Managed hosting door True

Cyberspionagegroep Morpho nooit weggeweest

 

Symantec heeft een cyberspionagegroep ontdekt die al sinds maart 2012 actief is in Europa en Noord-Amerika. De groep, die door Symantec Morpho wordt genoemd, leek na 2012 te zijn verdwenen, maar volgens Symantec is de groep nog altijd actief. Morpho richt zich op het stelen van informatie om deze vervolgens te verkopen. Tot nu toe blijkt de groep 49 organisaties in twintig landen tot slachtoffer te hebben gemaakt. Details over mogelijke aanvallen op Nederlandse bedrijven zijn niet bekend bij Symantec.

Begin 2013 werd de cyberspionagegroep opgemerkt omdat techgiganten zoals Twitter, Facebook, Apple en Microsoft publiek aangaven aangevallen te zijn. De hackersgroep wordt door Symantec Morpho genoemd, maar de groep staat ook onder de namen Wild Neutron en Jripbot bekend. Hoewel de groep pas in 2013 publiciteit kreeg en daarna in de vergetelheid verdween, zijn ze volgens Symantec al sinds maart 2012 actief.

De hackers richten zich specifiek op grote organisaties om informatie te stelen en zijn volgens Symantec een stuk geavanceerder dan de gemiddelde hacker. De manier waarop de hackers te werk gaan is via zogenaamde stepping stones, oftewel door kleinere organisaties aan te vallen en deze infectie vervolgens te gebruiken om Amerikaanse en Europese hoofdkantoren te bereiken.

Voor deze aanvallen gebruikt de groep verschillende, intern ontwikkelde malware tools. Ze zetten voornamelijk twee typen Trojans in: OSX.Pintsized voor Mac OS X computers en Backdoor.Jiripbot voor Windows computers. Daarnaast wordt onder andere de hacking-tool Hacktool.Securetunnel ingezet om een command & control (c&c)-serveradres en -poort door te geven aan een besmette computer.

De hackers richten hun aanvallen binnen de grote organisatie op Microsoft Exchange of Lotus Domino email servers, op enterprise content management systemen en op specialist systemen.

Mogelijk Amerikaanse wortels

De technologiebedrijven die door Morpho zijn aangevallen, zijn voornamelijk gevestigd in Amerika. In Europa zijn voornamelijk grote farmaceutische bedrijven aangevallen door Morpho. Daarnaast denkt Symantec ook dat de hackers zelf in Amerika zijn gevestigd, omdat de c&c-serveractiviteit het hoogst is tijdens de Amerikaanse werktijden. Hoewel dit er ook op kan wijzen dat de meeste slachtoffers in Amerika zijn gevestigd. Daarnaast is de malware in vloeiend Engels gedocumenteerd. Ook zijn de hackers volgens Symantec bekend met de Engelssprekende popcultuur, omdat zij de term AYBABTU (All your base are belong to us) gebruiken als encryptiekey in hun Windows-Trojan. 

Verdienmodel Morpho

Symantec heeft een idee van het soort informatie dat is gestolen, zoals financiële gegevens, product beschrijvingen en juridische documenten. Echter wat er precies met deze documenten gebeurt, is niet bekend. Wel meent Symantec dat de hackersgroep geld verdient doordat zij bijvoorbeeld zijn ingehuurd door bedrijven om informatie van andere organisaties te stelen. Ook kunnen de hackers geld verdienen aan de gestolen data door deze te verkopen aan de hoogste bieder. Tot slot kan de informatie gebruikt worden voor interne verhandel-doeleinden.

Maatregelen

Volgens Symantec kunnen organisaties zichzelf het beste tegen deze hackergroepering beschermen door een combinatie van de volgende beveiligingstechnologieën te gebruiken:

  • Gebruik de bestaande antimalware-oplossing volledig. Hiermee wordt bedoeld dat alle functionaliteiten moeten worden aangezet.
  • Gebruik nieuwe Advanced Threat Protection (ATP)-technologieën
  • Gebruik Cyber Security Services zodanig dat een gespecialiseerd bedrijf je omgeving monitort
Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5427962). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Het valt me op dat de securitynews-sites de laatste tijd vol staan met door security-bedrijven ontdekte cyberspionage-diensten:

Kaspersky labs en Wild Neutron (aka Morpho, zie boven, heel toevallig)
https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/

TrendMicro en Hacking Team zero day http://securityaffairs.co/wordpress/38469/cyber-crime/hacking-team-zero-day-korea-japan.html

Vaak geven de genoemde security-bedrijven hun producten als oplossing voor het tegengaan van de threat of ze kloppen zichzelf op de borst dat ze het gevonden hebben (Zie boven Kaspersky en Symantec)

Volgens mij missen de security-bedrijven hier iets. Je kunt nog net zoveel oplossingen aandragen, maar zolang werknemers (inclusief directie) onbekende emaillinks openen of gevonden USB-sticks in het netwerk prikken, blijft de cyberspionagemarkt een geliefde markt.

Geen security by fear/obscurity maar security-educatie (en naleving), daar ligt de oplossing.
Feedback op mijn mening is zeer welkom!



Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×