Cyberspionagegroep Morpho nooit weggeweest

Symantec heeft een cyberspionagegroep ontdekt die al sinds maart 2012 actief is in Europa en Noord-Amerika. De groep, die door Symantec Morpho wordt genoemd, leek na 2012 te zijn verdwenen, maar volgens Symantec is de groep nog altijd actief. Morpho richt zich op het stelen van informatie om deze vervolgens te verkopen. Tot nu toe blijkt de groep 49 organisaties in twintig landen tot slachtoffer te hebben gemaakt. Details over mogelijke aanvallen op Nederlandse bedrijven zijn niet bekend bij Symantec.

Begin 2013 werd de cyberspionagegroep opgemerkt omdat techgiganten zoals Twitter, Facebook, Apple en Microsoft publiek aangaven aangevallen te zijn. De hackersgroep wordt door Symantec Morpho genoemd, maar de groep staat ook onder de namen Wild Neutron en Jripbot bekend. Hoewel de groep pas in 2013 publiciteit kreeg en daarna in de vergetelheid verdween, zijn ze volgens Symantec al sinds maart 2012 actief.

De hackers richten zich specifiek op grote organisaties om informatie te stelen en zijn volgens Symantec een stuk geavanceerder dan de gemiddelde hacker. De manier waarop de hackers te werk gaan is via zogenaamde stepping stones, oftewel door kleinere organisaties aan te vallen en deze infectie vervolgens te gebruiken om Amerikaanse en Europese hoofdkantoren te bereiken.

Voor deze aanvallen gebruikt de groep verschillende, intern ontwikkelde malware tools. Ze zetten voornamelijk twee typen Trojans in: OSX.Pintsized voor Mac OS X computers en Backdoor.Jiripbot voor Windows computers. Daarnaast wordt onder andere de hacking-tool Hacktool.Securetunnel ingezet om een command & control (c&c)-serveradres en -poort door te geven aan een besmette computer.

De hackers richten hun aanvallen binnen de grote organisatie op Microsoft Exchange of Lotus Domino email servers, op enterprise content management systemen en op specialist systemen.

Mogelijk Amerikaanse wortels

De technologiebedrijven die door Morpho zijn aangevallen, zijn voornamelijk gevestigd in Amerika. In Europa zijn voornamelijk grote farmaceutische bedrijven aangevallen door Morpho. Daarnaast denkt Symantec ook dat de hackers zelf in Amerika zijn gevestigd, omdat de c&c-serveractiviteit het hoogst is tijdens de Amerikaanse werktijden. Hoewel dit er ook op kan wijzen dat de meeste slachtoffers in Amerika zijn gevestigd. Daarnaast is de malware in vloeiend Engels gedocumenteerd. Ook zijn de hackers volgens Symantec bekend met de Engelssprekende popcultuur, omdat zij de term AYBABTU (All your base are belong to us) gebruiken als encryptiekey in hun Windows-Trojan. 

Verdienmodel Morpho

Symantec heeft een idee van het soort informatie dat is gestolen, zoals financiële gegevens, product beschrijvingen en juridische documenten. Echter wat er precies met deze documenten gebeurt, is niet bekend. Wel meent Symantec dat de hackersgroep geld verdient doordat zij bijvoorbeeld zijn ingehuurd door bedrijven om informatie van andere organisaties te stelen. Ook kunnen de hackers geld verdienen aan de gestolen data door deze te verkopen aan de hoogste bieder. Tot slot kan de informatie gebruikt worden voor interne verhandel-doeleinden.

Maatregelen

Volgens Symantec kunnen organisaties zichzelf het beste tegen deze hackergroepering beschermen door een combinatie van de volgende beveiligingstechnologieën te gebruiken:

• Gebruik de bestaande antimalware-oplossing volledig. Hiermee wordt bedoeld dat alle functionaliteiten moeten worden aangezet.
• Gebruik nieuwe Advanced Threat Protection (ATP)-technologieën
• Gebruik Cyber Security Services zodanig dat een gespecialiseerd bedrijf je omgeving monitort