AVG Signal-blog Privacy Hackers De gevaarlijkste en beroemdste hackers van dit moment
The_Most_Dangerous_and_Famous_Hackers_Today-Hero

Malware komt niet uit de lucht vallen en ontstaat ook niet spontaan in de krochten van internet. Elke variant die ooit heeft bestaan, is met veel zorg vervaardigd of snel in elkaar geflanst op basis van bestaande programmacode in een poging om antivirussensoren te slim af te zijn. Hoewel er talloze cybercriminelen actief zijn op internet, mag slechts een kleine elite zich met recht tot de gevaarlijkste hackers ter wereld rekenen. Wij hebben een aantal van deze personen, groepen en organisaties opgenomen in een lijst. Zij kunnen het niet laten anderen schade te berokkenen. En zij zorgen ervoor dat wij nooit zonder werk komen te zitten.

Dit artikel omvat:

    Dat is allemaal leuk en aardig, maar er ontbreekt iets aan de lijst. De succesvolste cybercriminelen stellen namelijk alles in het werk om te vermijden dat ze tegen de lamp lopen en doen hun uiterste best om geen aanwijzingen van hun aanwezigheid achter te laten. Op de meeste van dergelijke lijsten staan dan ook organisaties die ons juist willen laten weten dat ze bestaan of mensen die zo dom waren om zich te laten betrappen en worden onderzocht. Uiteraard zal niemand ontkennen dat Gary McKinnon de systemen van de NSA niet had mogen kraken, een grapje dat de VS 700.000 dollar heeft gekost. Maar naar de maatstaven van de hackerswereld is McKinnon (en anderen als hij) eerder een bron van ergernis, geen meesterbrein. Zeker in vergelijking met de nog steeds onbekende maker van de worm SoBig.F, die over de hele wereld voor maar liefst 37,1 miljard dollar aan schade heeft aangericht.

    Hier volgen enkele van de machtigste en gevaarlijkste groepen en hackers die we kennen.

    Elliott Gunton: opstandige jongen

    Elliott-Gunton_620x300

    Technisch vernuft en jeugdige rebellie (of een algehele onverschilligheid voor het leed van anderen) vormen een gevaarlijke combinatie en de 19-jarige Elliott Gunton is daarvan de perfecte belichaming. Hij begon zijn carrière in de cybercriminaliteit al op 16-jarige leeftijd. Toen werd hij namelijk gepakt vanwege het hacken van TalkTalk, een telecombedrijf. Er werd een stevig gesprek met hem gevoerd, maar dat was blijkbaar niet voldoende om hem op het rechte pad te krijgen. Sindsdien is hij in het Verenigd Koninkrijk beschuldigd van onder meer het stelen van persoonsgegevens om valsheid in geschrifte te plegen, het witwassen van geld met cryptovaluta, het aanbieden van hackingdiensten aan criminelen, het hacken van bekende Instagram-accounts en het doorverkopen ervan aan andere hackers, en het hosten van ‘aanstootgevende’ foto's van kinderen op zijn pc.

    Net zoals bij de meeste cybercriminelen bleven zijn activiteiten niet beperkt tot eigen land. In de VS wordt hij beschuldigd van identiteitsdiefstal, het kapen van EtherDelta (een cryptobeurs die via Cloudshare wordt gehost), en gevallen van oplichting, waarbij hij in amper twee weken tijd miljoenen dollars binnenharkte.

    De autoriteiten stellen zelfs dat hij een van zijn vele slachtoffers maar liefst 800.000 dollar afhandig heeft gemaakt.

    Dat is een hele waslijst aan misdrijven. Wie op een goede afloopt hoopt, zal nu waarschijnlijk teleurgesteld zijn. Zelfs nadat hij schuld bekende aan de misdrijven waarvan hij in het Verenigd Koninkrijk werd beschuldigd, werd hij veroordeeld tot een gevangenisstraf van slechts 20 maanden (voor Britse begrippen is dat eigenlijk best veel) en een betrekkelijk lage boete van 407.359 pond. Daarnaast wordt zijn gebruik van computers en software drieënhalf jaar lang aan banden gelegd.

