Fancy Bear, Lazarus Group en Shadow Brokers: Dit zijn de hackers van het moment

De afgelopen jaren komt het steeds vaker in het nieuws: een bedrijf of overheid is gehackt. Er is data gestolen, de computers zijn gegijzeld of er is een DDoS-aanval uitgevoerd. Maar wie zitten er nu eigenlijk achter die hacks? Wie zijn er verantwoordelijk voor de aanvallen op Sony, of recenter: de grootste ransomware-aanval ooit?

Disclaimer: Er zijn diverse kleinere groeperingen en individuele hackers met veel minder bekendheid. Bij deze lijst kijk ik vooral naar de groepen die grote aanvallen op hun naam hebben staan. De lijst is dus niet compleet en zal dat waarschijnlijk ook nooit worden, aangezien er ook hackers zijn die onbekend weten te blijven.

Fancy Bear (APT28)

Fancy Bear is op dit moment misschien wel een van de bekendste hackersgroeperingen. De groep staat echter bekend onder verschillende namen, waaronder APT28, Pawn Storm en STRONTIUM.

Hun bekendheid komt van flink wat grote hacks die ze in de afgelopen jaren hebben uitgevoerd. De groep valt regelmatig overheden, legers en beveiligingsorganisaties aan. Er wordt bijvoorbeeld vermoed dat ze het Duitse parlement, de Franse omroep TV5Monde, het Witte Huis, de NATO en de campagne van de nieuw-herkozen Franse president Macron hebben aangevallen. Bij Macron stalen ze e-mails, TV5Monde werd overgenomen en platgelegd. En dat zijn slechts een paar van hun aanvallen.

Ook wordt Fancy Bear er van verdacht samen te werken met de Russische overheid. Ze zouden presidentskandidaten waar Rusland een voorkeur voor zou hebben aan winst helpen. Zo zouden ze de e-mails van Hillary Clinton hebben gelekt, zodat Trump zou winnen tijdens de presidentsverkiezingen in Amerika. De FBI onderzoekt dit nu, omdat het kamp van Trump zou hebben samengewerkt met Rusland.

Nadeel is natuurlijk dat niets te bewijzen is en dat een overheid als Rusland nooit zal toegeven dat ze met hackers werken. Dit geldt eigenlijk voor alle hackergroeperingen, tenzij ze zelf toegeven dat ze ergens achter zitten. Maar in veel gevallen weten we het bijna zeker, maar kunnen we het alleen niet bewijzen.

Lazarus Group

Ook de Lazarus Group is tegenwoordig vrij bekend, al is er vrij weinig bekend over de groep. Diverse onderzoekers hebben in het afgelopen decennium echter diverse hacks op hun naam kunnen zetten.

De eerste van die aanvallen kennen we onder de naam Operation Troy. Die aanval bestond uit DDoS-aanvallen op de overheid van Zuid-Korea. De meeste beveiligingsexperts en hackers zien een DDoS-aanval echter niet als een hack, maar meer als kinderspel.

Toch hebben ze wel een ‘echte hack’ op hun naam staan: de aanval op Sony Pictures in 2014. Daarbij werden geheime documenten gestolen, die online werden geplaatst door een groep. Reden was de film The Interview die Sony toen had gemaakt, waarin de moord op de Noord-Koreaanse leider Kim Jong-Un werd beraamd. De Lazarus Group is waarschijnlijk een Noord-Koreaanse groepering, en die vonden de film blijkbaar niet zo grappig.

Ook viel de groep een aantal banken aan in 2016, waaronder de Bangladesh bank. Daarbij stolen ze 81 miljoen dollar. Nog recenter is de WannaCry-aanval van het afgelopen weekend. Vandaag werd bekend dat er sporen van de groep werden gevonden in de code van de ransomware. Het is echter nog te vroeg om te zeggen of zij ook echt achter de aanval zitten.

Shadow Brokers

De Shadow Brokers hebben een aanval op hun naam staan die niet meer dan indrukwekkend te noemen is. Ze drongen de NSA binnen en stalen een aantal gevoelige documenten. In die documenten zaten ook kwetsbaarheden die de NSA verzameld heeft van andere software en bedrijven. Bijvoorbeeld een kwetsbaarheid in Windows, die gebruikt werd voor de eerder genoemde WannaCry-aanval.

Opvallend is echter dat in oktober bekend werd dat een voormalig NSA-medewerker was opgepakt door de FBI. Hij zou spionagesoftware hebben gestolen, en die software komt overeen met de tools die de Shadow Brokers online te koop aanboden. De man werd natuurlijk direct gekoppeld aan de groep, maar de Shadow Brokers zijn nog steeds actief. In april dumpte ze nog meer tools op het internet.

Het lijkt er dus op dat deze man niet als enige achter de Shadow Brokers zit, maar hij kan zeker wel met hen samenwerken. De advocaten van de man zeggen dat hij de documenten niet gedeeld heeft met anderen.

