De Russische e-kraakgroep die, naar de Amerikanen menen, wordt gesteund door het Kremlin en aangeduid wordt met ‘zandworm‘ zou verantwoordelijk zijn voor enkele van de ingrijpendste webaanvallen tot nu toe, zoals die op de Oekraïense energievoorziening en de NotPetya-aanval, die tot nu toe financieel de schadelijkste is geweest. Volgens Google hebben verschillende acties van de ‘zandwormen’ in de afgelopen jaren minder aandacht getrokken. Ten onrechte, vinden ze.

Op de CyberWarconferentie te Arlington (VS) hebben twee onderzoekers van Google, Neel Mehta en Billy Leonard, nieuwe feiten onthuld over de activiteiten van de groep sedert 2017. De doelen zouden, onder meer, de Franse verkiezingen en de Olympische Spelen in 2018 geweest zijn, maar ook Androidtelefoons. De Google-onderzoekers willen de aandacht vestigen op de onopgemerkte acties van de Russische zandworm-krakers. Die lijken veel minder de aandacht te trekken dan de, naar wordt aangenomen ook Russische, groep die doorgaat onder de namen APT28 en Fancy Bear. Beide groepen zouden onderdeel vormen van of ten minste gesteund worden de Russische militaire veiligheidsdienst GROe.
“Sandworm is al lang effectief en veroorzaakt aanzienlijke schade, maar ze hebben ook langlopende acties die uit het zicht blijven.” Zoals dus die besmetting van Androidtelefoons.

Android

Google begon in 2017 met het onderzoeken van een grootschalige besmetting van Androidtelefoons door kwalijke progjes. Eind 2017 vonden Mehta en Leonard dat de groep ook kwalijke Androidversies van Koreaanse toeps maakte. Die waren zelfs in Googles winkel te vinden, maar werden, uiteraard, daar snel uit verwijderd.
Niet veel later bleek een Oekraïens berichtenapp te zijn besmet (ook op Google Play te vinden). “Leonard: “Dat was het eerste uitstapje naar Android. De groep gebruikt Oekraïne graag als proefveld.”
Volgens de onderzoekers werden niet meer dan duizend Androidtelefoons besmet. Ze weten niet wat die besmette toepassing moest doen. Waarschijnlijk was de besmette app een ‘meerplaats’ voor andere kwalijke toeps, denken ze.

In oktober en november 2018 zouden de ‘zandwormen’ een wat intelligentere poging hebben gedaan om Androidtelefoons aan te vallen. Deze keer gingen ze ook ‘vissen’ bij ontwikkelaars, veelal in Oekraïne. In een geval zouden ze met succes een ontwikkelaar van een geschiedenistoepassing hebben gedwongen kwalijke code mee te sturen in een nieuwe versie van de app. Er zouden geen toestellen zijn besmet omdat de kwalijke code op tijd werd ontdekt.

Volgens de onderzoekers hebben de kwalijke progjes van de kraakgroep overeenkomsten met die van Hacking-Team, anders dan Sandworm een officieel bedrijf. Het is best mogelijk dat dat een afleidingsmanoeuvre van de krakers is.

Franse presidentsverkiezingen

Volgens de onderzoekers zijn zowel Sandworm als APT28 verantwoordelijk voor de aanval in de aanloop naar de Franse presidentsverkiezingen. APT28 zou het op de campagne van Macron hebben gemunt en Sandworm zou het in april 2017 hebben overgenomen door via de hengelmethode verkregen campagneberichten te lekken.

De onderzoekers keken ook naar de campagne waarbij Russen in de lente en zomer van 2018 het doelwit waren. Het ging daarbij onder meer om autoverkopers, makelaars en financiële organisaties. Dat zou ook door ‘zandwormen’ zijn gedaan. Waarom ze dat deden is, ook hier weer, de vraag. Beetje pesten?
Ondertussen blijven de krakers de geliefde vijand bestoken: Oekraïne. De ‘zandwormen’ gingen eind 2018 in de aanval en die aanvallen lopen nog steeds. Slachtoffers zij webstekken van religieuze organisaties, de overheid en media. Ook hier is niet echt duidelijk wat daar nu de bedoeling van is, maar de Google-onderzoekers denken dat het loont om waakzaam te blijven.

Bron: Wired