    In de Verenigde Staten kan hij voor zijn daden 20 jaar achter de tralies verdwijnen, maar dat is op dit moment nog onzeker. In 2004 ondertekenden de Verenigde Staten en het Verenigd Koninkrijk een uitleveringsverdrag en sindsdien zijn er nog maar 77 Britse burgers vanwege begane misdrijven aan de VS uitgeleverd. Het is heel goed mogelijk dat Gunton niet eens voor de Amerikaanse rechter zal verschijnen. En als dat wel gebeurt, is het nog maar de vraag of hij schuldig wordt bevonden.

    Tenslotte is Elliot Gunton niet de gevaarlijkste hacker ter wereld. Maar hij is wel het perfecte voorbeeld van wat één iemand met een beetje kennis, een goede pc en een volledig gebrek aan empathie kan aanrichten en hoe hackers vaak hun gerechte straf ontlopen.

    Jevgeni Michailovitsj Bogatsjev: Kronos in het echt

    Het komt niet vaak voor dat een cybercrimineel met deze vaardigheden tegen de lamp loopt. Maar ook malware met de omvang en verwoestende kracht van GAmeover ZeuS komt zelden voor.

    Bogachev_620x300

    Het botnet dat deze man opzette, wist miljoenen computers over de hele wereld te infecteren met ransomware. Daarnaast werden alle gegevens op de systemen gestolen. Niet alleen verdiende hij hier waanzinnig veel geld mee en veroorzaakte hij voor meer dan 100 miljoen dollar aan schade, hij wist ook de aandacht te trekken van de Russische overheid. Deze deed blijkbaar een beroep op zijn netwerk om zich te mengen in internationale aangelegenheden.

    Het kostte de FBI en andere internationale misdaadbestrijders maar liefst twee jaar om zijn naam te achterhalen. Nu loven ze een beloning van drie miljoen dollar (de hoogste ooit voor een cybercrimineel) uit aan iedereen die helpt hem voor de rechter te brengen. Helaas zal dat vanwege zijn samenwerking met de Russische overheid waarschijnlijk nooit gebeuren. Bogatsjev mag dan ooit een bekwame cybercrimineel zijn geweest, nu leeft hij openlijk in Anapa, een sjofele badplaats aan de Zwarte Zee in Zuidwest-Rusland. Hij bezit meerdere luxueuze auto's en een privéjacht.

    Uiteraard heeft de Russische overheid haar samenwerking met hem nooit toegegeven, maar haar weigering om hem aan te houden en de zeeën vrije tijd en het vele geld waarover hij plotseling beschikt, geven wel te denken.

    Tegenwoordig opereert hij onder gebruikersnamen als ‘slavik’, ‘lucky12345’ en ‘pollingsoon’. Wat zijn volgende grote stap zal zijn? We zullen het waarschijnlijk nooit weten.

    The Equation Group en The Shadow Brokers: yang en yang

    Wie het over beroemde, gevaarlijke hackers heeft, mag groepen die banden hebben met de overheid niet onvermeld laten.

    The Shadow Brokers make a living selling the cyberweapons of the NSA's Equation Group

    The Equation Group is de informele naam van de afdeling Tailored Access Operations (TAO) van de Amerikaanse inlichtingendienst NSA (National Security Agency). Dat zijn een hoop namen, ik weet het, maar ik kan u garanderen dat het vanaf nu alleen maar verwarrender wordt. De groep werd in 2001 opgericht en was een goed bewaard staatsgeheim. Totdat zij in 2015 werd ‘ontdekt’ doordat twee vormen van spionage-malware (EquationDrug en GrayFish) met de organisatie in verband werden gebracht. Daarnaast werd bekend dat de groep bekende zwakke plekken gebruikte om hacks te maskeren. Er wordt zelfs beweerd dat de groep achter Stuxnet zit. Met deze worm werd het nucleaire programma van Iran een tijd lang platgelegd.

    Net als de meeste overheidsactoren is The Equation Group in het leven geroepen om de nationale agenda in binnen- en buitenland te propageren. Het ‘handwerk’ wordt voornamelijk verricht in Iran, Rusland, Pakistan, Afghanistan, India, Syrië en Mali. Daar had het bij kunnen blijven. Er is tenslotte niets ongebruikelijks aan overheidshackers en ze wisten hun activiteiten goed onder de pet te houden.

