Microsoft en VS nemen domeinen over waarmee Rusland phishingcampagnes uitvoerde

Het Amerikaanse ministerie van Justitie en Microsoft hebben meer dan honderd domeinnamen in beslag genomen die door Russische inlichtingendiensten werden gebruikt om overheden te hacken. De domeinnamen werden ingezet voor gerichte phishingcampagnes.

Het Justice Department van de Verenigde Staten zegt dat het de domeinnamen in beslag heeft genomen. Het ministerie werkte daarvoor samen met bedrijven, waaronder Microsoft. Dat heeft zelf ook 66 domeinnamen overgenomen. De domeinen werden sinds januari vorig jaar gebruikt door een groep die Microsoft zelf Star Blizzard noemt, maar die ook wel Callisto Group of Cold River wordt genoemd. Dat is een hackersgroep die door experts wordt gelinkt aan de Russische nationale veiligheidsdienst, de FSB.

Het Amerikaanse ministerie zegt dat de groep de domeinnamen gebruikte om 'gegevens van Amerikanen te stelen' door legitiem lijkende e-mailadressen in te zetten. Daarmee zouden ze in de eerste plaats proberen credentials te achterhalen. De aanvallers zouden spearphishingcampagnes hebben opgezet. Met de gestolen gegevens wilden ze inloggen bij 'Amerikaanse overheidsinstellingen', al geeft het ministerie daar verder geen details over. Volgens Reuters vielen de criminelen de ministeries van Defensie, Binnenlandse Zaken en van Energie aan, naast defensieaannemers.

Microsoft geeft die informatie wel. Volgens het bedrijf zouden de aanvallers ook mensenrechtenorganisaties, journalisten, denktanks en ngo's hebben aangevallen. Het doel daarbij was voornamelijk om informatie te stelen, maar ook om werk te verstoren.

Reacties (51)

Drone_701 4 oktober 2024 22:02

Het verbaasd me toch dat hier altijd zo weinig politieke reactie op komt. Dit is toch kantje boordje digitale oorlogsvoering? Een onvriendelijke staat richt dit soort afdelingen op, specifiek om aanvallen uit te voeren. Vervang het digitale door militaire en je hebt een 'act of war' maar hier ontstaat zelfs geen diplomatieke rel over.

Seth_Chaos @Drone_701 • 4 oktober 2024 23:52

Die kan er alleen komen wanneer onomstotelijk vast staat dat de Russische staat er achter zit. En daar zijn sterke vermoedens voor, maar geen harde bewijzen.

jdh009

Rusland
Politiek en recht

@Seth_Chaos • 5 oktober 2024 11:49

Tevens zijn connecties tussen de GRU en Russische hackergroepen blootgelegd of bevestigd door lekken, zoals die van Vulkan. De documenten leggen verbanden tussen Vulkan en hackergroepen die aan de GRU zijn gelieerd, zoals Sandworm en Cozy Bear. Vulkan was o.a. betrokken bij projecten zoals Scan-V en Amezit en de stukken zijn gelekt door een interne betrokkenen die het niet eens was met de verdere uitbreiding van de oorlog in Oekraïne in februari 2022. Vijf westerse inlichtingendiensten en verschillende onafhankelijke cyberbeveiligingsexperts hebben de bestanden geverifieerd volgens de bron(nen).

Connections with other organisations

The documents link Vulkan to the GRU run hacker group Sandworm.[1][3] Vulkan was contracted to write software called Scan-V to support searching for weak spots in systems to be targeted.[3][1] Scan-V was commissioned in May 2018.[1]

The documents link Vulkan to the Cozy Bear hacker group, according to Google researchers.[1][3]

Vulkan won an initial contract to create a system called Amezit in 2016.[1] Amezit is designed to allow control of and interception of internet, wireless and mobile communications.[1][8] In 2018 some employees went in connection to Amezit to Rostov-on-Don to visit the Radio Research Institute, which is linked to the Federal Security Service.[1] It is not known if it has been used in parts of Ukraine occupied by the Russian Army.[1]

Bron: Wikipedia: Vulkan files leak

Op het gebied van desinformatie zijn er ook genoeg lekken en zelfs meerdere keren persoonlijke bevestigingen door, destijds vertrouwelingen, van Poetin Yevgeny Prigozhin.

