantal mensen die zich met hacken bezig houden. Deels voor spionage, maar voor het grootste deel voor het geld. Voor het laatste wordt vooral gekeken naar Japanse en Koreaanse bedrijven. Spionage gaat vooral richting China en voor een klein deel naar Amerika.

Wetenschap in Noord-Korea heeft maar twee takken, Militair (raketten) en "civiele wetenschap".
Een Chinese "kennis" van mij heeft wel eens contact gehad met de "civiele wetenschap", maar dat kwam er uiteindelijk op neer dat men zocht naar mogelijkheden om toegang te krijgen tot de netwerken bio-medische faculteiten en bedrijven. Dat was overigens nog ruim voor de Corona tijd, maar tijdens de Coronatijd kwam het contact wel weer ineens tot leven. Er zijn ook pogingen gedaan om in te breken in de computers van twee bedrijven die aan een Covid-vaccin werkten.
8000 keer per dag gemiddeld een poort scan op mijn glasvezel, driekwart daarvan uit Rusland.

Geen antwoord op je vraag, maar voor mij wel indicatie waar de grote boeven zitten.
Het ding is dat ik een een connectie kan opzetten naar Rusland, en vanaf daar ook port scans kan doen.
VPN naar rusland en "oh kijk ik ben ineens een russisch persoon!"
Maar als je nou ook eens "andersom" zou denken.

Zouden echte "Russische staatshackers" ook niet zo slim zijn om vanuit Rusland eerst VPN's op te zetten naar andere landen, dan vanaf daar de aanvallen te starten waardoor het niet meer te relateren is dat vanuit Rusland komt...

Oftewel al die IP adressen die vanuit Rusland lijken te komen, lijkt mij sterk dat dit werkelijk allemaal Russen zijn, maar geldt net zo of het werkelijk uit China/Noord-Korea etc vandaan komt.
Heel eerlijk, als je ziet hoe macho en "kijk mij eens" Rusland zich gedraagt dan zou het me niks verbazen als ze daar gewoon compleet schijt aan zouden hebben en zouden denken "ja we proberen je te hacken, wat ga doen?"

Nee, ik denk niet dat ALLES wat dat betreft van Rusland afkomt, maar wel veel. Maarja, de VS wordt schijnbaar volledig buiten het onderzoek beschouwd, zou mij ook niks verbazen als die op plek 1,2 of 3 staan.

[Reactie gewijzigd door glennoo op 23 juli 2024 05:41]

gewoon een paar extra Russische comments toevoegen in je code.
Misschien iets wat je eerder hebt gezien bij tools gemaakt door Russen. Door ze te imiteren lijkt het net alsof je zelf een Rus bent. Denkt de rest van de wereld veel sneller dat het de Russen zijn. Simpelweg omdat je hun eigen code hergebruikt.
Als er harde bewijzen zouden zijn dan zouden de overheden daadkrachtiger optreden aangezien men heeft geroepen dat een cyberaanval gelijk staat aan een oorlogsverklaring. Oh wacht, Rusland... laat ook maar. Daarnaast heeft elk land vuile handen, dus officieel kunnen ze weinig roepen. Je weet nooit welke data Rusland hierover heeft namelijk.
Waarom staat de vs niet in die top 5?
Die hoeven niet te hacken die vragen gewoon om data, en als je dat niet doet ben je een terrorist 😁
De statistieken komen van observaties van Microsoft.
Het is natuurlijk geen cyber attack als de achterdeuren (al dan niet onder druk) wijd open gezet worden. daarnaast zullen ze vast ook niet mogen vrijgeven hoeveel aanvallen er vanuit de VS overheid worden uitgevoerd mochten ze dat ook per ongeluk observeren.

Maar dat is mijn paranoia idee gebaseerd op onderandere de Snowden berichten, zoals dat er software is gebruikt dat 'kwaadaardige' software zo aanpast dat het lijkt alsof het door buitenlanders is geschreven, en absoluut niet door engelstaligen.
de VS heeft waarschijnlijk de top5 gemaakt. Tuurlijk staan ze niet zelf op #1.
Een top x gevaren gaat altijd over anderen. Ten opzichte van jezelf.
Of Israel. Reken maar dat die in ieder geval in Syrië en Iran ook los gaan.
Omdat Microsoft niet gehacked hoeft te worden door de VS.
Toch wel apart. Kennen we Snowden nog? Die alles openbaarde? En de US die alles en iedereen hackte alsof het een dood normale werkdag was? Je mag deze berichtgeving natuurlijk wel met een korrel zout nemen, want vadertje staat is natuurlijk ook niet heilig.
we weten al sinds minimaal midden jaren 90 dat de VS alles en iedereen afluistert. Dat heette toen ECHELON.
Wat mij betreft is PRISM slechts de zoekmachine voor ECHELON.
Snowden vertelde ons feitelijk weinig nieuws.
Ja of het zijn vooral Russen die "gesnapt" worden
Het lijkt wel oorlog.
Zuid Korea verbaast mij wel
Ik heb het rapport niet gelezen, maar een andere bron gaf aan dat Microsoft Amerika in het geheel niet noemt. Dat zou me ook niet verbazen gezien waar ze zetelen. Dus... de 100% uit het rapport kan best maar 50%van de totale aantallen hacks zijn.
Viseren? Zit ik per ongeluk op tweakers.be? ;)
Inderdaad, WTF is viseren ???
Of moet het visiteren zijn ??
Ben dan wel benieuwd op welke plek de Verenigde Staten staan qua staatshacks op landen zoals Rusland, Noord-Korea, Iran, China en Zuid-Korea.
Beperk je maar niet tot dat soort landen, wat dacht je van een lading bondgenoten die net zo makkelijk begluurd worden.
Merkel kan er over meepraten, toch een van de grotere bondgenoten van de VS.

Op dit item kan niet meer gereageerd worden.