Top 5 Cyberarmies

Het cyberdomein wordt door vele landen al lange tijd als het vierde operationele domein beschouwd. Maar door de volstrekte anonimiteit en de mogelijkheid om buiten de eigen staatsgrenzen te kunnen opereren beperkt het zich niet tot enkel defensieve activiteiten. Diverse landen hebben zich inmiddels al schuldig gemaakt aan diefstal, infiltratie, spionage, manipulatie, sabotage en vernielzucht. Dit is te verwachten van landen met een bedenkelijk regiem maar dat ook meer democratische en zelfs bevriende staten hier schuldig aan maken is meer dan bijzonder. De in dit opzicht meest spraakmakende landen en dus met enige regelmaat de wereldpers weten te behalen zijn de Verenigde Staten, Rusland, China, Iran en Noord Korea. Bijzonder aan dit vijftal is dat ze alle vijf een totaal verschillende beweegredenen hiervoor hebben. Misschien niet als zodanig uitgesproken maar kunnen dit wel concluderen als we hun daden op een rijtje zetten.

Rang Land Primaire motivatie
1 Verenigde Staten Staatsveiligheid
2 China Economisch (diefstal van intellectuele eigendommen)
3 Rusland Destabilisatie westerse landen
4 Iran Sjiitisch-soennitisch conflict
5 Noord Korea In oorlog met Zuid Korea

Nr 1: Verenigde Staten
De Verenigde Staten vindt haar motivatie in het altijd maar waarborgen van de binnenlandse veiligheid. De gebeurtenissen op 9/11 schonken haar inlichtingendiensten eindelijk de bevoegdheden waar het al zo lang naar smachtte. 26 oktober 2001 werd de USA PATRIOT Act (en recentelijk nog de CLOUD Act) aangenomen waarmee op grote schaal privacy gevoelige informatie kon worden verzameld en geanalyseerd. Ook werden er diverse cyber eenheden opgericht waaronder bijvoorbeeld het Center for Cyber Intelligence (CCI) welke inmiddels meer dan 5000 manschappen telt. In 2016 produceerden zij al meer softwareregels dan heel Facebook bevat. Uiteindelijk resulteerde dit in meer dan 1000 verschillende soorten vulnerabilities, exploits, trojans, virussen, rootkits en andere malware.
Klokkenluider Edward Snowden beschreef in 2013 al eens waar de Amerikaanse geheime diensten toe in staat waren, maar hard bewijs ontbrak min of meer. Pas nadat een anonieme groep, bekend onder de naam Shadow Brokers in 2016 bekend maakte diverse scripts, tools en kwetsbaarheden van de National Security Agency (NSA) buit te hebben gemaakt en dit ook nog eens openbaar publiceerde, werden verschillende beweringen bekrachtigd. Parallel hieraan was het Russische security bedrijf Kaspersky Labs een goed georganiseerde cybereenheid op het spoor die zij de EquationGroup noemden. Met de publicaties van de Shadow Brokers werd wel duidelijk dat deze EquationGroup deel uitmaakte van de NSA.
Mede dankzij de openbaringen van Snowden is de lijst met cyberactiviteiten omvangrijk geworden. Een klein opsomming:

  • 2009; Afluisteren smartphones buitenlandse politici; samen met de Britse geheime dienst (GCHQ) werd een groot aantal smartphones en Internetverbindingen van buitenlandse politici afgeluisterd. Ook de smartphone van Angela Merkel werd afgeluisterd. Deze daad valt slecht te rijmen met Amerika’s zoektocht naar veiligheid. Als dit een minder bevriende natie zou zijn geweest, zou dit zeker een act of war zijn.
  • 2010; Sabotage Irans nucleaire ontwikkelingen; met behulp van een speciaal daarvoor ontwikkeld virus werden Iraanse uraniumverrijkingscentrales besmet en vernield. Irans nucleaire programma liep hierdoor vele jaren achterstand op. Overigens wordt het virus Stuxnet algemeen beschouwd als het eerste cyberwapen.
  • 2013; Omvangrijk afluisterprogramma; De NSA installeerde backdoors in Google en Facebook waarmee het haar gebruikers kon afluisteren. Diverse landen werden zodoende sinds 2007 afgeluisterd waaronder Iran, Pakistan, Jordanië, Egypte en India. Het programma kreeg de naam Prism en werd bekend door de openbaringen van Edward Snowden.
  • 2013; Omvangrijk infiltratieprogramma; de NSA ontwikkelde een zeer geavanceerd virus genaamd Regin waarmee het een groot aantal bedrijven in verschillende landen besmette. Dankzij de software kon de NSA deze bedrijven afluisteren. Meest spraakmakende slachtoffer waren Belgacom en het iAEA, het Atoomagentschap in Wenen. Maar uiteindelijk verspreidde het spionagevirus zich naast België ook over Rusland, Duitsland en nog een tiental landen. Ook dit programma kwam naar buiten via Snowden’s bekentenissen.
  • 2013; Grootschalig afluisteren buitenlandse internetgebruikers; uiteindelijk verzamelde de NSA zoveel informatie dat zij van elke Internetgebruiker waar ook ter wereld alle communicatie kon inzien. Het programma kreeg de naam Xkeyscore mee.

