Malware komt niet uit de lucht vallen en ontstaat ook niet spontaan in de krochten van internet. Elke variant die ooit heeft bestaan, is met veel zorg vervaardigd of snel in elkaar geflanst op basis van bestaande code in een poging om antivirussensoren te slim af te zijn.

Hoewel er (letterlijk) talloze cybercriminelen actief zijn op internet, mag slechts een kleine elite zich met recht tot de gevaarlijkste hackers ter wereld rekenen. Wij hebben een aantal van deze personen, groepen en organisaties opgenomen in een lijst. Zij kunnen het niet laten anderen schade te berokkenen.

Dat is mooi gezegd, maar er mankeert iets aan de lijst. De succesvolste cybercriminelen zijn degene die alles in het werk stellen om niet te worden gepakt en geen aanwijzingen van hun aanwezigheid achter te laten. Dat betekent dat op dergelijke lijsten vooral mensen en organisaties voorkomen die niet voorzichtig genoeg waren of die de wereld juist wilden laten weten dat ze er zijn. Niemand zal ontkennen dat het een probleem is dat Gary McKinnon de NSA heeft gehackt, een grapje dat de VS 700.000 dollar heeft gekost. Maar volgens de maatstaven van de hackerswereld zijn McKinnon en anderen zoals hij eerder een ergernis dan een meesterbrein, en zeker in vergelijking met de nog steeds onbekende maker van de worm SoBig.F, die over de hele wereld voor maar liefst 37,1 miljard dollar aan schade heeft aangericht.

Hier volgen enkele van de machtigste en gevaarlijkste groepen en hackers die we kennen en die nog steeds een gevaar vormen.

Anonymous

Het Guy Fawkesmasker van Anonymous

Dit is misschien wel de bekendste groep op de lijst. Anonymous bestaat dan wel niet uit de meest angstaanjagende of gevaarlijkste hackers, maar het blote feit dat ze bestaan is een verontrustend teken van hoe protest en rebellie eruit zullen zien in een wereld die steeds afhankelijker wordt van technologie.

De groep ontstond in 2003 op 4chan, het befaamde afvoerputje van internet, en dankt zijn naam aan het feit dat iedereen die wat op de forums plaatste en geen gebruikersnaam had, werd aangemerkt als "Anonymous". Van een echte groep was toen nog geen sprake. Het was meer een collectief van verveelde gebruikers die samen onschuldige grappen uithaalden. Zo overvielen ze in 2006 de Finse socialenetwerksite Habbo en gebruikten ze identieke avatars om het digitale zwembad te blokkeren. Ook belden ze via Skype soms voor de grap wildvreemden op.

Pas in 2008 kwam de groep met een specifiek doel bijeen. Dat doel was Project Chanology, een "oorlogsverklaring" aan de steeds agressievere Scientology-groep. Ze pleegden neptelefoontjes, voerden DDoS-aanvallen uit en stuurden inktverspillende "zwarte faxen" in een poging de kerk te hinderen. Ze zetten hun sociale kruistocht in 2010 voort met Operation Payback, waarbij ze de strijd aanbonden met auteursrechthouders over het neerhalen van The Pirate Bay.

In 2011 steunden ze de Arabische Lente en de Occupy Wall Street-beweging. In 2012 haalden ze de wraakpornosite van Hunter Moore offline. In 2014 legden ze het netwerk van het stadhuis van Ferguson plat nadat Michael Brown was neergeschoten en publiceerden ze de persoonsgegevens van de agent die de 12-jarige Tamir Rice had doodgeschoten. In de jaren daarna namen hun activiteiten alleen maar toe en richtten ze zich op onder meer Noord-Korea en kinderpornosites.

Het gevaar van Anonymous is dat alle deelnemers per definitie legitiem zijn, hoe extreem hun daden ook zijn.

Het echte gevaar van Anonymous zit 'm echter niet in hun officiële agenda, maar veeleer in het feit dat de groep te ver gaat. Bovendien handelen talloze andere personen en groepen onder deze naam om de sociale agenda van de hoofdgroep in diskrediet te brengen en hun eigen activiteiten te maskeren.