“Gentlemen, we interfered, we interfere and we will interfere,” Prigozhin said in November, one day before the US midterm elections. “Carefully, precisely, surgically and in our own way, as we know how. During our pinpoint operations, we will remove both kidneys and the liver at once.”

Bron: https://edition.cnn.com/2...ch-agency-intl/index.html

"Ons nieuwe team heeft een verhaal verzonnen over de ontvoering van kinderen. De Amerikanen hebben het serieus gepubliceerd. Wat een succes!", staat in gelekte aantekeningen van een ontmoeting tussen medewerkers van het zogeheten Sociale Design Agentschap (SDA) en de Russische presidentiële administratie.

Recent documenten hebben aangetoond dat Russische bedrijven, waaronder Social Design Agency (SDA), Structura National Technology, en ANO Dialog, betrokken zijn bij beïnvloedingscampagnes in het Westen, waaronder de VS onder de naam "Doppelganger".

Bron: https://www.rtl.nl/nieuws...-documenten-desinformatie

Unit 29155 van de GRU:

Unit 29155 was linked — by the investigative Bellingcat website using OSINT (open-source intelligence) — to the attempted assassinations of Bulgarian arms dealer Emilian Gebrev in April 2015 and the former GRU Colonel Sergei Skripal in March 2018, both possibly overseen by the same agent.[12] According to Ben Macintyre in the London Times in December 2019, the unit is believed to be responsible for a destabilisation campaign in Moldova and a failed pro-Serbian coup plot in Montenegro in 2016 including an attempt to assassinate the Prime Minister Milo Đukanović and occupy the parliament building by force.[13][14] Russia has denied all accusations.[15]

Verhaal gaat verder over nog meer zaken

Bron: Wikipedia: GRU Unit 29155

jdh009

Rusland
Politiek en recht

@Seth_Chaos • 5 oktober 2024 11:14

De zogenaamde 'vermoedens' dat de Russische staat achter deze aanvallen zit, zijn meestal veel meer dan alleen vermoedens. Het lijkt alsof je suggereert dat die vermoedens niet goed onderbouwd zijn, maar in werkelijkheid werken inlichtingendiensten met betrouwbare waarschijnlijkheidsinschattingen. Zij drukken zekerheid uit in termen zoals woorden van schattingswaarschijnlijkheid, zoals 'hoogst waarschijnlijk' of 'zeer onwaarschijnlijk', die elk een specifieke mate van waarschijnlijkheid vertegenwoordigen. Het lijkt erop dat je die vermoedens als los bewijs ziet, terwijl er vaak wel degelijk substantieel (door bijv. meerdere bronnen bevestigd) bewijs achter zit.

Aldy @jdh009 • 5 oktober 2024 14:39

Waarom dan geen sancties? Is dat omdat dit niet als werkelijke bedreiging gezien wordt, wat ik mij niet kan voorstellen. Of is dat omdat VS (en Europa) dit even hard bij de Russen doen. Ik kan mij namelijk niet voorstellen dat dit éénrichtingsverkeer is.

magnifor @Aldy • 6 oktober 2024 15:26

Israel samenwerking met aantal westerse bondgenoten hebben de nucleaire faciliteiten van Iran aangevallen destijds (Stuxnet), volgens het boekje valt dat onder oorlogsdaad maar nadat het bleek dat op de langere termijn de aanvallen geen effect had (uranium productie nam af maar nadat Iran door had wat er gaande was namen ze maatregelen en de productie was daarna hoger dan de voor de aanvallen) is het ook in de doofpot gestopt. Men handelt hoe het ze beste uitkomt.

Aldy @magnifor • 6 oktober 2024 15:46

Ja, zo is het ook. Precies zo als een fysieke spion wordt ontdekt, dan kun je dit aan de grote klok hangen en de spion uitwijzen. Zeg je niets, dan weet je wie je in de gaten moet houden.

Aldy @markwiering • 6 oktober 2024 10:00

Bij spionage hebben we het nooit over sancties zoals handelsbeperkingen, dus dit is totaal niet aan de orde. En wat Perzië betreft: Deze benaming kom je alleen nog in de geschiedenisboeken tegen. Het land met deze benaming bestaat al decennia niet meer.

