OPMERKELIJK – De Russische hackersgroep Advanced Persistent Threat, kortweg APT29, heeft een geavanceerde phishingcampagne opgezet waarbij Europese diplomatieke organisaties werden benaderd met valse uitnodigingen voor wijnproeverijen. De hackersgroep deed zich voor als een Europees ministerie van Buitenlandse Zaken.
Dit blijkt uit onderzoek van cybersecuritybedrijf Check Point Research. APT29, dat de aanvallen uitvoerde, staat ook wel bekend als Midnight Blizzard of Cozy Bear. De groep verstuurde e-mails waarin diplomaten werden uitgenodigd voor exclusieve wijnproeverijen. De operatie, met de naam Wineloader, is een vervolg op eerdere aanvallen met dezelfde methodiek en mikt specifiek op diplomatieke organisaties in heel Europa, waaronder ambassades van niet-Europese landen.
Wanneer ontvangers op de links in deze phishingmails klikken, worden ze ofwel doorgeleid naar de legitieme website van het geïmiteerde ministerie – wat een gevoel van betrouwbaarheid creëert – of wordt er heimelijk malware gedownload. Deze malware, door de onderzoekers dan weer Grapeloader genoemd, fungeert als een backdoor waarmee hackers toegang krijgen tot de getroffen systemen.
SolarWinds
De ontdekking van de campagne valt samen met toenemende spanningen tussen Europa en Rusland, en illustreert hoe cyberoperaties een integraal onderdeel zijn geworden van moderne geopolitieke conflicten. ‘We zien een steeds geavanceerdere aanpak bij deze aanvallen’, vertelt een woordvoerder van Check Point Research in het rapport. ‘APT29 maakt handig gebruik van sociale engineering door in te spelen op de diplomatieke werkomgeving waar uitnodigingen voor netwerkevenementen gebruikelijk zijn.’
APT29 staat bekend om het aanvallen van hooggeplaatste doelwitten en is in het verleden gelinkt aan spraakmakende cyberincidenten, waaronder de beruchte SolarWinds-aanval. Hun activiteiten variëren van gerichte phishingcampagnes tot grote aanvallen op de toeleveringsketen, waarbij meestal gebruik wordt gemaakt van verschillende soorten malware. Hackers verfijnen hun tactieken voortdurend.
Actief in diplomatie
De huidige campagne, die ongeveer een jaar na de vorige Wineloader-activiteiten werd ontdekt, toont aan dat de groep actief blijft in het Europese diplomatieke landschap. ‘Deze aanvallers zijn bijzonder geduldig’, aldus cybersecurity-experts. ‘Ze investeren veel tijd in het onderzoeken van hun doelwitten om overtuigende valse communicatie op te stellen.’
Europese diplomatieke instellingen zijn gewaarschuwd voor deze dreiging en geadviseerd extra waakzaam te zijn bij het ontvangen van uitnodigingen, zelfs als deze afkomstig lijken van bekende en vertrouwde bronnen. Cybersecurityexperts raden aan om altijd de authenticiteit van e-mails te verifiëren door rechtstreeks contact op te nemen met de vermeende afzender via officiële kanalen, vooral wanneer de e-mails links of bijlagen bevatten.
