Een hacker hackte de gegevens van een overheidshacker en gaf Motherboard de data

Eerder deze maand publiceerde Kaspersky een onderzoek over de ZooPark-groep. Deze hackersgroep had een campagne gericht op politieke organisaties, activisten en andere doelen in het Midden-Oosten, en gebruikte legitieme websites om Android-apparaten te infecteren. Hierdoor lijkt ZooPark door een natie gesteund te worden, zo viel in het onderzoek te lezen.

Maar uit nieuwe informatie die aan Motherboard beschikbaar is gesteld, blijkt nu dat de Zoopark-groep op hun beurt weer gehackt is door een ander hacker. De hacker heeft ironisch genoeg een cache met gegevens gestolen die de overheidshackers van hun eigen bevolking hadden gestolen.

Dit nieuws laat niet alleen zien hoe iemand een langdurige en doelgerichte cyberaanval uitvoert op een doelwit – een zogenoemde Advanced Persistent Threat (APT) – het geeft bovendien een uniek kijkje achter de schermen van een cybercampagne van een overheid.

“Tien minuten werk; inlichtingen over Iraanse APT’s,” vertelde de anonieme hacker aan Motherboard in een online chat, waarmee hij ook meteen beweerde te weten welke natie mogelijk aan de hackgroep is gekoppeld. Sommige cybersecurity-experts bevestigen dit voorlopig. Maar Kaspersky, die eerder deze maand als eerste over de hackers berichtte, vertelde aan Motherboard dat de groep op dit moment nog niet gelinkt kan worden aan een bekende actor.

De gestolen gegevens die de hacker aan Motherboard heeft verstrekt, zijn echter opmerkelijk. De gegevens bevatten sms-berichten, e-mails en GPS-locaties, die door de tools van ZooPark lijken te zijn verzameld. En er zijn blijkbaar ook audio-opnamen van pratende mensen gemaakt door de malware. De hacker zei dat ze tijdens deze actie een andere gerelateerde server vonden die in Teheran in Iran werd gehost.

De hacker heeft ingebroken in een specifieke ZooPark-server die in het onderzoek van Kaspersky werd vermeld. De hacker plakte vervolgens een eigen bericht op de server waarin hij/zij uitlegde hoe de hack was uitgevoerd, en plaatste een kopie daarvan op het Internet Archive als bewijs.

De hacker beweerde dat de gegevens zijn overgenomen van een ZooPark-server, en om dat te bevestigen, heeft Motherboard de data vergeleken met de bevindingen uit het Kasperky-rapport.

In dit rapport stond dat ZooPark slachtoffers had in Egypte, Jordanië, Libanon, Marokko en Iran. Motherboard heeft de GPS-coördinaten van de hacker doorzocht en vond veel geïnfecteerde apparaten in Egypte en Iran. Het rapport voegde eraan toe dat het een Android-hackcampagne was; de data die door Motherboard werd verkregen, bevatte informatie over de types van de telefoons, en dit lijken allemaal verschillende Android-apparaten te zijn. Kasperkys rapport beschreef verder nog hoe deze specifieke versie van de malware van ZooPark in 2016 is gemaakt; uit de data bleek dat het eerste apparaat ook in dit jaar werd geïnfecteerd, en dat de laatste besmetting nog deze maand was.

In persbericht van Kasperky stond dat ZooPark zich mogelijk op leden van het Relief and Works Agency van de Verenigde Naties richtte. Zij baseerden zich op de nieuwsonderwerpen die de groep gebruikte om slachtoffers voor de gek te houden en om de malware te installeren. In het rapport staat ook dat er malware verstopt zat in een niet werkende stem-app voor het onafhankelijkheidsreferendum in Koerdistan. Uit gegevens waarover Motherboard beschikt, blijkt dat een van de apparaten websites van IS heeft bezocht. Maar waarom deze persoon de websites bezocht, is onduidelijk. Tenslotte bevatten sommige van de onderschepte sms-berichten nog verificatiecodes voor Instagram- en Telegram-account.

DE HACK

In het Kaspersky-rapport stond ook dat ZooPark de afgelopen jaren verschillende soorten malware heeft gebruikt. De derde versie van de malware van ZooPark is gebaseerd op Spymaster Pro, een stuk spyware dat ook voor de gewone consument te koop is – bijvoorbeeld om hun kinderen, werknemers of echtgenoten te bespioneren, staat in het rapport. Met de ZooPark-versie van Spymaster Pro kon een aanvaller telefoontjes opnemen, het surfgedrag op de telefoon volgen en foto’s stelen

Volgens Alexey Firsh is deze versie van de malware verspreid met een ‘watering hole attack’; wat betekent dat de malware naar een doelwit wordt gepusht, zodra ze een bepaalde kwaadwillende website bezoeken. Firsh is de beveiligingsexpert bij Kaspersky Lab die het ZooPark-rapport heeft geschreven. De malware is volgens hem gepusht door alnaharegypt.com en alhayatnews.com, twee Arabische sites, en hoewel hij geen details geeft, schrijft hij verder nog dat deze specifieke variant van de malware gericht is op “werkgevers van internationale organisaties.”

In februari richtte een hacker zich op Spymaster Pro en leverde de gestolen gegevens aan Motherboard. Nadat de hacker de Spymaster Pro-connectie zag beschreven in het Kaspersky-rapport, besloot hij/zij de ZooPark-infrastructuur te checken. Hij/zij beweerde te hebben ingebroken op de server uit het rapport. Hier zou hij/zij een schadelijk bestand geüpload, waardoor de beheerdersrechten van de server konden worden worden verkregen en het systeem doorzocht.

“Terughacken zou gelegaliseerd moeten worden, zodat Kaspersky dit zelf had kunnen doen,” schreef de hacker over de ZooPark-server. In het persbericht beschreef Kaspersky ZooPark als een “geavanceerde cyberrespionage-campagne.” Hoewel ZooPark wel degelijk meer geavanceerde malware ging gebruiken met zijn vierde versie, meent de hacker die claimt dat hij bij heeft ZooPark ingebroken, dat de APT alles behalve geavanceerd is.

“Ik denk niet dat deze gasten APT’s zijn; eerder LamePTs,” zei de hacker. “Het gaat uiteindelijk mis bij iedereen die code hergebruikt. Als je een APT wilt zijn, wees dan geen skid” – oftewel: iemand die een script ergens anders vandaan haalt zonder echt te weten waar ze mee bezig zijn.

Wordt vervolgd.

Volg Motherboard op Facebook en Twitter.