Russische malware spioneert bij Europese instellingen

De laatste zes jaar is er malware actief die het gemunt heeft op onder andere Europese instanties. De malwarecampagne, die de naam APT28 (Advanced Persistent Threat 28) krijgt, is volgens beveiligingsfirma FireEye afkomstig uit Rusland.

Met APT28 vielen hackers onder meer instellingen in Georgië en Oost-Europa aan en ook Europese beveiligingsinstanties werden het slachtoffer van de cyberaanvallen. Ook een netwerk van het Witte Huis zou onder vuur zijn genomen door cyberspionnen.

Doel van APT28 was het buitmaken van gevoelige militaire en beveiligingsinformatie, zowel van officiële instanties als privébedrijven. De campagne is actief sinds 2007 en maakt gebruik van phishingmails en –websites met daarin schadelijke software verstopt.

[related_article id=”161920″]

FireEye analyseerde verschillende malwarestalen gelinkt aan APT28 en wijst nu met een beschuldigende vinger naar de Russische overheid. Meer dan de helft van de samples zou de Russische taal bevatten en een aanzienlijk deel van de malware lijkt gecompileerd in een Russische programmeeromgeving. Die bevindingen op zich wijzen wel naar Rusland, maar niet meteen naar de overheid. Een andere ontdekking van FireEye maakt de zaak een stuk verdachter.

Kantooruren
Meer dan 96 procent van de APT28-malware bleek immers samengesteld op een weekdag tijdens de kantooruren: 8 uur ’s ochtends en 6 uur ’s avonds in Moskou-tijd. Officieuze cybercriminelen houden zich doorgaans minder aan de werkuren. Bovendien maakt de APT28-campagne vooral informatie buit die nuttig is voor een overheid, in tegenstelling tot Chinese malware die vaak economische informatie verzamelt waar bedrijven iets aan kunnen hebben.

Natuurlijk blijft al het bewijsmateriaal indirect en moeten we niet meteen een toegeving van Putins kant verwachten. De man neemt het dezer dagen sowieso al niet te nauw met internationaal recht en niemand staat er echt van de kijken dat ook de Russen zich bezighouden met cyberspionage.