Cyberhacks Amerikaanse verkiezingen komen overeen met acties bekende hackgroep

“Vandaag melden diverse media, waaronder de NOS en de Volkskrant, dat de FBI mogelijke hackpogingen op de campagneteams van de Amerikaanse verkiezingen onderzoekt. Cybersecurity bedrijf Proofpoint heeft geen zicht op de activiteiten die invloed hebben op de campagne van Trump, net als de activiteit die Microsoft meldt en toeschrijft aan de hackersgroep ‘Mint Sandstorm’. Wel komt de activiteit overeen met typische TA453-campagnes, die overlappen met ‘Mint Sandstorm’, ook bekend als ‘Charming Kitten’. Dit is wat Joshua Miller, Senior Threat Researcher bij Proofpoint, erover zegt.

TA453 staat bekend om het versturen van phishing e-mails met links naar inloggegevens en maakt hierbij vaak misbruik van merken zoals Yahoo, LinkedIn en Microsoft. De groep gebruikt verschillende methoden, ook wel aanvalsvectoren genoemd, in phishingmails. Voorbeelden hiervan zijn:

zich voordoen als journalist en/of academicus;
het nabootsen van Gmail- of Google Drive-sites;
doen alsof ze een non-profitorganisatie zijn;
neppe socialmedia-accounts aanmaken;
opzetten van valse domeinen (‘typo squatting’).
TA453 past, net als andere cyberdreigingen voor geavanceerde aanhoudende dreigingen die zich bezighouden met spionage, continu zijn tools, tactieken en technieken (TTP’s) en doelwitten aan. Daarnaast past de hackersgroep zijn aanpak waarschijnlijk aan in reactie op steeds veranderende en groter wordende prioriteiten. De campagnes van TA453 gaan hoogstwaarschijnlijk door. Ook reflecteren ze de vereisten voor het verzamelen van inlichting door de IRG (Islamitische Revolutionaire Garde), zoals mogelijke steun rondom vijandige operaties.

Cybersecurity bedrijf Proofpoint heeft een sterk vermoeden dat de hackersgroep opdrachten uitvoert ter ondersteuning van IRGC, specifiek de IRGC Inlichtingen Organisatie (IRGC-IO). Dit baseren ze op diverse bewijzen, zoals een overlapping in de nummering van eenheden tussen rapporten over Charming Kitten en de IRGC-eenheden, zoals PWC identificeerde, de aanklacht van het Amerikaanse Ministerie van Justitie tegen Monica Witt, aan IRGC-gelieerde hackers en een analyse over de doelen van TA453 waarbij IRCG-IO prioriteiten werden gerapporteerd.

TA453 toont consequent aan dat het de inhoud van typische inlichtingsdoelen mailboxen wil verzamelen en exfiltreren. Denk hierbij aan de inboxen van de Iraanse overheid, beleidsanalysen en onderwijzers. Verder stelt het cybersecuritybedrijf vast dat de hackersgroep zich richt op huidige en voormalige Amerikaanse functionarissen en vertegenwoordigers van campagnes van Amerikaanse politici. Zo richtten uitzonderlijke campagnes zich onder andere op deskundigen op het gebied van medisch onderzoek.

Meerdere aan Iran gelinkte APT-actoren, zoals TA453, gebruiken journalisten of kranten als dekmantel tijdens het in de gaten houden van hun doelwitten en het verzamelen van referenties. TA453 doet zich vaak voor als journalisten van over heel de wereld. Het gebruikt deze dekmantel voor het voeren van ‘vriendelijke’ gesprekken met doelwitten, zoals academici en beleidsdeskundigen die werken aan buitenlandse zaken in het Midden-Oosten.”

TA453 is op dit moment actief in lopende phishing-campagnes.