In 2011 legden hackers het PlayStation-netwerk plat en stalen ze gebruikersgegevens. Om de overheid op een dwaalspoor te brengen lieten ze het visitekaartje van Anonymous achter. In 2012 maakte iemand belangrijke, maar verouderde broncode voor Norton Antivirus bekend. De persoon in kwestie beweerde samen te werken met Anonymous. Vanaf het moment dat Anonymous in het nieuws kwam, hebben hackers zich voorgedaan als leden en software gekaapt, geld gestolen en mensen opgelicht. En zelfs de officiële groep heeft al talloze keren de namen en adressen van onschuldige mensen gepubliceerd.

Omdat Anonymous anoniem is, kan iedereen zich aansluiten. Daarom kunnen we deze oplichters en dieven niet echt "nep" noemen.

U mag van hun politiek of agenda vinden wat u wilt, maar wereldwijd treden overheden hardhandig op tegen leden van Anonymous die worden getraceerd. Enkele tientallen hebben al een gevangenisstraf en boetes gekregen. Dat weerhoudt het collectief er echter niet van om door te gaan met het steunen van bepaalde zaken. Het lijkt er niet op dat we ooit van ze afkomen en misschien is dat maar goed ook.

Hoe eng Anonymous ook is, een wereld waarin de groep niet zou kunnen bestaan, is nog enger.

Jevgeniy Michaïlovitsj Bogatsjev

Het komt niet vaak voor dat een cybercrimineel met deze vaardigheden tegen de lamp loopt. Daarnaast komt malware met de omvang en verwoestende kracht van GAmeover ZeuS ook zelden voor. Het botnet dat deze man optuigde, wist miljoenen computers over de hele wereld te infecteren met ransomware. Ook werden alle gegevens op de systemen gestolen. Niet alleen verdiende hij hier waanzinnig veel geld mee en veroorzaakte hij voor 100 miljoen dollar aan schade, hij wist ook de aandacht te trekken van de Russische overheid, die blijkbaar een beroep op zijn netwerk deed voor "internationale surveillancedoeleinden".

Het kostte de FBI en andere internationale misdaadbestrijders maar liefst twee jaar om zijn naam te achterhalen. Nu loven ze een beloning van drie miljoen dollar (de hoogste ooit voor een cybercrimineel) uit aan iedereen die helpt hem voor de rechter te brengen. Helaas ziet het er niet naar uit dat de Russische overheid de beloning snel zal opeisen. Bogatsjev leeft openlijk in Anapa, een verwaarloosde badplaats aan de Zwarte Zee in Zuidwest-Rusland. Hij bezit meerdere luxueuze auto's en een privéjacht.

De Russische overheid heeft de samenwerking met hem nooit toegegeven, maar haar weigering om hem aan te houden en de zeeën vrije tijd en het vele geld waarover hij plotseling beschikt, geven wel te denken.

Tegenwoordig opereert hij onder gebruikersnamen als "slavik", "lucky12345" en "pollingsoon". Wat zijn volgende grote stap zal zijn? We zullen het waarschijnlijk nooit weten.

De Equation Group en The Shadow Brokers

De hackersgroep The Shadow Brokers (TSB) verdient geld met het verkopen van de cyberwapens van de Equation Group, die de Amerikaanse inlichtingendienst NSA bijstaat.

Als we het over beroemde, gevaarlijke hackers hebben, mogen groepen die banden hebben met overheden niet ongenoemd blijven.

"Equation Group" is de informele naam van de afdeling Tailored Access Operations (TAO) van de Amerikaanse inlichtingendienst NSA (National Security Agency). Dat zijn een hoop namen, ik weet het, maar ik kan u garanderen dat het vanaf nu alleen maar verwarrender wordt.

De groep in 2001 werd opgericht en opereerde in het grootste geheim, totdat zij in 2015 werd "ontdekt" doordat twee vormen van spionage-malware (EquationDrug en GrayFish) met de organisatie in verband werden gebracht. Daarnaast is bekend dat de groep bekende zwakke plekken opspaarde om hacks te maskeren. Er wordt zelfs beweerd dat de groep achter Stuxnet zit. Met deze worm werd het nucleaire programma van Iran tijdelijk platgelegd.

Net als de meeste overheidsactoren is de Equation Group in het leven geroepen om de nationale agenda in binnen- en buitenland te propageren. Het "handwerk" wordt voornamelijk verricht in Iran, Rusland, Pakistan, Afghanistan, India, Syrië en Mali. Daar had het bij kunnen blijven. Er is tenslotte niets ongebruikelijks aan overheidshackers en ze wisten hun activiteiten goed onder de pet te houden.

Maar toen kwamen The Shadow Brokers.

De oorsprong van The Shadow Brokers is vooralsnog een raadsel. De groep werd in 2016 "ontdekt" en de onheilspellende naam zou een nerdy verwijzing zijn naar een informatiemakelaar met een vergelijkbare naam uit de Mass Effect-games. Of hier sprake is van opzet, is ons niet bekend. Net als het ontstaan van de groep is ook de betekenis van de naam in nevelen gehuld. Deskundigen speculeren dat het een NSA-insider zou kunnen zijn, maar sluiten ook buitenlandse spionnen niet uit. Wie het weet, mag het zeggen. Wij tasten in het duister en daarmee doet deze groep zijn naam in ieder geval eer aan.

De aard van de groep mag dan een raadsel zijn, haar activiteiten zijn dat allerminst. In augustus 2016 werden op een Twitter-account van de groep (@shadowbrokerss) een webpagina en een GitHub-opslagplaats genoemd met instructies voor deelname aan een veiling. De winnaar van deze veiling zou een aantal hulpprogramma's krijgen die werden gebruikt door – tromgeroffel – de Equation Group! Deze "veiling" kwam op een zeer verdacht moment, maar nu weten we precies wat er werd aangeboden: EternalBlue, EternalRomance en andere exploits die essentieel waren voor het optuigen van enkele van de gevaarlijkste malware-aanvallen van 2017, zoals de beruchte Wannacry- en NotPetya-ransomware.

The Shadow Brokers parasiteren op de Equation Group en verkopen hun geheimen aan de hoogste bieder

Daar bleef het niet bij. In de maanden daarna publiceerde de groep een lijst met servers en hulpprogramma's die door de Equation Group werden gebruikt. Daarnaast werd er een "datadump van de maand" aangeboden aan iedereen die ervoor wilde betalen. Dit wees op een ogenschijnlijk onbeperkte toegang tot de NSA. Er zijn geen aanwijzingen wie er achter deze groep zitten. We kunnen enkel gissen en ons proberen voor te bereiden op de volgende aanval.

Of het nu om overheidsactoren of insiders bij de overheid gaat, één ding staat vast: The Shadow Brokers lijken zich specifiek op de Equation Group te richten. Dat The Shadow Brokers blijkbaar precies weten hoe het er bij de Equation Group aan toegaat en bereid zijn hun geheimen met de hoogste bieder te delen, voorspelt weinig goeds. Daarvan hebben we de afgelopen twee jaar een voorproefje gezien.

Er is geen reden om aan te nemen dat het op korte termijn afgelopen zal zijn.

Bureau 121

De Noord-Koreaanse hackersgroep Bureau 121

De digitale ambities van Noord-Korea houden gelijke tred met de omvang van zijn leger van hackers, dat dag en nacht bezig is geld te verdienen voor het regime en chaos te veroorzaken onder staatsvijanden. De hackersgroep Bureau 121 is zonder twijfel verantwoordelijk voor talloze cyberaanvallen en -misdrijven. De groep heeft enkele opvallende aanvallen uitgevoerd die een aparte vermelding verdienen.

De eerste en misschien wel bekendste was de ransomware-aanval Wannacry. Hoewel The Shadow Brokers mogelijk medeverantwoordelijk zijn omdat ze toegang hebben tot het cyberwarfare-arsenaal van de NSA, is de ransomware door de Noord-Koreanen in elkaar gezet en uitgerold. Ongeveer 300.000 apparaten werden geïnfecteerd en de schade bedroeg vier miljard dollar.