Nr 2: China
Als we louter kijken naar aantallen is China natuurlijk snel erg groot. Echter China is nog niet heel lang op grote schaal actief in het cyberdomein. Het heeft recent nog haar strategie wereldkundig gemaakt “Building China into a cyber superpower”. China maakt er geen geheim van dat het de toegang tot het Internet zwaar censureert wat resulteert in een bijzonder lage Internet vrijheid. Deze censurering wordt ook wel ‘The Great Firewall‘ genoemd en reikt zelfs buiten de staatsgrenzen. De website van de Dalai Lama heeft dit al verschillende malen mogen ondervinden. Naast censurering richt China zich voornamelijk op activiteiten ten gunste van haar eigen economie door middel van bedrijfsspionage of wel het stelen van ‘intellectual property’. De lijst is inmiddels indrukwekkend.
Unit 61398 van het People Libartion Army (defensie) is de meest bekende cybereenheid en verantwoordelijk voor vele cyberaanvallen. De in 2017 meest actieve eenheid kreeg de naam Stone Panda mee, ook wel bekend als CloudHopper of APT10.

  • 2009; Operation Aurora; een cyberaanval op meer dan 30 organisaties uit verschillende sectoren waaronder Google en Adobe. De aanval was zeer geavanceerd en ondanks dat er nauwelijks details bekend zijn gemaakt was het wel duidelijk dat het hier ging om diefstal van ‘intellectual property’.
  • 2009; Grootschalige spionage programma; diverse ambassades en ministeries in zeker meer dan 100 landen werden het slachtoffer. Het programma kreeg de codenaam GhostNet mee.
  • 2014; Cyberspionage via hotels; bestuurders van organisaties reizen veel en brengen dus veel tijd door in hotels waar zij gebruik maken van de WiFi. Door malware te installeren in de slecht beveiligde infrastructuur van de hotels waren de aanvallers in staat om alle communicatie en informatie van deze bestuurders te stelen. Hotels in diverse landen maar voornamelijk in Japan, Taiwan, China, Rusland, Zuid Korea en Hong Kong waren de dupe van deze doordachte aanval. De cyberaanval kreeg de naam Darkhotel mee.
  • 2015; Diefstal blauwdrukken chiptechnologie (ASML); staatshackers wisten door gebruik te maken van een zero-day in een vpn-verbinding van het Chinese dochterbedrijf Brion Technologies te infiltreren in de Nederlandse chipfabrikant ASML. Wat er daadwerkelijk buit is gemaakt is nooit bekend gemaakt.
  • 2016; Diefstal blauwdrukken defensie materiaal; de lijst is inmiddels lang en indrukwekkend. Blauwdrukken van de Patriot luchtafweerraket, de Black Hawk gevechtshelikopter, de F-18 jachtbommenwerper, de V-22 Osprey tiltrotor-vliegtuig en ga zo maar door. Zo zijn wij nog in afwachting van onze eerste F-35 Joint Strike Fighter (JSF) en hebben zij al een kopie rondvliegen.

Nr 3: Rusland
Rusland is een staat die met enige regelmaat in negatief daglicht staat in westerse media. De oorzaak ligt in het verleden waarbij het communisme loodrecht tegenover het kapitalisme stond, east versus west. Deze houding is vandaag de dag nog steeds waarneembaar zo ook in het cyberdomein. Ruslands primaire motivatie is nog altijd destabilisatie veroorzaken in het westen. Dit doen zij bijvoorbeeld door buitgemaakte belastende informatie openbaar te publiceren of door een tsunami aan nepnieuws te genereren waarmee zij de beeldvorming beïnvloeden. Ondanks het ontbreken van elk bewijs, zal het niemand verbazen dat Rusland ook een groot aandeel zal hebben gehad in de Brexit, de spanningen tussen Nederland en Turkije of zelfs het Catalonië-conflict. In 2017 was Fancy Bear de meest actieve cybereenheid ook wel bekend als Sofacy of APT28.

