Een hackersgroep die door experts op het gebied van digitale veiligheid in verband wordt gebracht met het Russische leger heeft de Franse pro-Europese presidentskandidaat Emmanuel Macron in het vizier, meldt het cybersecuritybedrijf Trend Micro in een rapport dat dinsdag is gepubliceerd.

De groep, bekend onder de namen Fancy Bear, Pawn Storm, Sednit, APT28, Sofacy, of STRONTIUM, is op 15 maart begonnen met het registreren van domeinnamen zoals “onedrive-en-marche.fr” en “mail-en-marche.fr”, om zo leden van Macrons campagneteam te misleiden om op links te klikken die verband lijken te hebben met zijn politieke partij, En Marche.

Geavanceerde hackers

“Een grote onthulling in dit Trend Micro-rapport is dat Fancy Bear de aanvallen een stuk ingewikkelder heeft gemaakt”, zegt Greg Martin, topman van cybersecuritybedrijf JASK. “Ze maken gebruik van kwetsbaarheden in webmaildiensten zoals Gmail om mensen nep-formulieren te laten invullen, zodat hun mailbox wordt gekaapt zonder dat ze een wachtwoord hoeven te stelen.’

Martin zegt dat wanneer iemand wordt aangevallen op deze methode, bekend onder de naam “OAuth-phishing”, het niet voldoende is om gewoon het wachtwoord te veranderen.

“Het is een nieuw type aanval die zeer gevaarlijk is en nooit eerder is voorgekomen”, zegt hij. “Het is de eerste keer dat we dit ‘in het wild’ zijn tegengekomen.”

Een primitievere versie van deze phishingmethode was duidelijk te zien tijdens de Amerikaanse verkiezingen. De e-mails die door Fancy Bear werden gestolen van de Democratische Partij, Hillary Clinton en haar campagnevoorzitter John Podesta, werden doorgestuurd naar WikiLeaks en de website DCLeaks, die wordt gerund door de mysterieuze hacker "Guccifer 2.0", waarvan onderzoekers denken dat het een pseudoniem is van de Russische militaire inlichtingendienst.

"Het is inmiddels bekend welke middelen er gebruikt zijn in de DNC-cyberatacks, dus Fancy Bear heeft de lat deze keer hoger gelegd", aldus Martin.

Fancy Bear houdt zich al bezig met cyberspionage sinds het begin van deze eeuw. De dagen dat het hackerscollectief onder de radar opereert, lijken echter voorbij. De afgelopen twee jaar heeft de groep belangrijke doelwitten in het vizier genomen, zoals Franse, Amerikaanse en Duitse politieke partijen en kandidaten.

De groep gebruikt phishingaanvallen, steelt informatie en gebruikt die gegevens vervolgens om de publieke opinie te beïnvloeden.

Angela Merkel Donald Trump

Foto: De Duitse bondskanselier Angela Merkel spreekt terwijl de Amerikaanse president Donald Trump toekijkt in het Witte Huis op 17 maart 2017. Bron: REUTERS/Joshua Roberts

Wie zit erachter?

Beveiligingsexperts waarschuwen dat het lastig is om een aanval terug te leiden naar een bepaalde mogendheid. Igor Volovich, de CEO van ROMAD Cyber Systems, zegt dat sporen die gebruikt worden om een hack terug te leiden naar een bepaald land of bedrijf manipuleerbaar zijn, waardoor het lastig is om te zeggen wie er precies achter een cyberaanval zit,

"Een IP-adres of een bepaald stukje code gebruiken om een hack te traceren naar een bepaalde instantie of persoon, zoiets is onvoldoende", zegt Volovich in een interview. "Maar als je meerdere databronnen kunt correleren, maakt dat het een stuk betrouwbaarder."

Hoewel Pawn Storm volgens Trend Micro "goed gebruik maakt van webproviders in het Westen die veel privacy bieden aan hun klanten", heeft de groep nog steeds "een duidelijke voorkeur voor een aantal providers, DNS-providers en domeinregistrars." Door die diensten te monitoren, zo stelt het bedrijf, is veel van de infrastructuur van de groep vroeg waarneembaar zodat ze snel gepakt kunnen worden.