Dat suggereert dat deze NSA-medewerker niet als individu achter het pseudoniem Shadow Brokers zit, hoewel een verband niet uitgesloten is. De advocaten van de man zeggen dat hij de documenten niet heeft gedeeld met anderen.

The Dark Overlord

The Dark Overlord is bekend vanwege een enkele hack: hij viel Netflix aan en stal in ieder geval het nieuwe seizoen van Orange is the New Black. Hij wilde geld van Netflix en als ze niet zouden betalen, zou hij het seizoen op internet plaatsen. Om te bewijzen dat het menens was, plaatste hij vast een aflevering.

Natuurlijk betaalde Netflix niet en kwam het seizoen online. Inmiddels zegt de hacker, of hackers, dat hij nog eens 36 titels van diverse bedrijven in handen heeft. Daaronder vallen New Girl, It’s Always Sunny in Philadelphia, Portlandia en meer. Vrijwel alle bedrijven reageren niet op de chantage. Netflix heeft wel gezegd de autoriteiten te hebben ingeschakeld tegen de hacker.

LulzSec

LulzSec werd in 2011 bekend dankzij een serie aanvallen op diverse bekende doelwitten. Daaronder vielen het PlayStation Network van Sony en websites van de Amerikaanse Senaat. Verder claimde deze groep de verantwoordelijkheid voor het offline halen van de CIA.

Volgens een aantal beveiligingsexperts trekt LulzSec vooral aandacht naar onveilige systemen en het gevaar van wachtwoorden herbruiken. Maar op 26 juni 2011 liet de groep weten er mee op te houden. Ze zouden nog vijftig dagen actief blijven, en daarna voorgoed stoppen. Ook bevestigden ze toen dat het team bestaat uit zes leden. Tijdens die laatste vijftig dagen plaatsten ze data online, waaronder wachtwoorden en accounts van verschillende websites.

Ondanks die aankondiging bleek LulzSec toch door te gaan. Zo vielen ze kranten die onder de News Corporation aan en plaatsten ze er valse berichten in over de dood van eigenaar Rupert Murdoch. Hij lag toen onder vuur omdat zijn media telefoons van bekendheden hackten.

Ook hielp LulzSec met de oprichting van Operation AntiSec, een samenwerking tussen deze groep, Anonymous en diverse andere hackers. Deze groep was vooral in 2011 en 2012 actief. Toen hackten ze onder meer de Arizona Department of Public Safety en websites van de Braziliaanse overheid.

Bureau 121

Bureau 121 is ook een groep uit Noord-Korea. Sterker nog: het is dé afdeling van het land die deelneemt aan de digitale oorlog. Volgens diverse berichten zou de eerder genoemde Lazarus Group hier een onderdeel van zijn, maar dat is nooit bevestigd.

Over Bureau 121 is niet heel veel bekend. Wel worden ze er van beschuldigd diverse netwerkinfrastructuren in andere landen te hebben binnengedrongen. Volgens sommigen zit deze groep ook achter de hack bij Sony in 2014, maar veel meer zeggen dat de schuld bij de Lazarus Group ligt.

De voornaamste doelen van Bureau 121, dat in 1998 werd opgericht, zijn Zuid-Korea, Japan en de Verenigde Staten.

Anonymous

Anonymous is ongetwijfeld de bekendste groep van deze lijst. De groep begon in 2003 op de website 4Chan en werden bekend dankzij onder meer het dragen van Guy Fawkes-maskers, die je ook in de film V for Vendetta terugziet. Leden van Anonymous zetten zichzelf neer als hacktivisten; activisten die hun doel bereiken of punt maken door te hacken.

Onder veel experts wordt Anonymous echter niet snel in hetzelfde rijtje gezet als de voorgaande groepen. Deze mensen hacken vooral websites en voeren veel DDoS-aanvallen uit. Dat laatste wordt door velen niet beschouwd als hacken.

Daarnaast is er het probleem dat niemand weet wie er achter deze groep zitten, waardoor vrijwel iedereen zich kan voordoen als een onderdeel van de groep. Nu is dat bij andere hackersgroepen ook het geval, maar Anonymous claimt met enige regelmaat aanvallen. Aanvallen die later – na onderzoek – door een ander te zijn uitgevoerd.

Wel weten we dat Anonymous de kerk van Scientology heeft aangevallen en protesteerde tegen verschillende voorgestelde wetgevingen en samenwerkingen met betrekking tot privacy en copyright. Daarnaast maakt Anonymous zich hard tegen IS en kinderpornowebsites.

Hoewel niemand echt weet wie er achter Anonymous zit, zijn er tientallen arrestaties geweest. Verdachten uit de Verenigde Staten, Groot-Brittannië, Australië, Spanje, India, Turkije en ook Nederland zouden mee hebben geholpen aan aanvallen van Anonymous.