  • 2007; Cyberaanval op Estland; omdat Estland in 2007 een oorlogsmonument ter nagedachtenis aan de gevallen Russische soldaat tijdens de tweede wereldoorlog wilde verplaatsen opende hackers uit Rusland de aanval. Diverse websites van financiële dienstverleners, overheden, dagbladen en omroeporganisaties waren voor lange tijd onbereikbaar. Na een periode van ontkenning werd vele jaren later de betrokkenheid van de staat toegegeven. De aanval wordt nu gezien als de eerste cyberoorlog.
  • 2008; Cyberaanval op Georgië; Rusland valt Georgië binnen. Voor het eerst in de geschiedenis werd de aanval gelijktijdig opgezet via het land, de zee, in de lucht én het cyberdomein. De toegang tot het Internet was voor lange tijd onmogelijk.
  • 2014 – heden; Diverse cyberaanvallen op Oekraïne; Rusland valt Oekraïne aan via land, zee, lucht en het cyberdomein. Toegang tot het Internet werd onmogelijk door middel van een DDoS-aanval welke 32 maal groter was dan de aanval op Georgië. Tijdens de verkiezingen werden ter ondersteuning van de pro-Russische kandidaat diverse computersystemen t.b.v. de verkiezingen onbruikbaar gemaakt. Later werd een cyberaanval uitgevoerd op een Oekraïense energiecentrale waardoor 235.000 huishoudens zonder stroom kwamen te zitten.
  • 2016; Manipulatie Amerikaanse verkiezingen; gigabytes aan belastende emails en andere informatie werden buit gemaakt en op Wikileaks gepubliceerd. Daarnaast werd een groot aantal identiteiten op sociale media waaronder Facebook aangemaakt en advertenties via Google geplaatst. Via deze identiteiten en advertenties creëerden ze een tsunami aan nepnieuws allemaal bedoeld om de verkiezingen te manipuleren. Recentelijk werd duidelijk dat Nederland een cruciale rol heeft gespeeld in de bewijsvoering.
  • 2017; Manipulatie Duitse verkiezingen; door infiltratie in het computernetwerk van de Bundestag en de CDU (partij van Bondskanselier Angela Merkel) en daarnaast de verspreiding van nepnieuws werd getracht het imago van de zittende Bondskanselier Angela Merkel te beschadigen ten einde de verkiezingen te kunnen manipuleren.

Nr 4: Iran
Het cybervirus Stuxnet maakte een hardhandig einde aan Irans nucleaire inspiraties. Maar geïmponeerd en mogelijk geïnspireerd door de destructieve kracht van het cybervirus, werd dit onbedoeld het startschot voor Iran om zwaar te investeren in haar cyberleger (enkel in 2017 al meer dan $100 miljoen). Iran is hoofdrolspeler in het sjiitisch-soennitisch conflict en staat daarmee loodrecht tegenover Saoedi-Arabië. De motivatie van het Iraanse cyberleger ligt voor de hand, het zal een fundamentele bijdrage moeten leveren in dit conflict. In deze strijd richt het zich voornamelijk op vitale infrastructuren zoals gas, water, licht maar ook de financiële sector. Saoedi-Arabië en de daaraan gelinieerde naties, waaronder de Verenigde Staten zijn hier regelmatig de dupe van wat ook blijkt uit een publicatie van Recorded Future.
De verschillende cybereenheden geven zichzelf veelal fantasievolle namen zoals SOBH Cyber Jihad, Cutting Sword of Justice, Cyber Fighters of Izz Ad-Din Al Qassam of Syrian Electronic Army. In 2017 was de meest actieve cybereenheid Oilrig.

  • 2011; Cyberinbraak DigiNotar; een hacker die zich Comodohacker noemde (verwijzing naar zijn vorige daad) wist te infiltreren in de Nederlandse certificatenbakker en maakte diverse certificaten buit. Deze certificaten werden ingezet bij het afluisteren van verschillende geheime diensten waaronder CIA, MI6 en de Mossad via sociale netwerkdiensten als Gmail, Twitter en Facebook.
  • 2012; Cyberaanval op Saudi Aramco en Rasgas; door middel van een “spear-phishing” aanval wisten hackers die zich Cutting Sword of Justice noemden meer dan 30.000 computers te besmetten met het Shamoon-virus. Hierdoor werden Saoedi’s oliemaatschappijen Saudi Aramco en Rasgas voor weken plat gelegd.
  • 2012; Cyberaanval op olieplatform; een groep die zich later OilRig noemden wisten te infiltreren in een olieplatform en maakte het onbruikbaar door simpelweg een poot in te trekken waardoor het omviel.
  • 2011 – 2013; DDoS-aanval op Amerika’s financiële sector; bedrijven als New York Stock Exchange, SunTrust, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, HSBC en BB&T waren het slachtoffer. Dit zogenaamd als vergeldingsactie voor de beledigende video van de profeet Mohammed op YouTube. De aanval kreeg de geuze naam Operation Ababil mee en werd geclaimed door de Cyber Fighters of Izz Ad-Din Al Qassam. Nu jaren later weten we dat Iran achter deze aanval zat en staan de hoofdverdachten zelfs met naam en afbeelding op de Most Wanted website van de FBI.
  • 2013; Sabotage stuwdam New York; een groep hackers die zich SOBH Cyber Jihad noemden wisten zich toegang te verschaffen tot de stuwdam Bowman Avenue Dam in Rye Brook, New York. Gelukkig werkte de sluizen niet helemaal meer waardoor de aanval beperkt bleef. De schade was niet te overzien als dit niet het geval was immers de dam grensde aan de buitenwijken van New York.
  • 2016; Cyberaanval op Saoedi-Arabië; een reeks cyberaanvallen op Saoedisch vitale en economische sector. Er werd gebruik gemaakt van een aangepaste versie van het eerder gebruikte Shamoon (2.0) virus ook wel StoneDrill genoemd.

