Een tot nog toe onbekend cyberaanvalcollectief verzamelt illegaal informatie over het buitenlands en beveiligingsbeleid in Oost-Europa en de zuidelijke Kaukasus. De aanvallers van de Callisto Group gebruiken daarvoor spyware die voor overheden is ontwikkeld.
Het gaat om overheidsspyware van van het Italiaanse surveillancebedrijf HackingTeam. Deze Scout-tool was onderdeel van een spyware toolset. Het bedrijf verkocht dit aan overheidsinstanties. In 2015 bleek dat deze software was gestolen en online uitgelekt.
Callisto Group
Dit stelt F-Secure in een onlangs uitgebracht rapport. Volgens het bedrijf worden nog geen specifieke slachtoffers geïdentificeerd. Duidelijk is wel dat, dit collectief inlichtingen en veiligheid als het belangrijkste motief ziet.
Het rapport beschrijft deze Callisto Group als een zeer gemotiveerde en goed toegeruste bedreiging. ze voeren cyberaanvallen uit op militair personeel, overheidsdienaren, journalisten en denktanks. Dit gebeurt in elk geval sinds 2015.
Rusland
Het collectief blijkt banden te hebben met entiteiten in Rusland, Oekraïne en China. Wie er precies achter zit, blijft echter onduidelijk. Er zijn wel aanwijzingen dat het collectief banden heeft met een natiestaat. De aard van deze relatie blijft echter onduidelijk.
“Hun handelwijze lijkt erg op die van een natiestaat, maar er is ook bewijs dat er een verband is met een crimineel netwerk”, zegt F-Secure Security Adviseur Sean Sullivan. “Het kan dus een onafhankelijk collectief zijn dat wordt ingehuurd door regeringen om dit werk uit te voeren. Maar ze kunnen het evengoed op eigen houtje doen. Ze zouden dan de verkregen informatie verkopen aan een regering of een veiligheidsdienst.”
Zeer gerichte phishing
Het rapport geeft ook details vrij van de patronen van de aanvallen die de Callisto Group uitvoert. Ze maken gebruik van zeer gerichte phishing-aanvallen om persoonlijke gegevens omtrent e-mailaccounts te stelen. De groep gebruikt spear phishing e-mails, die in hoge mate gepersonaliseerd zijn. Deze spear phishing e-mails werden vaak verstuurd vanuit e-mailaccounts die bij een eerdere aanval waren gekraakt.
De malware die wordt ‘geleverd’ is ontwikkeld om informatie te stelen van hun doelen en om hen met nog meer malware te infecteren. Het rapport merkt op dat deze malware een variant is op de Scout-tool.
Deze malware is ontwikkeld door het Italiaanse surveillancebedrijf HackingTeam. Deze Scout-tool was onderdeel van een spyware toolset dat dit bedrijf verkocht aan overheidsinstanties. Dit was echter in 2015 gestolen en online uitgelekt.
Privacy schenden
Volgens F-Secure Chief Information Security Officer Erka Koivunen maakt de manier waarop de Callisto Group spyware van de overheid gebruikt pijnlijk duidelijk wat de gevaren zijn van surveillancetechnologieën. “Tools voor online toezicht en surveillance zijn van nature ontwikkeld om de privacy van mensen te schenden. In goed functionerende democratieën worden deze schendingen beperkt door wetgeving. Burgers kunnen ervan op aan dat de autoriteiten zorgvuldig te werk gaan. Daarbij is er sprake van verschillende controleslagen. Maar door datalekken en het uitlekken van professionele surveillancetools is het mogelijk deze technologie te misbruiken.”
Het schenden van de privacy behoort nu dus ook tot de uitrusting van verschillende internetcriminelen. “Dit zou overheden eraan moeten herinneren dat we geen monopolie hebben op deze technologieën,” stelt Koivunen. “Huurlingen, vijandige naties en andere bedreigende krachten zullen niet aarzelen om surveillancemogelijkheden tegen onszelf in te zetten.”
De groep is nog steeds actief, zo is in het rapport te lezen.