Aldy @markwiering • 6 oktober 2024 16:37

Dat zeg ik: Geschiedenis. Misschien moeten we Indonesië ook maar weer Nederlands Indië gaan noemen om niet te vergeten dat ons kleine landje daar eeuwenlang huisgehouden heeft. Of Frankrijk maar weer Gallië noemen, zodat we niet vergeten dat er één dorpje was dat de Romeinen maar niet konden veroveren wegens een toverdrank.

Komop zeg, er is niemand meer die Perzië gebruikt als het over Iran gaat, behalve Mark Wiering. Ik denk dat er inmiddels een heleboel mensen, met name jongeren, zich afvragen welk land je bedoelt als je het over Perzië hebt.

En dat Perzisch de taal in Iran is, is geen argument of moeten we Oostenrijk Duitsland gaan noemen? En in heel Zuid-Amerika is de voertaal een Europese taal of in ieder geval een taal die niet naar het betreffende land wijst.

Perzië was onder de sjah pro-Westers en Iran is dat beslist niet. Dat was voor mij het omslagpunt.

markwiering @Aldy • 6 oktober 2024 17:02

Het verschil met Indonesië is dat "Nederlands-Indië" in de huidige tijd niet meer correct is, terwijl "Perzië" in de huidige tijd nog wel correct is. De Perzische/Iraanse overheid heeft zelf aangegeven dat beide benamingen correct zijn. Beide benamingen zijn ook correct volgens de Nederlandse taalregels.

En dat Perzisch de taal in Iran is, is geen argument of moeten we Oostenrijk Duitsland gaan noemen? En in heel Zuid-Amerika is de voertaal een Europese taal of in ieder geval een taal die niet naar het betreffende land wijst.

Het verschil is, is dat het Perzisch de oorspronkelijk taal is van Perzië/Iran, die geassocieerd wordt met dat land.

Net als Noors/Noorwegen, Fins/Finland, Pools/Polen, Russisch/Rusland enzovoort.

Het Spaans en Portugees zijn niet de oorspronkelijke talen van Zuid-Amerika.

Het Duits is een taal die in een groot aantal Europese staten werd gesproken, zoals Pruisen en de Vrijstaat Saksen, die daarna zijn samengeklonterd tot één staat. Oostenrijk viel buiten deze samenklontering, waar een hele interessante geschiedenis achter zit.

Perzië was onder de sjah pro-Westers en Iran is dat beslist niet. Dat was voor mij het omslagpunt.

Dat vind ik wel een valide argument om de voorkeur te geven aan de naam "Iran" boven "Perzië". Voor 1979 was Perzië redelijk seculier. Na 1979 werden Islamitische wetten ingevoerd, die in de laatste jaren weer een beetje zijn afgezwakt, maar nog steeds niet volledig zijn afgeschaft.

De gedachte dat het huidige Perzië Iran is omdat het door de Islamisten is overgenomen, om dit land opnieuw "Perzië" te noemen zodra dit land opnieuw seculier wordt, daar valt wel wat voor te zeggen.

Aldy @markwiering • 6 oktober 2024 17:08

Om te beginnen: Ik ben je een beetje aan het plagen!

Maar weet je dat de perzik weliswaar naar Perzië is vernoemd, maar daar niet oorspronkelijk vandaan komt. Net zomin als de tulp niet oorspronkelijk uit Nederland komt.

En met genoegen zal ik Iran weer Perzië noemen als er een pro-Westerse wind waait.

ymmv @Drone_701 • 5 oktober 2024 00:12

Als moderne spionage "digitale oorlogsvoering" zou zijn, dan is elk land ter wereld met elk ander land op de wereld in oorlog.

Aldy @ymmv • 6 oktober 2024 10:02

ik denk dat dit ook de reden is dat er niet politiek op gereageerd wordt, want elk land heeft inmiddels boter op hun hoofd.

SA65 @Drone_701 • 5 oktober 2024 09:32

Omdat wij totaal naief zijn, en omdat de regerings leiders totaal niks van it weet. Trouwens dat geld ook voor bedrijven, notabene bij de politie klikken ze zomaar op een link, en alle adresesn worden gestolen, hoe dan.

nexhil @SA65 • 5 oktober 2024 11:00

Omdat bij de politie ook mensen werken.

Ook ik, iemand die sinds 1994 op Internet zit en dagelijks met de security kant van dit digitale tijdperk te maken heeft, heb ook wel eens een dag dat ik niet op mijn scherpst ben.

