De kronieken van Hellsing: een Spy vs Spy verhaal

Utrecht, 15 april 2015 – Kaspersky Lab heeft een zeldzaam en ongebruikelijk voorbeeld geregistreerd van onderlinge aanvallen door cybercriminelen. In 2014 was Hellsing, een kleine en technisch onopvallende cyberspionagegroep die zich meestal richt op overheids- en diplomatieke organisaties in Azië, zelf het doelwit van een speer-phishing aanval door een andere dreigingsactor, waarna de groep besloot terug te slaan. Kaspersky Lab is van mening dat dit het begin kan zijn van een nieuwe trend in criminele cyberactiviteit: APT-oorlogen.

De ontdekking werd gedaan door deskundigen van Kaspersky Lab, tijdens onderzoek naar de activiteiten van Naikon, een cyberspionagegroep die zich eveneens richt op organisaties in de regio Azië-Pacific. De deskundigen merkten op dat een van de Naikon-doelen de besmettingspoging van hun systemen, via een speer-phishing e-mail met een schadelijke bijlage, had ontdekt.

Het doelwit onderzocht de authenticiteit van de e-mail’s afzender en besloot, kennelijk ontevreden met het resultaat, de bijlage niet te openen. Kort daarna stuurde het doelwit een e-mail door naar de afzender, met daarin eigen malware. Deze stap was de aanleiding voor onderzoek door Kaspersky Lab en leidde tot de ontdekking van de Hellsing APT-groep.

De methodiek van de tegenaanval geeft aan dat Hellsing de Naikon-groep wilde identificeren en inlichtingen over hen wilde inwinnen.

Meer diepgaande analyse van de Hellsing dreigingsactor door Kaspersky Lab onthult een spoor van spear-phishing e-mails met schadelijke bijlagen, ontworpen om spionagemalware te verspreiden onder verschillende organisaties. Als slachtoffers de schadelijke bijlage openen, raakt hun systeem besmet met een speciale backdoor die bestanden kan downloaden en uploaden, en zichzelf kan updaten en verwijderen. Volgens waarnemingen van Kaspersky Lab waren bijna 20 organisaties doelwit van Hellsing.

Hellsing doelen
Het bedrijf detecteerde en blokkeerde Hellsing-malware in Maleisië, de Filipijnen, India, Indonesië en de VS; de meeste slachtoffers bevonden zich in Maleisië en de Filipijnen. De aanvallers zijn ook zeer selectief wat betreft de aard van de organisaties waarop men zich richt, en proberen vooral overheids- en diplomatieke entiteiten te infecteren.

“Het feit dat Hellsing zich in een soort van wraakzuchtige vampierenjacht in “Empire Strikes Back” stijl op de Naikon-groep richt, is fascinerend. In het verleden hebben we gezien dat APT-groepen elkaar per abuis aanvielen na het stelen van adresboeken van slachtoffers, waarna een massa-mail werd gestuurd naar alle adressen op de lijst. Gezien de gerichtheid en de oorsprong van de aanval lijkt het echter aannemelijker dat we nu te maken hebben met een weloverwogen APT-tegen-APT aanval”, zegt Costin Raiu, directeur van het Global Research and Analysis Team bij Kaspersky Lab.

Volgens Kaspersky Labs analyse is de Hellsing dreigingsactor ten minste sinds 2012 actief en blijft deze ook nu nog actief.

Beveiliging
Als beveiliging tegen Hellsing-aanvallen adviseert Kaspersky Lab de volgende minimale best practice veiligheidsmaatregelen:

• Open geen verdachte bijlages van afzenders die u niet kent.
• Pas op voor wachtwoordbeveiligde archieven met daarin .scr- of andere uitvoerbare bestanden.
• Probeer bijlagen bij twijfel te openen in een sandbox.
• Zorg ervoor dat u een modern besturingssysteem hebt geïnstalleerd, inclusief alle patches.
• Update alle toepassingen van derden, zoals Microsoft Office, Java, Adobe Flash Player en Adobe Reader.

Kaspersky Lab-producten detecteren en blokkeren met succes de zowel door Hellsing als Naikon actors gebruikte malware.