Google: 60 procent Russische phishingaanvallen gericht op Oekraïne

Zo'n 60 procent van alle 'door de Russische overheid gesponsorde phishingaanvallen' zouden in het eerste kwartaal van dit jaar gericht zijn op doelwitten in Oekraïne. Ook organisaties uit Wit-Rusland zouden op grote schaal doelwitten in Oekraïne aanvallen.

Dat schrijft Googles Threat Analysis Group op basis van eigen onderzoek. Het onderzoeksteam noemt enkele kwaadwillende hackersorganisaties die gelieerd zouden zijn aan de Russische overheid en vanuit die geopolitieke overwegingen aanvallen op doelwitten in Oekraïne zouden hebben uitgevoerd.

Zo had de organisatie Sandworm, ook wel bekend als Frozenbarents, het in het eerste kwartaal van 2023 gemunt op de energie-infrastructuur van Oekraïne. Met onder meer phishing-sms'jes en neppe Windows-updates zou de organisatie de Oost-Europese energiesector hebben willen binnendringen. Ook werden Oekraïense militaire doelwitten door de organisatie aangevallen. Sandworm valt volgens TAG onder Unit 74455 van de Russische militaire inlichtingendienst.

Een andere organisatie met de naam APT28, door Google als Frozenlake aangeduid, zou zich met phishingmails op Oekraïense individuen hebben gericht. Via malafide websites werd vervolgens geprobeerd om inloggegevens van slachtoffers te vergaren.

Hoewel de onderzoekers van Googles cyberbeveiligingsteam schrijven dat Oekraïne de hoofdfocus van Russische cyberaanvallen blijft, is het voor het eerst dat er concrete cijfers gedeeld worden. Eerder schreef TAG iets abstracter dat 'veel Russische door de staat gesponsorde cyberaanvallers hun pijlen blijven richten op Oekraïne'. Wel kwantificeert het team ieder kwartaal het aantal geblokkeerde YouTube-kanalen dat gelinkt werd aan 'gecoördineerde Russische beïnvloedingscampagnes'. Dat zijn er maandelijks gemiddeld enkele tientallen tot honderden.

Cyberarmy Google YouTube
Naast gerichte phishingaanvallen detecteert TAG ook uiteenlopende YouTube-kanelen met 'gecoördineerde Russische beïnvloedingscampagnes'.
Bron: Google / Threat Analysis Group

Door Yannick Spinner

Redacteur

21-04-2023 • 15:36

40

Submitter: TheVivaldi

Reacties (40)

Sorteer op:

Weergave:

Leuk natuurlijk YouTube, maar dit onderzoek is zegmaar een sigaar uit eigen doos. Wat willen ze uiteindelijk met dit onderzoek nu verder?
Wel kwantificeert het team ieder kwartaal het aantal geblokkeerde YouTube-kanalen dat gelinkt werd aan 'gecoördineerde Russische beïnvloedingscampagnes'. Dat zijn er maandelijks gemiddeld enkele tientallen tot honderden.
Tja dat is natuurijk gissen, want wie bepaalt dat nu of dat werkelijk wel of niet zo is. Zeker Google kennende.
Dat terzijde hebben ze in Rusland ook nog Rutube, dat heeft sinds begin vorig jaar een enorme vlucht gemaakt en is net zo populair als YouTube. Dus al verwijdert YouTube die kanalen, op andere platformen kunnen ze gewoon door blijven gaan.
Je hebt liever dat ze het niet melden? En een sigaar uit eigen doos zou ik het niet noemen. Je kan hooguit de navolgbaarheid ter discussie stellen.

Iedereen lijkt tegenwoordig aan beïnvloeding te doen. Of het nu vanwege commerciële, geopolitieke of gewoon wereldideeën is, je moet altijd zelf blijven nadenken. Ik denk wel dat het eerder meer dan minder zal zijn.