Mr Fly @Drone_701 • 5 oktober 2024 00:39

Wie weet wat VS en Westen het doet tegen over Rusland of China mischien zijn we net zo actief in die landen

Maar jah daar horen we natuurlijk niks hier. Het verbaast me ook wel dat elke keer hetzelfde liedje wordt gespeeld rondom verkiezingen ongeacht welke land.

WaarAnders 5 oktober 2024 11:22

Kan iemand uitleggen wat de rol van Microsoft tov de overname van domeinen is? Zijn zij de nieuwe eigenaar geworden?

Qws 5 oktober 2024 15:55

Hoe kan Microsoft nou domain namen overnemen?

F5544 5 oktober 2024 01:08

Je zou bijna zeggen internet afsluiten voor de russen

sdziscool @F5544 • 5 oktober 2024 02:20

Deden ze voor China en dat heeft ervoor gezorgd dat de Chinese staat nu het hele internet censureert naar eigen mening voor alle staatsburgers. Ook niet toppie.

Goldwing1973 @sdziscool • 5 oktober 2024 08:49

Daar is een blokkade niet voor nodig hoor, het censureren doen ze al in Rusland.

ArnoldSmit @sdziscool • 5 oktober 2024 09:46

Je gooit nogal wat dingen op 1 hoop.
China zou hoe dan ook wel het internet censureren:
- 1989 Tiananmen Square protests and massacre
- uitbuiting van de Oeigoeren
- de let it rot beweging onder de jeugd.

China heeft controle over het internet nodig om haar burgers onder de duim te houden.
Heeft het westen geen invloed op, nog zijn we enigszins de oorzaak van de situatie in China.

Mosterd 4 oktober 2024 21:05

Wie beheert eigenlijk een domeinnaam op landelijk niveau? Verschilt dat per TLD extensie en de organisatie die het beheert? M.a.w. Rusland zou een Amazon.ru kunnen sluiten?

GoBieN-Be @themadone • 4 oktober 2024 21:27

Aangezien men burgers van de V.S. aanviel zal het geen .ru domeinnamen zijn die gebruikt werden. Dus je uitleg is niet echt relevant.

themadone @GoBieN-Be • 4 oktober 2024 21:37

.ru is puur een voorbeeld in deze op basis van de gestelde vraag. Oftewel, als het team wat dit doet het wilt is ook amazon.ru niet onaantastbaar.

.com en .us etc is veel makkelijker omdat die gewoon vanuit daar beheert worden. Dus die worden op basis van de court order gewoon in beslag genomen.

BFmango @Cloxxki • 5 oktober 2024 09:11

Nou hop, snel verhuizen dan jij, naar het mooie Rusland!

Cloxxki @BFmango • 8 oktober 2024 22:36

Grote jongen. Niet gehinderd door enige relevante kennis of ervaring, doet iets me vermoeden?
Kun je in houdelijk reageren?
Of is dat echt te veel gevraagd, kun je alleen loze persoonlijk aanvallen/ridicule delen?

BFmango @Cloxxki • 9 oktober 2024 09:31

Inhoudelijk reageren kan ik prima, maar ik kies ervoor wanneer. In dit geval is dat de moeite niet waard omdat je een verstoord wereldbeeld hebt, en dat mogen mensen jou best wel bij brengen zonder de diepte in te gaan.

TeeDee @Terrestrial • 4 oktober 2024 22:21

Tja, als MS, de VS of welke veiligheidsdienst dan ook een of andere "hackpoging" zien vanuit welk land dan ook, gaat de boel op slot. Dat is/was nu china en/of rusland. Als het schubbekutteveen is volgende week zijn zij aan de beurt. Wat is je punt?

david-v

@Terrestrial • 4 oktober 2024 22:42

Als ik naar onze productie firewalls kijk dan komt best veel uit Rusland en China. Uit België vrijwel niks. China en Rusland zijn al vaker betrapt op hacks en hack pogingen, dus zo vreemd is dat niet.

nst6ldr @david-v • 5 oktober 2024 15:57

Same, ik had tussen '12 en '16 wat honeypots staan waarvoor ik verkeer vanuit rusland en china maar gewoon blokkeerde omdat ik niet meer aan analyse toe kwam.

magnifor @david-v • 6 oktober 2024 15:33

Je weet dat het helemaal niks zegt? Voordat de aanval jouw server bereikt is het door tich tor nodes/proxies/vpns gegaan. Het is makkelijk om een ip te "spoofen" om de indruk te wekken dat een aanval uit een bepaalde hoek komt. Als ik naar mijn WAF kijk zie ik vooral Amerikaanse en IP-adresssn uit Singapore geblokkeerd worden. Zegt echt 0,0

Powerblast @Terrestrial • 4 oktober 2024 23:26

Ze zien dat er wat illegaal gebeurt maar mogen niet ingrijpen want dan zouden ze teveel macht hebben? Gezien het politieke klimaat lijkt mij het feit dat de genoemde landen er achter zitten niet zo ver gezocht. Ze zullen vast wel aanwijzingen hebben.