Tegenstanders van Rusland

Het feit dat de hackers consequent kiezen voor doelwitten die eenvoudig kunnen worden gekarakteriseerd als tegenstanders van Rusland - zoals de NAVO, de Organisatie voor Veiligheid en Samenwerking in Europa, het Amerikaanse anti-dopingagentschap, het Oekraïense leger, de president van Montenegro - zorgt ervoor dat er onder onderzoekers maar weinig twijfel over is dat de aanvallen worden betaald door het Kremlin.

NATO Secretary General Jens Stoltenberg holds a news conference ahead of the NATO foreign ministers meeting at the Alliance's headquarters in Brussels, Belgium March 31, 2017. REUTERS/Yves Herman

Foto: NAVO-secretaris-generaal Stoltenberg houdt een persconferentie. Bron: Thomson Reuters

In december onthulde cybersecuritybedrijf CrowdStrike dat de malware die Fancy Bear had gezet op Android-toestellen om Oekraïense troepen te volgen tussen 2014 en 2016 , "een variant was die ook gebruikt werd bij de hack van de Democratische partij", aldus oprichter Dmitri Alperovitch tegenover Reuters.

Rusland voert sinds 2014 een soort schaduwoorlog met het Oekraïense leger, waarmee de waarschijnlijkheid groter wordt dat Ruslands militaire inlichtingendienst, de GRU, een poging heeft gedaan om het Oekraïense leger ergens in de afgelopen drie jaar te volgen.

De cyberaanval, zo zei Alperovitch destijds, "kan niet zijn uitgevoerd door zomaar een groepje criminelen. Ze moeten korte lijntjes hebben met het Russische leger."

De Russen zouden op diezelfde manier zijn gemotiveerd om het Amerikaanse anti-dopingagentschap aan te vallen. Onder meer door die instelling is, samen met het Wereldantidopingagentschap, een onderzoek werd gedaan naar een Russisch dopingschandaal, waardoor uiteindelijk tientallen Russische atleten niet naar de Olympische Spelen in Rio mochten komen.

A woman walks into the head office of the World Anti-Doping Agency (WADA) in Montreal, Quebec, Canada November 9, 2015. REUTERS/Christinne Muschi/File Photo - RTSO0J6

Foto: Een vrouw loopt door het kantoor van het Wereldantidopingagentschap. Bron: Thomson Reuters

Aanval op Macron

De redenen van de Russische overheid om de Franse presidentskandidaat Macron onder vuur te nemen, zijn vergelijkbaar met de motieven die afgelopen jaar speelden bij de Amerikaanse verkiezingen: het verlangen om de nationalistische, meer pro-Russische underdog (Le Pen in Frankrijk en Trump in de VS) aan winst te helpen, en het de meer internationalistische kandidaat (Macron in Frankrijk, Clinton in de VS) moeilijk te maken.

Afgelopen zondag wonnen Macron en Le Pen de eerste ronde van de Franse verkiezingen - een historische nederlaag voor de traditionele partijen die afgelopen decennia de Franse politiek hebben gedomineerd.

De tweede verkiezingsronde zal plaatsvinden op 7 mei, en zal worden gezien als een referendum over de nieuwe nationalistische golf waar het westen mee te maken heeft - dezelfde beweging die Trump het Witte Huis in heeft geholpen en het Britse vertrek uit de Europese Unie heeft veroorzaakt.

De belangen zijn groot voor Rusland. Afhankelijk van wie er wint, kunnen de Franse verkiezingen de toon zetten voor een bredere Europese verschuiving richting Moskou en juist weg van Washington.

Zoals de Franse minister van Buitenlandse Zaken Jean-Marc Ayrault zei tegenover Journal du Dimanche: "Je ziet al genoeg als je kijkt naar welke kandidaten, Marine Le Pen en François Fillon, de voorkeur van Moskou genieten in deze campagne."

"Terwijl Emmanuel Macron, die pro-Europa is, wordt bestookt met cyberaanvallen", vervolgt hij.