    Maar toen kwamen The Shadow Brokers.

    De herkomst van The Shadow Brokers is vooralsnog een raadsel. De groep werd in 2016 'ontdekt'. De sinistere naam zou een nerdy verwijzing zijn naar een informatiemakelaar met een vergelijkbare naam uit de videogame Mass Effect. Of hier sprake is van opzet, is ons niet bekend. Net als het ontstaan van de groep is ook de betekenis van de naam in nevelen gehuld. Deskundigen speculeren dat het een NSA-insider zou kunnen zijn, maar sluiten ook buitenlandse spionnen niet uit (met als hoofdverdachte natuurlijk Rusland). Het is één groot raadsel. Wij tasten in het duister en daarmee doet deze groep zijn naam in ieder geval eer aan.

    De aard van de groep mag dan een mysterie zijn, haar activiteiten zijn dat allerminst. In augustus 2016 werden op een Twitter-account van de groep (@shadowbrokerss) een webpagina en een GitHub-opslagplaats genoemd met instructies voor deelname aan een veiling. De winnaar van deze veiling zou een aantal hulpprogramma's krijgen die werden gebruikt door – tromgeroffel – The Equation Group! Deze 'veiling' was op dat moment zeer verdacht, maar nu weten we precies wat er werd aangeboden: EternalBlue, EternalRomance en andere exploits die essentieel waren voor het optuigen van enkele van de gevaarlijkste malware-aanvallen van 2017, zoals de beruchte Wannacry en NotPetya-ransomware.

    The Shadow Brokers parasiteerden op The Equation Group en verkochten hun geheimen aan de hoogste bieder

    Daar bleef het niet bij. In de maanden daarna publiceerde de groep een lijst met servers en hulpprogramma's die door The Equation Group werden gebruikt. Daarnaast werd er een 'datadump van de maand' aangeboden aan iedereen die ervoor wilde betalen. Dit wees op een ogenschijnlijk onbeperkte toegang tot de NSA. Het is niet duidelijk wie er achter deze groep zit. We kunnen slechts gissen en ons proberen voor te bereiden op de volgende aanval.

    Sindsdien is er niets meer van The Shadow Brokers vernomen, wat betekent dat ze tevreden zijn met de chaos die ze hebben veroorzaakt, geen ruchtbaarheid geven aan hun laatste activiteiten of wachten op een nieuwe kans om toe te slaan. Elke verklaring is mogelijk en even onbevredigend. Dat is helaas de trieste realiteit van hackersgroepen: ze bestaan vaak tijdelijk en zijn heel gevaarlijk.

    Bureau 121: hackers van het kwaad

    The North Korean hacking Bureau 121

    Hoewel de nucleaire ambities van het land onder politieke druk gelukkig flink zijn beteugeld, zijn de digitale ambities van Noord-Korea toegenomen. Het land heeft een groeiend hackersleger dat dag en nacht bezig is om geld op te halen voor het regime en chaos te veroorzaken bij vijanden van de staat. De hackersgroep Bureau 121 is zonder twijfel verantwoordelijk voor talloze cyberaanvallen en -misdrijven. De groep heeft enkele opvallende aanvallen uitgevoerd die een aparte vermelding verdienen.

    De eerste en misschien wel bekendste was de ransomware-aanval Wannacry. Hiervoor heeft de VS Noord-Korea onlangs nog gestraft. Hoewel The Shadow Brokers mogelijk medeverantwoordelijk zijn omdat ze toegang hebben tot het cyberwarfare-arsenaal van de NSA, is de ransomware door de Noord-Koreanen in elkaar gezet en uitgerold. Ongeveer 300.000 apparaten werden geïnfecteerd en de schade bedroeg maar liefst vier miljard dollar. Daarnaast waren ze ook verantwoordelijk voor een groot datalek bij Sony Pictures in 2014. Dit was een vergeldingsaanval voor de filmkomedie van Seth Rogen, waarin de ‘geliefde leider’ Kim Jong Un wordt vernederd en vermoord. Bij deze aanval kwamen talloze persoonlijke e-mailberichten en gegevens op straat te liggen. Het herstellen van de schade kostte Sony zo'n vijftien miljoen dollar.