ArnoldSmit @Terrestrial • 5 oktober 2024 09:48

Klopt het niet dan dat zowel vanuit Rusland en China veel wordt gehackt?
Weet niet of je onder een steen hebb geleefd, maar onder andere zijn zo de gegevens van de politie gehackt en gelekt door Rusland.

BFmango @Terrestrial • 5 oktober 2024 09:09

En met welke kennis van zaken reageer jij? Amper drie dagen geleden is bekend geraakt dat de Nederlandse politie aan een Russische hackersgroep ten prooi is gevallen. Je moet echt totaal blind en ignorant zijn om er aan voorbij te gaan dat vooral Rusland maar in mindere mate ook China een soort semi-proxy-oorlog aan het voeren zijn tegen het westen.

Lord Anubis @BFmango • 5 oktober 2024 14:42

Vooralsnog is het een aanname.

nullbyte @Terrestrial • 4 oktober 2024 22:38

Lol "dat moet echt veranderen". Gesproken als een echt Russisch botje.

Trucker Her @Terrestrial • 4 oktober 2024 23:06

Zodra ik begon met lezen van je comment denk ik: "goh mensen met grootse invloed op het internet": "hoe zit dat in elkaar".

En daarmee wetende hoe ons gehele internet aan elkaar gelinkt is, is dat op grotendeel van vertrouwen en afspraken tussen verschillende organisaties. Dat is vanuit oudsher, een zeer zeer volwassen manier van samenwerken, in mijn ogen.

Dat vertrouwen, levert op dit moment een kwetsbaarheid op. Een groot deel van het globale internet zoals wij het kennen is in de V.S. ontstaan.

Het stuk invloed waar je het over hebt, is wel iets waar ik me reeël zorgen over maak. Máár, waarvan ik denk dat het laatste deel van je opmerking "tuurlijk", dit als een 'complot' wil doen lijken.
Er zijn zat statelijke actoren die belangen hebben bij verschillende soorten van dienstverlening. En we leven nu eenmaal in een westers democratisch land, waarvan onze politiek (beïnvloed door o.a. ons stemgedrag) bondgenootschap zoekt met de Amerikanen. Daarmee wordt dat meer als een bondgenoot beschouwd.

Wil dat zeggen dat er niks plaats vind? Dat is aan de inlichtingendiensten.. Maar in den basis hebben we met z'n allen, zover ik weet hetzelfde doel; dat is het idee van een bondgenootschap.
Uiteraard kan 'ondiplomatiek' gezien een bondgenoot ook een dolk in je rug steken; maar volgens mij is dat in de orde van dít specifieke geval niet aan de orde.

Wél deel ik je mening dat er een aantal wereldmachten zijn, die een bovengemiddelde invloed hebben op het functioneren van ons publieke internet. En dát kan je in héle extreme mate door trekken.
Miijn inziens, is dat een ondergang aan het eigen succes, van het world wide web. Waar we als samenleving een immense uitdaging hebben.

Cloxxki @Terrestrial • 8 oktober 2024 22:40

Zelfs feiten die onomstotelijk naar buiten komen zoals bv in de achtergelaten laptops van Hunter Biden, zijn "Russische misinformatie" de eerste weken. De rectificatie komt nooit, en bereikt niet de massa die door de eerste opzettelijk valse berichtgeving al niets meer over de 400+ misdrijven en misdaden willen horen. We weten nieteens of zijn kleine slachtoffers het overleefd hebben, omdat de namen er niet bij opgeslagen waren. De overheid daar is zeer ongeinteresseerd in onuitsprekelijk misdaden als een Biden ze beging en het bewijs onomstotelijk is. NL is weinig beter, maar NL bepaald de geopolitieke windrichting niet.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (51)

Sorteer op:

Weergave: