Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 13 augustus 2024

'Mogelijke Iraanse cyberaanvallen rond Amerikaanse verkiezingen onderzocht door FBI'

De Amerikaanse FBI onderzoekt pogingen tot cyberinbraken op accounts gerelateerd aan de verkiezingscampagnes van zittend president Joe Biden en verkiezingskandidaten Kamala Harris en Donald Trump. De FBI vermoedt dat Iran achter de aanvallen zit.

Security Data protection
'Mogelijke Iraanse cyberaanvallen rond Amerikaanse verkiezingen onderzocht door FBI' image

Dit melden CNN en The Washington Post op basis van bronnen. De onderzoeken zouden al sinds juni lopen nadat drie medewerkers van de Democratische Partij phishingmails ontvingen. De aanvallers zouden er niet in zijn geslaagd toegang te verkrijgen tot accounts. Ook de Republikeinse Partij zou doelwit zijn geweest. Aanvallers zouden hier meer succes hebben gehad en onder meer toegang hebben weten te krijgen tot het persoonlijke e-mailaccount van Roger Stone. Stone is een prominente Republikein en een vertrouwelijk van Trump.

De FBI laat in het midden wie er achter de aanval zit. CNN meldt echter op basis van een bron dat de gebruikte tactieken overeenkomen met die van Iraanse hackers. Iran ontkent de beschuldigingen.

'Overeenkomsten met campagnes van TA453'

“Vandaag melden diverse media, waaronder de NOS en de Volkskrant, dat de FBI mogelijke hackpogingen op de campagneteams van de Amerikaanse verkiezingen onderzoekt. Cybersecurity bedrijf Proofpoint heeft geen zicht op de activiteiten die invloed hebben op de campagne van Trump, net als de activiteit die Microsoft meldt en toeschrijft aan de hackersgroep ‘Mint Sandstorm’. Wel komt de activiteit overeen met typische TA453-campagnes, die overlappen met ‘Mint Sandstorm’, ook bekend als ‘Charming Kitten’. Dit is wat Joshua Miller, Senior Threat Researcher bij Proofpoint, erover zegt.

TA453 staat bekend om het versturen van phishing e-mails met links naar inloggegevens en maakt hierbij vaak misbruik van merken zoals Yahoo, LinkedIn en Microsoft. De groep gebruikt verschillende methoden, ook wel aanvalsvectoren genoemd, in phishingmails. Voorbeelden hiervan zijn:

  • zich voordoen als journalist en/of academicus;
  • het nabootsen van Gmail- of Google Drive-sites;
  • doen alsof ze een non-profitorganisatie zijn;
  • neppe socialmedia-accounts aanmaken;
  • opzetten van valse domeinen (‘typo squatting’).

TA453 past, net als andere cyberdreigingen voor geavanceerde aanhoudende dreigingen die zich bezighouden met spionage, continu zijn tools, tactieken en technieken (TTP’s) en doelwitten aan. Daarnaast past de hackersgroep zijn aanpak waarschijnlijk aan in reactie op steeds veranderende en groter wordende prioriteiten. De campagnes van TA453 gaan hoogstwaarschijnlijk door. Ook reflecteren ze de vereisten voor het verzamelen van inlichting door de IRG (Islamitische Revolutionaire Garde), zoals mogelijke steun rondom vijandige operaties.

Ondersteuning van Iraanse Revolutionaire Garde

Cybersecurity bedrijf Proofpoint heeft een sterk vermoeden dat de hackersgroep opdrachten uitvoert ter ondersteuning van Iraanse Revolutionaire Garde (IRGC), specifiek de IRGC Inlichtingen Organisatie (IRGC-IO). Dit baseren ze op diverse bewijzen, zoals een overlapping in de nummering van eenheden tussen rapporten over Charming Kitten en de IRGC-eenheden, zoals PWC identificeerde, de aanklacht van het Amerikaanse Ministerie van Justitie tegen Monica Witt, aan IRGC-gelieerde hackers en een analyse over de doelen van TA453 waarbij IRCG-IO prioriteiten werden gerapporteerd.

TA453 toont consequent aan dat het de inhoud van typische inlichtingsdoelen mailboxen wil verzamelen en exfiltreren. Denk hierbij aan de inboxen van de Iraanse overheid, beleidsanalysen en onderwijzers. Verder stelt het cybersecuritybedrijf vast dat de hackersgroep zich richt op huidige en voormalige Amerikaanse functionarissen en vertegenwoordigers van campagnes van Amerikaanse politici. Zo richtten uitzonderlijke campagnes zich onder andere op deskundigen op het gebied van medisch onderzoek.

Journalisten of kranten als dekmantel gebruikt

Meerdere aan Iran gelinkte APT-actoren, zoals TA453, gebruiken journalisten of kranten als dekmantel tijdens het in de gaten houden van hun doelwitten en het verzamelen van referenties. TA453 doet zich vaak voor als journalisten van over heel de wereld. Het gebruikt deze dekmantel voor het voeren van ‘vriendelijke’ gesprekken met doelwitten, zoals academici en beleidsdeskundigen die werken aan buitenlandse zaken in het Midden-Oosten.”

TA453 is op dit moment actief in lopende phishing-campagnes.

Dutch IT Security Day BW tm 15-10-2024 DIC Awards BW tm 21-10-2024

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events
DIC Awards BN tm 21-10-2024

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.