    De Noord-Koreaanse hackers zijn slachtoffers, net als de rest van de bevolking

    We mogen de hackers zelf echter niet als de slechteriken zien, aangezien zij net als alle andere inwoners van Noord-Korea slachtoffer van het regime zijn. De gemiddelde Noord-Koreaanse hacker zit opgesloten in een krap, vaak te warm appartement met zware beveiliging en kent weinig vrijheden. Er wordt van de hackers verwacht dat ze op alle mogelijke manieren 60.000 tot 100.000 dollar per jaar 'verdienen', geld dat ze vervolgens moeten afstaan. Wie dat niet lukt, zit zwaar in de nesten.

    Dit is nu zo'n moment waarop je kunt zeggen: “Haat het spel, niet de speler.”

    Fancy Bear: klauwen in de democratie

    Fancy Bear, a cute nickname for a dangerous hacking organization

    Dat is toch een schattige naam? Had de groep zelf nu maar wat meer weg van het beeld dat de naam oproept, dan was deze lijst misschien minder treurig. Helaas is de realiteit anders…

    Van de groep Fancy Bear (die ook onder een heleboel andere namen actief is) weten we 90% zeker dat zij samenwerkt met de Russen en hun activiteiten op het gebied van cyberoorlogvoering ondersteunt. Hoewel de groep niet betrokken is bij alles wat Rusland online uitvoert (welke groep wel, bij een wereldmacht?), is zij uiterst gevaarlijk en verantwoordelijk voor enkele van de meest opvallende hacks van dit decennium.

    De eerste actie van de groep was de aanval op de Georgische overheid in 2008, bedoeld om verwarring te zaaien in de aanloop naar de inval door het Russische leger. Sindsdien was de groep betrokken bij talloze controverses en conflicten in de regio. Journalisten en demonstranten die tegen het Kremlin zijn, worden bedreigd, het Duitse parlement werd in 2014 zes maanden lang gehackt, de vrouwen van Amerikaans legerpersoneel ontvangen bedreigingen, 20% van de Oekraïense artillerie werd uitgeschakeld via een schadelijke app en e-mailberichten van de Democratic National Convention in de VS werden gelekt. Dat was niet de eerste keer dat de groep zich met verkiezingen bemoeide en ook niet de laatste keer. Inmiddels is aan het licht gekomen dat de groep ook de verkiezingen in Duitsland, Frankrijk en Oekraïne heeft proberen te beïnvloeden.

    Fancy Bear staat erom bekend zich in verkiezingen te mengen

    Hoewel het de meest ontwrichtende hackersgroep ter wereld is, eist Fancy Bear de eigen acties bijna nooit op. De groep opereert veel vaker onder de alias Anonymous of ISIS. De gebruikte methoden en hulpprogramma's verraden echter vaak de ware aard van de aanvaller. Moskou ontkent uiteraard ook maar iets met Fancy Bear te maken te hebben. Daarom kunnen we niet met honderd procent zekerheid zeggen dat alle bovengenoemde activiteiten op last van de Russische overheid zijn uitgevoerd, maar daar lijkt het wel op.

    Fancy Bear lijkt voorlopig niet van het podium te verdwijnen. Nu er weer verkiezingen voor de deur staan, zal de groep op een gegeven moment wel weer van zich laten horen.

    Alexsey Belan: Ya-who?

    Alexsey-Belan_620x300

    Deze 29 jaar oude Let heeft inmiddels flink wat kwaad bloed gezet. Voordat hij in de belangstelling kwam te staan, was hij beroemd in hackerskringen en actief onder de naam M4G. Hij begaf zich veel in hackerscommunity's en hield zelfs een relatief populaire blog over hacken bij. Daarin weidde hij echter niet uit over zijn illegale activiteiten. Hij hield zich niet alleen bezig met het hacken van gameservers, een cloud-computingprovider in Israël en websites voor ICQ-communicatie, maar verdiende ook een goede boterham door andere hackers advies te geven en de privégegevens van mensen op internet te verkopen. In 2011 verscheen hij op de radar van wetshandhavers en in 2012 werd hij officieel gezocht voor zijn misdrijven.

    Aleksej Belan stal van 2013 tot 2016 gegevens van meer dan 700 miljoen accounts

    De Yahoo-hack in 2013 was het grootste datalek uit de geschiedenis. Daarbij werden de gegevens van alle drie miljard Yahoo-accounts gestolen. Voor zover wij weten was Belan daar niet verantwoordelijk voor. Hij zat wel achter de hack in 2014, waarbij ruim 500 miljoen accounts op straat kwamen te liggen. Deze hack viel in het niet bij de eerste, maar vond wel plaats tijdens de drie jaar (van 2013 tot 2016) dat Aleksej Belan als hacker actief was. Doelwitten waren e-commercewebsites in Californië en Nevada, waaronder dus Yahoo. In die periode hackte hij in totaal 700 miljoen accounts en stal hij de bijbehorende gegevens. 500 miljoen accounts waren van Yahoo en 200 miljoen van andere bedrijven. Dat zijn heel veel privégegevens.

    Toen internationale wetshandhavers voor zijn deur stonden, was de vogel echter al gevlogen. Niemand kan met zekerheid zeggen waar hij nu is, maar er zijn aanwijzingen dat hij in Rusland woont. Natuurlijk woont hij in Rusland.

    Eenheid 8200: koosjer kraken

    Unit 8200, Israel's cyberintelligence branch

    Niet eerder sprak een groep zo tot de verbeelding (en boezemde meer angst in) dan Eenheid 8200, de pseudoclandestiene cyberinlichtingendienst van de Israëlische overheid. Eenheid 8200 gaat uitermate professioneel en efficiënt te werk en kan als overheidsdienst bogen een lange staat van dienst op het gebied van terrorismebestrijding. De groep bestaat uit meer vrouwen dan mannen, wat opmerkelijk is in de wereld van de cyberbeveiliging. Deze groep tekent ook voor 's werelds meest angstaanjagende en effectieve malware. Daarnaast worden zowel overheden als burgers over de hele wereld op ongekende schaal door de groep bespioneerd en uitgebuit.

    Volgens deskundigen behoort Eenheid 8200 dan ook tot de absolute elite

    De groep werd in 1952 opgericht onder de naam 2nd Intelligence Service Unit en is sindsdien uitgegroeid tot de grootste eenheid van het Israëlische leger. Veel activiteiten vinden weliswaar in het geniep plaats (dat is zo'n beetje de werkwijze van al dit soort organisaties), maar er zijn enkele wapenfeiten boven komen drijven. De groep heeft terreuraanslagen over de hele wereld verijdeld, bijgedragen aan de ontwikkeling van het Stuxnet-virus en de programmacode voor Duqu 2.0 geschreven, spionage-malware die volgens Kaspersky zijn tijd ver vooruit was. Daarnaast bestrijdt de groep actief pro-Palestijnse hacktivisten, bijvoorbeeld tijdens de #OpIsrael-aanval in 2013.

    Eenheid 8200 behoort tot de absolute top. Een citaat van Peter Roberts, onderzoeker aan het Britse Royal United Services Institute, vat dit misschien het beste samen: “Eenheid 8200 is vermoedelijk de belangrijkste technische inlichtingendienst ter wereld en op de omvang na in alle opzichten de tegenhanger van de NSA. De organisatie is sterk gefocust op zijn doelwitten, meer nog dan de NSA, en voert zijn activiteiten uit met een doorzettingsvermogen en passie die je nergens anders ziet."

    Eenheid 61398 van het Volksbevrijdingsleger: cybercommunisten

    PLA Unit 61398, China's hacking military unit

    Er zijn al meer staatshackers de revue gepasseerd, maar onze lijst zou niet compleet zijn zonder onze vrienden in China.

    Tot voor kort ontkende China in alle toonaarden dat het betrokken was bij illegale onlineactiviteiten of gebruikmaakte van een hackersgroep. In 2015 veranderde dat opeens. Toen gaf China openlijk toe dat het een cyberdefensieteam had. Het land wilde echter niet ingaan op de activiteiten van het team. Dat is niet meer dan normaal. We hebben niettemin een redelijk goed idee van wat ze allemaal uitspoken.

    Het grootste schandaal waarmee de groep in verband is gebracht, is Operation Shady RAT. Dit is naar alle waarschijnlijkheid de omvangrijkste door een staat gesteunde onlineaanval ooit. Vijf jaar lang, van 2006 tot 2011, infiltreerde Eenheid 61398 in 70 internationale bedrijven, overheden en non-profitorganisaties en stal hun gegevens.

    Eenheid 61398 lijkt zich uitsluitend te richten op het stelen van gegevens van overheden, bedrijven en non-profitorganisaties

    Dat is zo ongeveer het enige wat Eenheid 61398 doet: gegevens stelen van belangrijke internationale spelers. Zo werd de groep in 2014 beschuldigd van een hack waarbij talrijke documenten met geheime gegevens over het Israëlische antiraketschild werden gestolen. Na een korte onderbreking is de groep weer begonnen met het hacken van Amerikaanse bedrijven. Daarnaast werd ze onlangs in verband gebracht met Huawei, een merk dat de laatste tijd vaker in het nieuws komt.

    Eenheid 61398 is groot (er worden naar schatting ruim duizend servers gebruikt), werkt doelgericht en is waarschijnlijk slechts het tipje van de ijsberg.  De groep bestaat vermoedelijk uit de elite van een enorm onlineleger van hackers, dat op elk ogenblik kan worden ingezet.

    Dat is geen fijne gedachte, nietwaar?

    Machete: hackers die erop los ‘hacken’

    machette_620x300

    Een hackersgroep die niet rechtstreeks door een overheid wordt gesteund, bestaat gewoonlijk niet lang. De meeste groepen, zoals Lulsec, ontstaan en vallen weer uit elkaar in een tijdsbestek van enkele maanden. Een handjevol, zoals Lizard Squad, houdt het enkele jaren uit voordat de leiders worden gearresteerd en de groep uiteenvalt. En zelfs de beroemdste hackersgroep ter wereld, Anonymous, hield het slechts vijf jaar vol voordat de groep van binnenuit afbrokkelde. Oorzaak was de onhoudbare claim dat iedereen kon deelnemen.

    Dat Machete, een hackersgroep uit Zuid-Amerika, al een decennium bestaat, mag dan ook een wonder heten.

    Net als elke andere hackersgroep die het zolang weet vol te houden, is Machete in nevelen gehuld. De groep werd in 2014 door Kaspersky ontdekt maar was al veel langer actief. De leden verspreiden malware, stelen gegevens en zijn de kopstukken binnen de cybercriminaliteit in Venezuela. Ze maken echter ook slachtoffers in Ecuador, Colombia en Nicaragua.

    Ze lijken vooral het Venezolaanse leger te willen treffen en gebruiken slim verhulde phishing-aanvallen om belangrijke informatie te stelen, bijvoorbeeld bestanden met daarin militaire routes en posities. Om ervoor te zorgen dat deze phishing-berichten ook worden gelezen, worden ze met veel zorg opgesteld aan de hand van eerder gestolen gegevens, zodat ze echt lijken. Wanneer ze nieuwe gegevens stelen, worden die gebruikt om nog overtuigendere phishing-berichten te maken. Uit sommige rapporten blijkt dat deze vicieuze cirkel ervoor zorgt dat ze ‘elke week gigabytes aan informatie’ kunnen bemachtigen.

    Wat de overheid met zekerheid over Machete kan zeggen, is dat de leden Spaanstalig zijn. Deze aanname is gebaseerd op klembord- en toetsaanslag gegevens. Voor de rest blijven ze ongrijpbaar, onbekend en vooralsnog onstuitbaar.

    Bescherm uw iPhone tegen dreigingen met AVG Mobile Security

    Gratis installeren

    Bescherm uw Android-apparaat tegen dreigingen met AVG AntiVirus

    Gratis installeren