Hoe is de Democratische partij gehacked?

Zitten de Russen er echt achter? En waarom is dit belangrijk voor jouw organisatie.

Grizzly Steppe

Op 29 december 2016 heeft de Amerikaanse overheid een rapport (Grizzly Steppe) vrijgegeven dat moet bewijzen dat de Russen achter de hacks van de Democratische partij zitten.

Wij zijn met behulp van onze technologische partners op onderzoek getrokken hoe de Democratische partij juist gehacked werd en we onderzochten of er effectief bewijs is dat de Russen erachter zitten.

We proberen hiermee mensen bewust te maken hoe hacking verloopt, en zoals je zal lezen, is het eenvoudiger dan je denkt. Als je niet voorzichtig bent, kan jouw organisatie hier ook het slachtoffer van worden.

Stap 1: Spear Phishing

De hackers hebben een eenvoudige maar efficiënte manier gebruikt om binnen te geraken in het systeem van de Democratische partij. Ze hebben namelijk een vervalste email verzonden naar verschillende werknemers van de Democratische partij, met daarin een link naar een nagemaakte webpagina. Deze webpagina ziet er net hetzelfde uit als de webmail loginpagina van deze werknemers. De domeinnaam zal slechts licht verschillen van de legitieme domeinnaam, waardoor verschillende gebruikers niet doorhebben dat ze hun email adres en hun wachtwoord invullen op de website van de hackers. Deze techniek heet Spear Phishing. Bron.

Hierdoor hebben de hackers één of meerdere email adressen en hun bijhorende wachtwoord. Met deze gegevens kunnen ze binnen geraken op de systemen van de Democratische partij.

Stap 2: Malware

Eénmaal de hackers binnen geraakt waren op de systemen van de Democratische partij, hebben ze malware geïnstalleerd om zo op afstand de computers te doorzoeken en bestanden door te sturen.

Deze malware is specifiek ontwikkeld om onder de radar te blijven en om efficiënt bestanden te doorzoeken en door te sturen. De malware is een ‘toolbox’ om vanop afstand allerlei taken uit te voeren op de geïnfecteerde systemen zonder ontdekt te worden. Moesten de hackers telkens inloggen met de gestolen inlog gegevens uit stap 1, dan zouden ze snel ontdekt en geblokkeerd kunnen worden.

Wie zit er achter de hack?

Om te bewijzen dat de Russen achter de hacking zitten, heeft de FBI en het Department for Homeland Security (DHS) in het Grizzly Steppe rapport delen van de malware code vrijgegeven.

Het beveiligingsbedrijf Wordfence heeft het stukje code van de malware geanaliseerd en is tot heel interessante conclusies gekomen. Ze hebben namelijk het stukje vrijgegeven code vergeleken met hun zeer uitgebreide databank van malware die gebruikt wordt om WordPress websites aan te vallen. Bron.

Ze zijn er achter gekomen dat ongeveer dezelfde code is gebruikt werd in eerdere aanvallen op websites. Het nadeel was dat deze code gedeeltelijk geëncrypteerd was. Ze hebben echter het wachtwoord van een hacker kunnen onderscheppen waardoor ze de code konden decrypten.

Met de ontcijferde code zijn ze op zoek gegaan naar de auteur van de malware en dit blijkt malware te zijn die in Oekraïne ontwikkeld is. Zie screenshot hierlangs.

Het is echter opvallend dat de code die de FBI/DHS vrijgeeft, dat de versie van de malware ouder is dan de huidige versie. De hackers hebben dus een verouderde versie van de malware tool gebruikt.

De bovenstaande analyse is dus zeker geen bewijs dat de Russen de Democratise partij gehacked hebben. In principe kan iedereen deze malware gratis downloaden en een Spear Phishing campagne opzetten.

De opmerking van Donald Trump is dus niet volledig uit de lucht gegrepen (zie tweet hierlangs). In principe kan een technische vaardige 14 jarige het bovenstaande uitvoeren.

Screenshot malware ontwikkeld in Oekraïne

Zijn het de Russen?

Er zijn echter twee manieren om hier naar te kijken:

  • Als de hackers echt door de Russische overheid zijn gestuurd, zijn ze natuurlijk slim om malware te gebruiken die verwijst naar Oekraïne en die in principe door iedereen gebruikt kan worden. Op deze manier zorg je ervoor dat er geen sporen leiden naar de dader.
  • Je zou kunnen verwachten dat de Russische inlichtingen diensten met geavanceerde hacking tools werken en daarom is het gek dat vrij beschikbare en verouderde malware gebruikt wordt.

Dieper graven

In het rapport van de FBI/DHS staat dat er twee hacking groepen op verschillende momenten de Democratische partij gehacked hebben. Deze worden APT28 en APT29 oftewel FANCY BEAR en COZY BEAR genoemd.

Opvallend is echter dat beide groepen een vergelijkbare strategie hebben gevolgd om malware te installeren op de servers van de Democratische partij maar dat ze beide aanvallen toch volledig los van elkaar hebben uitgevoerd.

Uit een analyse van Crowdstrike blijkt echter dat Russische inlichtingendiensten zeer gefragmenteerd werken. Ze gaan er dus vanuit dat de FSB (vroegere KGB, binnenlandse inlichtingen) de GRU (militaire inlichtingen) of de SRV (buitenlandse inlichtingen) onafhankelijk van elkaar aanvallen hebben uitgevoerd. Bron.

In het rapport zelf staat er echter geen duidelijk bewijs dat dit effectief het geval is.

Met andere woorden: ofwel hebben de Amerikanen geen sluitend bewijs dat de Russen de Democratische partij effectief gehacked hebben en worden er spelletjes op hoog niveau gespeeld ofwel hebben ze wel degelijk bewijs maar zijn de methodes om dit bewijs te bekomen geheim waardoor ze dit niet kunnen delen.

Wat houdt dit in voor jouw organisatie

Uit deze analyse blijkt dat een grote en belangrijke organisatie zoals de Democratische partij eenvoudig gehacked kan worden door het versturen van een vervalste email met vervalste loginpagina’s en gratis malware.

Het is dus uitermate belangrijk dat de systemen van jouw organisatie regelmatig nagekeken worden op malware maar ook dat de werknemers van je organisatie bewust gemaakt worden van spearphising en de gevolgen daarvan.

Vergeet niet dat Belgacom enkele jaren geleden jaren lang malware heeft gehad die informatie doorspeelde naar de Britse geheime diensten. Dit is in zekere zin een vergelijkbare case. Uitleg case.

Bij vragen, contacteer ons gerust via flux.be of info@flux.be