De Noord-Koreaanse hackers zijn net als de rest van de bevolking slachtoffers

Ze waren ook verantwoordelijk voor een groot datalek bij Sony Pictures in 2014. Dit was een vergeldingsaanval voor de filmkomedie van Seth Rogen, waarin de "geliefde leider" Kim Jong Un wordt vernederd en vermoord. Bij deze aanval kwamen talloze persoonlijke e-mailberichten en gegevens op straat te liggen. Het herstellen van de schade kostte Sony ongeveer vijftien miljoen dollar.

We mogen de hackers zelf echter niet als de slechteriken zien, aangezien zij net als alle andere inwoners van Noord-Korea slachtoffer van het regime zijn. De gemiddelde Noord-Koreaanse hacker zit opgesloten in een krap, vaak te warm appartement met zware beveiliging en kent weinig vrijheden. Er wordt van de hackers verwacht dat ze op alle mogelijke manieren 60.000 tot 100.000 dollar per jaar "verdienen", geld dat ze vervolgens moeten afstaan. Wat er gebeurt met degenen die dat niet halen, laat zich raden.

Dit is nu zo'n moment waarop je kunt zeggen: "Haat het spel, niet de speler."

Fancy Bear

Fancy Bear, een schattig koosnaampje voor een gevaarlijke hackersorganisatie

Dat is toch een schattige naam? Had de groep zelf nu maar wat meer weg van het beeld dat de naam oproept, dan was deze lijst misschien wat minder treurig. Helaas is de realiteit anders…

De groep Fancy Bear (die ook onder een heleboel andere namen actief is) heeft nauwe banden met de Russische overheid en lijkt haar activiteiten op het gebied van cyberoorlogvoering te steunen. Hoewel de groep niet alles wat Rusland online doet omarmt (welke groep in een eerstewereldland zou dat wel doen?), is deze uiterst gevaarlijk en verantwoordelijk voor enkele van de meest opvallende hacks van dit decennium.

De eerste actie van de groep was de aanval op de Georgische overheid in 2008 om verwarring te zaaien in de aanloop naar de inval door het Russische leger. Sindsdien was de groep betrokken bij talloze controverses en conflicten in de regio. Journalisten en demonstranten die tegen het Kremlin zijn worden bedreigd, het Duitse parlement werd in 2014 zes maanden lang gehackt, de vrouwen van Amerikaans legerpersoneel ontvangen dreigingen, 20% van de Oekraïense artillerie werd uitgeschakeld via een schadelijke app en e-mail van de Democratic National Convention in de VS werd gelekt. Dat was niet de eerste keer dat de groep zich met verkiezingen bemoeide en ook niet de laatste keer. Inmiddels is aan het licht gekomen dat de groep ook de verkiezingen in Duitsland, Frankrijk en Oekraïne heeft proberen te beïnvloeden.

Het is bekend dat Fancy Bear zich in verkiezingen mengt

Hoewel het de meest ontwrichtende hackersgroep ter wereld is, eist Fancy Bear de eigen acties bijna nooit op. Ze opereren veel vaker onder de alias Anonymous of ISIS. De gebruikte methoden en hulpprogramma's verraden echter vaak de ware aard van de aanvaller. Moskou ontkent uiteraard ook maar iets met Fancy Bear te maken te hebben. Daarom kunnen we niet met honderd procent zekerheid zeggen dat alle bovengenoemde activiteiten op last van de Russische overheid zijn uitgevoerd.

Fancy Bear lijkt voorlopig niet van het podium te verdwijnen. Nu er weer verkiezingen voor de deur staan, zal de groep op een gegeven moment wel weer van zich laten horen.

Alexsey Belan

Deze 29 jaar oude Let heeft inmiddels flink wat kwaad bloed gezet. Voordat hij in de belangstelling kwam te staan, was hij beroemd in hackerskringen en actief onder de naam M4G. Hij begaf zich veel in hackerscommunity's en hield zelfs een relatief populaire blog over hacken bij. Daarin weidde hij echter niet uit over zijn illegale activiteiten. Hij hield zich niet alleen bezig met het hacken van gameservers, een cloud-computingprovider in Israël en websites voor ICQ-communicatie, maar verdiende ook een goede boterham door andere hackers advies te geven en de privégegevens van mensen op internet te verkopen. In 2011 verscheen hij op de radar van wetshandhavers en in 2012 werd hij officieel gezocht voor zijn misdrijven.

Alexsey Belan stal van 2013 tot 2016 gegevens van meer dan 700 miljoen accounts

De Yahoo-hack uit 2013 was het grootste datalek uit de geschiedenis. Daarbij werden de gegevens van alle drie miljard Yahoo-accounts gestolen. Voor zover we weten was Belan daar niet verantwoordelijk voor. Hij zat wel achter de hack uit 2014, waarbij ruim 500 miljoen accounts uitlekten. Deze hack viel in het niet bij de eerste, maar vond wel plaats tijdens de drie jaar (van 2013 tot 2016) dat Alexsey Belan als hacker actief was. Doelwitten waren e-commercewebsites in Californië en Nevada, waaronder dus Yahoo. In die periode kraakte hij in totaal 700 miljoen accounts en stal hij de bijbehorende gegevens. 500 miljoen accounts waren van Yahoo en 200 miljoen van andere bedrijven. Dat zijn heel veel privégegevens.

Toen internationale wetshandhavers voor zijn deur stonden, was de vogel echter al gevlogen. Niemand kan met zekerheid zeggen waar hij nu is, maar er zijn aanwijzingen dat hij in Rusland woont. Natuurlijk woont hij in Rusland.

Eenheid 8200

Eenheid 8200, de Israëlische cyberinlichtingendienst

De vraag is of er ooit een groep was die meer tot de verbeelding spreekt en meer angst inboezemt dan Eenheid 8200, de pseudoclandestiene cyberinlichtingendienst van de Israëlische overheid. Eenheid 8200 gaat uitermate professioneel en efficiënt te werk en kan als overheidsdienst bogen een lange staat van dienst op het gebied van terrorismebestrijding. De groep bestaat uit meer vrouwen dan mannen, wat opmerkelijk is in de wereld van de cyberbeveiliging. Deze groep tekent ook voor 's werelds meest angstaanjagende en effectieve malware. Daarnaast worden zowel overheden als burgers over de hele wereld op ongekende schaal door de groep bespioneerd en uitgebuit.

Volgens deskundigen behoort Eenheid 8200 tot de absolute elite

De groep werd in 1952 opgericht onder de naam 2nd Intelligence Service Unit en is sindsdien uitgegroeid tot de grootste eenheid van het Israëlische leger. Veel activiteiten vinden weliswaar in het geniep plaats (dat is zo'n beetje de werkwijze van al dit soort organisaties), maar er zijn enkele wapenfeiten boven komen drijven. De groep heeft terreuraanslagen over de hele wereld verijdeld, bijgedragen aan de ontwikkeling van het Stuxnet-virus en de malware Duqu 2.0 geschreven, spionage-malware die volgens Kaspersky zijn tijd ver vooruit was. Daarnaast bestrijdt de groep actief pro-Palestijnse hacktivisten, bijvoorbeeld tijdens de #OpIsrael-aanval in 2013.

Eenheid 8200 is de absolute elite. Een citaat van Peter Roberts, onderzoeker aan het Britse Royal United Services Institute, vat dit misschien het beste samen: "Eenheid 8200 is vermoedelijk de belangrijkste technische inlichtingendienst ter wereld en op de omvang na in alle opzichten de tegenhanger van de NSA. De organisatie focust zich sterk op zijn doelwitten, in ieder geval meer dan de NSA, en voert zijn activiteiten uit met een doorzettingsvermogen en passie die je nergens anders ziet."

Eenheid 61398 van het Volksbevrijdingsleger

Eenheid 61398, de hackeenheid van het Chinese Volksbevrijdingsleger

Er zijn al meer staatshackers de revue gepasseerd, maar onze lijst zou niet compleet zijn zonder onze vrienden in het Verre Oosten, de Chinezen.

Tot voor kort ontkende China in alle toonaarden dat het betrokken was bij illegale online activiteiten of gebruikmaakte van een hackersgroep. In 2015 veranderde dat opeens. Toen gaf China openlijk toe dat het een cyberdefensieteam had. Het land wilde echter niet ingaan op de activiteiten van het team. Dat is niet meer dan normaal. Desondanks hebben we wel een redelijk goed idee van de streken die ze uithalen.