RuTube even populair als YouTube? Lijkt me sterk! Hooguit als er geen alternatief is dat het in Rusland veel gebruikt gaat worden.
Dat zeg ik niet, maar ik stel de discussie wat het nu brengt. Want zo erg sta ik er niet van te kijken dat dit gebeurt namelijk.
Het is hier wel vaker gezegd: niet verbaasd zijn dat iets gebeurd of dat je het wel verwachtte is iets anders dan het met feiten onderbouwen.
dat heeft sinds begin vorig jaar een enorme vlucht gemaakt en is net zo populair als YouTube
Wat een rare claim. Dit doet overkomen alsof 'Rutube' evenveel actieve gebruikers, kanalen, abonnees, views etc. heeft als YouTube en ik durf te stellen dat dat niet zo is. Daarnaast heeft het wel degelijk zin om te verwijderen, omdat propaganda verspreiden in het westen zorgt voor complottheorieën. Wat ze in Rusland aan hun burgers willen verspreid moeten ze zelf weten, maar niet hier.
Dat zeg ik niet, ik zeg dat het daar erg populair is en niet onderdoet nu qua YouTube in dat land.. Want als ze het wel via rutube kunnen doen, dan blijft het toch doorgaan? Rutube is hier trouwens gewoon te bekijken bekijken in Europa.
Ik denk dat Rutube vooral bestaat omdat Youtube in Rusland door de Russische overheid als een 'westers mediabedrijf' wordt gezien. Ook is bekend dat Rusland inderdaad actief het westen probeert te beïnvloeden in zijn denken. Ze hopen nog steeds dat wij de oorlog te duur gaan vinden en dus maar onze steun stop zetten.
Hoe kan een onderzoek wat je zelf doet, nou een sigaar uit eigen doos zijn? Een onderzoek is geen geschenk en wanneer je een onderzoek start, weet je vooraf al wie het gaat betalen. Of zoek ik nou klokken en klepels op laag water?

Dat Rusland zeer actief op het gebied van cybercrime, waar phishing onder valt, is geen verrassing.
Dus al verwijdert YouTube die kanalen, op andere platformen kunnen ze gewoon door blijven gaan.
In een dictatuur heeft de staat het monopolie over wat je burgers zien. De gemiddelde rus heeft een enorm vertrokken beeld van de westerse wereld omdat er gewoon geen vrije pers is die ze kan informeren. In Nederland maken we onze bejaarden dood en in Kiev zijn aanhangers van Hitler aan de macht.
Rutube even populair as YouTube? Jij bent zeker gesponsord door de Russische staat. 8)7

Rutube is een onpopulaire YouTube kloon die gebruikt word door de Russische staat om de bevolking te beinvloeden. :+ Deze dienst is niet vergelijkbaar met YouTube in mogelijkheden, vrijheden en gebruikers aantallen.

Over het melden van dit nieuws: Het melden van dit soort zaken kan wel zeker effectief zijn. Zowel in het waarschuwen van Oekraïense mensen daar alsmede Oekraïners hier in de rest van Europa, die ook doelwit zijn. Tevens is het verstandig polshoogte te houden op wat die Russen allemaal uitspoken.
Goh toevallig bestaat mijn account 10 jaar, jij hebt hem toevallig vandaag aangemaakt. Ik vind dit toch wel erge zware persoonlijke beschuldigingen richting mij als persoon..

[Reactie gewijzigd door dutchnltweaker op 22 juli 2024 23:52]

Is het niet handig om het verkeer uit Rusland compleet te blokkeren? Ze zullen daar nog wel oude telegrafen en radio’s hebben liggen. Lijkt mij de oplossing.
Dat lijkt me sowieso verstandig; als jij als bedrijf ziet dat je connecties maakt náár Rusland of Rusland met jou, dan zet je je firewall toch gewoon dicht voor die landen? Sowieso, waarom zou je verkeer vanuit buitenlanden moeten accepteren als je er tóch geen zaken mee doet.

Ik heb thuis een Mikrotik staan en zelfs dáár heb ik een bestand met 44.000 regels erin die IP-blokken uit allerlei vage landen standaard gewoon blokkeert. Hoezo loop je me te portscannen, wegwezen. Yeet!

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 23:52]

Ik denk dat je daarin naïef bent. Russen met kwaadaardige bedoelingen zullen vast wel een VPN gebruiken buiten Rusland, waarvan de IP-range niet geblokkeerd is.
Allicht zullen ze dat. Naïef? Nee niet bepaald. Ik run een SOC, ik wéét hoe dat spelletje werkt ;) het stomme is natuurlijk ook wel dat Microsoft zélf (bijv. in Office of Azure logging) kan stellen dat een IP-adres uit Duitsland kan komen(en dus standaard vertrouwd is als je Conditional Access configureert), maar als je andere IP-databases raadpleegt datzelfde IP-adres ineens uit Italië of Rusland zelf kan komen. Dus ja ook Microsoft heeft boter op z'n hoofd op dat gebied.

Maar dan nog, als je al verkeer vanuit die landen standaard blokkeert vang je al een boel ellende af. Natuurlijk is het niet je énige blokkade die je moet hebben; maar dat was ook niet de scope van de vraag of de opmerlomg waar ik op reageerde ;)

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 23:52]

Of, waar ik me recent in veriept heb na security logs vanuit mijn synology NAS, je kan ook een regel aanmaken dat alleen Nederland of zelfs alleen jou IP bij je netwerk kan komen.