Nr 5: Noord Korea
Noord Korea is de meest opzienbarende in deze lijst. Niet gezien haar agressieve houding maar haar Internetdichtheid welke amper 10% is. Gedreven door een minderwaardigheidscomplex zijn ze naarstig opzoek naar een manier om de wereld te imponeren. Zij denken deze gevonden te hebben in haar nucleaire mogelijkheden (helaas met Nederlandse betrokkenheid) en cyberpower. Dankzij verschillende dissidenten weten we inmiddels dat het cyberleger ruim 6000 manschappen telt. Door de beperkte Internettoegang wordt het land gedwongen om cyberactiviteiten buiten haar staatsgrenzen uit te voeren. Hiervoor wordt een grensprovincie in China veelvuldig voor misbruikt. Omdat het land in feite in constante oorlog is met haar buurland Zuid Korea ondervindt Zuid Korea vrijwel dagelijks de negatieve gevolgen van dit cyberleger. Websites van financiële dienstverleners, overheidsinstanties en nutsbedrijven zijn met enige regelmaat het slachtoffer van cyberaanvallen.
Diverse legereenheden hebben een eigen cybereenheid. Zo kennen we de units 91, 121 en 180 maar bekender zijn de namen DarkSeoul, HiddenCobra, Guardians of Peace en de Lazarus Group. Deze laatste was in 2017 het meest actief.

  • 2006-2013; Eindeloze reeks cyberaanvallen op Zuid Korea; overheidsinstanties, financiële dienstverleners, militaire eenheden en ga zo maar door werden getroffen door diverse DDoS-aanvallen. De aanvallen werden geclaimd door de eenheden Unit 121 en DarkSeoul. De aanvallen vielen soms samen met feestdagen zoals onder andere 4 juli, USA’s Independence Day.
  • 2014; Cyberaanval op Sony Pictures Entertainment; een groep die zich Guardians of Peace (GoP) noemden infiltreerden in de organisatie. Naast dat ze gevoelige informatie buit maakten en later ook publiceerden, besmette ze de organisatie met een virus die werkstations en server onbruikbaar maakten.
  • 2016; Inbraak Bangladesh Bank; na een zeer geavanceerde infiltratie probeerden criminelen $951 miljoen via het SWIFT systeem over te maken. Een oplettende bankmedewerker zag een tikfout in de opdracht en hield de transactie tegen, waardoor de diefstal ‘beperkt’ werd tot $81 miljoen.
  • 2017; Verspreiding ransomware WannaCry; de cryptoworm WannaCry ging de wereld rond en besmette vele organisaties waaronder Renault, Deutsche Bahn, Hitachi, FedEx en de Britse National Health Service. Er werd gebruik gemaakt van een kwetsbaarheid (EternalBlue) die jaren lang ook misbruikt werd door de NSA en gepubliceerd werd door de Shadow Brokers.

Noord Korea tekende in 2012 een overeenkomst met Iran waarin beider landen verklaarden te zullen samenwerken in het virtuele domein. Deze samenwerking kwam al tot uiting bij de aanval op Sony Pictures Entertainment waarbij een variant van het Shamoon-virus werd gebruikt. Het virus dat Iran gebruikte voor haar aanval op Saudi Aramco.
Attribution
Niets is zo moeilijk als een cyberdaad toeschrijven (attribution) aan een dader, een eenheid of zelfs een heel land. Zo niet haast onmogelijk vanwege de anonimiteit maar bovenal de mogelijkheid om activiteiten vanuit een totaal ander land uit te voeren waardoor herleidbaarheid weinig zinvol wordt. Daarentegen toch weer niet helemaal onmogelijk omdat de sporen van een aanval vaker worden gebruikt. Zo wordt het succesvolle wiper-virus met enige regelmaat gebruikt door zowel Iran als Noord Korea.

Zie ook mijn anders blogs over dit onderwerp:

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Cyberwarfare, Security en getagged met , , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.