Het grootste schandaal waarmee de groep in verband is gebracht, is Operation Shady RAT. Dit is waarschijnlijk de omvangrijkste onlineaanval die ooit door een overheid is gesteund. Vijf jaar lang, van 2006 tot 2011, infiltreerde Eenheid 61398 in 70 internationale bedrijven, overheden en non-profitorganisaties en stal hun gegevens.

Eenheid 61398 lijkt zich uitsluitend te richten op het stelen van gegevens van overheden, bedrijven en non-profitorganisaties

Dat is zo ongeveer het enige wat Eenheid 61398 doet: gegevens stelen van belangrijke internationale spelers. Zo werd de groep in 2014 beschuldigd van een hack waarbij talrijke documenten met geheime gegevens over het Israëlische antiraketschild werden gestolen. En na een korte onderbreking zijn ze onlangs weer begonnen met het hacken van Amerikaanse bedrijven.

Eenheid 61398 is groot (er worden naar schatting ruim duizend servers gebruikt), werkt doelgericht en is waarschijnlijk slechts het topje van de ijsberg. Het is vermoedelijk de elite van een enorm onlineleger van hackers dat op elk ogenblik kan worden ingezet.

Dat geeft te denken, nietwaar?

Marcus Hutchins

Marcus Hutchins is een heel belangrijke, zo niet dé belangrijkste figuur in de wereld van de cyberbeveiliging, een schurk die is uitgegroeid tot held. Zijn toekomst kan de manier waarop hackers de wereld bezien de komende jaren aanzienlijk veranderen en van invloed zijn op welke kant ze kiezen.

In het kort: Marcus Hutchins werkte vanuit het huis van zijn ouders als cyberbeveiligingsdeskundige voor het kleine beveiligingsbedrijf Kryptos Logic en leidde een betrekkelijk teruggetrokken leven. Hij was op vakantie toen de beruchte WannaCry-ransomware op de wereld werd losgelaten. Hij werd teruggeroepen om te helpen bij het bestrijden van deze cyberdreiging. Bij het bestuderen van het programma ontdekte hij een tot dat moment onbekende "kill-switch" waarmee hij de gevreesde malware kon stoppen. Met zijn briljante ontdekking riep hij de meest spraakmakende aanval van 2017 een halt toe en werd hij de held van de cyberbeveiligingswereld. Dat jaar werd hij als een vorst onthaald tijdens de grootste hackersconferentie ter wereld, DEF CON.

Maar op het hoogtepunt van zijn glorie werd Marcus gearresteerd. Hij moest zich verantwoorden voor zes federale aanklachten naar aanleiding van zijn vermeende rol bij het maken en verspreiden van het Kronos-virus, waarmee de aanmeldingsgegevens voor online bankieren uit de browser van geïnfecteerde apparaten werden gestolen.

We weten niet of hij schuldig of onschuldig is. Hij zou niet de eerste black-hat-hacker zijn die tijdens zijn gevangenschap een white-hat-hacker werd. Het proces tegen Marcus loopt nog en wordt op de voet gevolgd door cyberbeveiligingsdeskundigen en hackers over de hele wereld, omdat Marcus in het kader van de Computer Fraud and Abuse Act is gearresteerd. Deze wet is white-hat-hackers een doorn in het oog.

Dat heeft ermee te maken dat de wet zo slordig is verwoord dat deze kan en waarschijnlijk zal worden gebruikt om white-hat-hackers te arresteren die alleen routinematige controles en tests voor exploits uitvoeren of programmacode schrijven die al dan niet met hun medeweten in malware opduikt. Als Marcus niet schuldig wordt bevonden aan het opzettelijk vervaardigen van Kronos, maar toch in de cel belandt omdat hij er onbewust aan heeft bijgedragen, kan dat een akelig precedent scheppen voor de toekomst.

Ongewild vecht Marcus Hutchins niet alleen voor zijn eigen vrijheid, maar ook voor de toekomstige wettelijke positie van white-hat-hackers. We kunnen alleen maar hopen dat het recht zegeviert.

AVG AntiVirus FREE GRATIS downloaden