Ik heb nu ingesteld dat alleen Nederlandse IP's naar mn nas kunnen, ipv de grote blokkeerlijst met bijna heel oosteuropa / azie
Het probleem is dat er nog veel NL providers / hostingpartijen zijn waar je gemakkelijk een IP-adresje kan registreren zelfs als je vanuit het buitenland komt. Ik heb Russen gezien die een IP-adres registreren in zowel Duitsland als Italië als Rusland zelf afhankelijk van welke database je raadpleegt. Dus met alleen NL-IP adressen blokkeer je véél, maar een garantie is het niet.

Je kunt beter whitelisten wie er wél toegang tot je NAS mag hebben. Pak een dyndns-provider voor het IP van je smartphone, whitelist kennissen of familie voor mijn part of gebruik een VPN naar je NAS toe als je écht alleen zelf toegang wil hebben en whitelist ook dáár weer op.

Mijn go-to manier om van buitenaf bij m'n infra thuis te komen is ZeroTier. Ideaal. Gewoon op m'n iPhone draaien en met 1 klik verbindt je met alles wat je wil. Scheelt wel dat m'n firewall daar ookintegratie voor heeft...
De meeste phishing sites die wij hier opmerken zijn gehost in NL...
En is de site daar niet gehost, dan komt de aanval direct erna wel van een server uit NL.
Ik heb het zo in gesteld dat mijn Synology altijd via vpn van router gaat.....

Echt niet een ip meer hoeven te blokkeren....

Werkt als een tierelier
Ik heb thuis een Mikrotik staan en zelfs dáár heb ik een bestand met 44.000 regels erin die IP-blokken uit allerlei vage landen standaard gewoon blokkeert. Hoezo loop je me te portscannen, wegwezen. Yeet!
Met vage landen bedoel je ook de VS? Want die staan nog altijd in de top 5 van landen waarvandaan aanvallen opgezet worden. Daarnaast, hoe dom denk je dat hackers zijn?

Nederland staat overigens ook hoog in je lijst met vage landen hoop ik want onze reputatie is niet al te best omdat de overheid niet erg actief is op dit terrein.

[Reactie gewijzigd door Mathijs Kok op 22 juli 2024 23:52]

Landen waar je onder normale omstandigheden geen verkeer van verwacht.

En let wel… ik heb praktisch geen poorten naar binnen open staan. Maar met actief blokkeren bedoel ik ook poortscans, pingetjes en zo. Dat laatste mag best vanuit de USA. Er staat immers niks open. Alleen m’n Google Home Mini is alleen toegankelijk voor Google IP’s maar niet voor anderen.

En nogmaals, ik ben een blueteamer, ik wéét hoe slim of dom hackers kunnen zijn. En ook welke groepen hackers je makkelijk, en minder makkelijk buitensluit.

Ik heb voor thuis bovengemiddeld veel dingetjes geregeld.. 7 VLANs, geen UPnP, 45k regels aan filtering en niks van buitenaf open - en dan nog kom je in een separaat VLAN terecht.

Ja als iemand écht wil komen ze vast binnen. Maar zelfs dán zijn er nog obstakels genoeg..

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 23:52]

Jouw maatregel is niet minimaal 100% dekkend, dus is het kut.
In dat geval kunnen we stoppen, toch?
Ik denk dat dat komt omdat daar een oorlog is waar Rusland bij betrokken schijnt te zijn.
Om het dan weer even in de juiste balans te zien zou het fijn zijn als Google ook onderzoekt hoeveel van die aanvallen gericht op Rusland uit de Oekraine cq het westen komen. Gewoon even om te vergelijken...
Niemand houd je tegen dat te onderzoeken, zou niet weten waarom Google daar moeite voor moet doen om jou tevreden te stellen.

Als verdedigende partij mag je wat mij betreft iig 10x ergere dingen doen dan de aanvaller. Dan moet je als aanvaller maar 2x nadenken.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 23:52]

Daarnaast. Ik herinner me nog dat een paar jaar terug de meeste DDOS aanvallen vanuit de Oekraine kwamen
Bron graag. Overigens, dat kan net zo goed komen doordat veel Oekraïense computers besmet zijn met malware waardoor ze onderdeel zijn van een botnet, of door het gebruik van een VPN van botnets naar Oekraïne toe, zodat het lijkt alsof het uit Oekraïne komt.
Dit. ^

En dan nog: ook al zou het waar zijn, het gaat om de huidige situatie en daarin lijkt Rusland nu (ook/vooral) actief te zijn richting Oekraïene/het westen.
Ze doen zelf zo veel aan censuur en nepnieuws.
Google maakt zelf helemaal geen nieuwsberichten?
Ik geloof helemaal niks meer van google.
Dus ook niet meer van Tweakers? Die geeft het namelijk allemaal door omdat ze denken dat het geen onzin is.
Dan geloof je het maar niet :) maar de data is duidelijk. (En niet alleen van Google uiteraard)
maar 60% van wat ? of mis ik dat ?
60% van de aanvallen vanuit Rusland staan nu gericht op hun buurland.
Om even voor de lurkers te duiden waar deze reactie vandaan komt, overige comments van Sparlord op soortgelijke artikelen zijn:

Russische Facebook-ads richtten zich op sleutelstaten in verkiezing VS
Al zou dit zo zijn. Wat dan nog? Reclame maken mag. Echt zo dom geneuzel dit weer.
Alles om maar een link proberen te leggen.
Als we het dan toch over inmenging hebben, mag de VS naar zichzelf kijken: Obama anti Brexit uitspraken, Soros die overal met zijn geld tussen zit zoals Pro Ukraine referendum in ONS LAND. En ga maar door hoor....
En facebook laat reclame zien aan mensen die toch al zo denken. Nul komma nul niet En reclame maken mag.....zo dom artikel weer.
het is allemaal dom gelul in de ruimte.

En nee, ik ben geen rus lol
Facebook en Twitter gaan Britten informeren over Russische Brexit-beïnvloeding
Nieuws plaatsen over iets wat niet eens bestaat is net zo dom.
Nog steeds niks bewezen van al dit alles....dus waarom doet tweakers zo dom mee????
Twitter stuurt notificaties naar gebruikers die Russische bots volgen
Wordt een beetje moe van dom vingergewijs naar Rusland.
Alsof Rusland de vijand is. De koude oorlog ligt al ver achter ons.
Maar blijkbaar heeft de VS weer heimwee ernaar. Ook goed voor
wapenverkoop natuurlijk.

Tot nu toe nog niet 1 stuks bewijs over beinvloeding, laat staan
dat het succesvol was.

Dit is echt allemaal te dom voor woorden.
wow, serieus???

Ik ga hier niks wijsmaken denk ik....want wow, als je dit serieus zo ziet....
En ik ben militair. Maar goed, ieder zo zijn inzichten....
Niet alleen betwist ik de stelling dat hij militair is (2014 is namelijk aan niemand voorbij gegaan in de krijgsmacht), bovenstaand laat ook zien dat hij zich bijna exclusief richt op posts die gaan over de inspanningen van de russische geheime dienst en de bedrijven die ze inhuren. Aangezien deze pogingen zich veelal bedienen van de typische drogredenen die het Kremlin ook hanteert, zou ik niet uitsluiten dat hij dit doet om sentiment te sturen op Tweakers.

Mocht iemand daadwerkelijk meer willen weten: in het themaforum over de oorlog hebben we een topic over de verstandhoudingen tussen het westen en rusland, desinformatie vanuit rusland, en meer - waar onder andere mensen uit defensie, de wapenindustrie, en historici posten.

[Reactie gewijzigd door nst6ldr op 22 juli 2024 23:52]

Het heeft niks te maken met alles wat voorgekauwd wordt slikken.
Keer op keer blijkt gewoon dat zaken goed of slecht in het westen vrij snel boven tafel komen meestal binnen 1 tot 4 jaar. Vaak duurt het wat langer voordat zaken ook officieel bevestigd worden omdat soms politiek gevoelig ligt, maar de waarheid is dan al lang en breed bekend. Die waarheid wordt trouwens vrijwel altijd gevonden door de mensen die beschuldigd worden van deelname aan het verspreiden van westerse propaganda (kranten en media). Voorbeelden te over , Irak Oorlog , Vietnam Oorlog , Iran Contra affaire, Exporteren van wapens naar Rusland, Ministers die zich niet netjes gedragen, Kamerleden die A zeggen maar B, misstanden bij de belastingdienst de lijst is echt enorm lang en wordt vrijwel alleen maar verder aangevuld door echte professionals die journalistiek onderzoek doen. Zit daar soms een politieke voorkeur in tuurlijk maar desondanks komt de waarheid bijna altijd boven.

Wie aantoonbaar nauwelijks nieuw feiten boven water halen zijn de websites , youtubbers, bloggers etc die roepen dat ze op zoek zijn naar de waarheid.

Dus wanneer iemand als Sparlord keer op keer onzin post dan mag dat wat mij betreft gewoon benoemd worden.

Op dit item kan niet meer gereageerd worden.