Een in te huren Russisch-sprekende hackersgroep heeft toegang tot de persoonlijke online communicatie van 3.500 vooraanstaande personen. Onder deze personen vallen presidentiële kandidaten, journalisten en mensenrechtenactivisten. De groep richt zich voornamelijk op Gmail-, Protonmail- en Telegram-accounts.
Dit vertelde de Nederlandse cybersecurity onderzoeker Feike Hacquebord tijdens de Black Hat Europe Conferentie 2021. Hij heeft maandenlang de hackersgroep genaamd RocketHack gevolgd. In oktober 2020 een webpagina ontdekte die de groep gebruikt om slachtoffers te monitoren.
RocketHack heeft de afgelopen vier jaar e-mail- en Telegram-accounts, computers en Android telefoons van wel 3.500 individuen geïnfiltreerd. De slachtoffers lopen uiteen van journalisten, mensenrechtenactivisten en politici tot telecom engineers en IVF dokters.
Hacquebords ontdekking bewijst dat niet alleen bedrijven zoals Israëls NSO Group hacks uitvoeren voor de overheid. Er bestaat ook een ondergrondse industrie van hackerscollectieven die ieders digitale informatie aftappen tegen de juiste prijs; of het nu gaat om een politicus of een jaloerse echtgenoot.
Hoe RocketHack te werk gaat
Het verdienmodel van RocketHack is simpel, vertelt Hacquebord. De groep “gaat achter de meest privé en persoonlijke gegevens van bedrijven en particulieren aan en verkoopt die gegevens vervolgens aan degene die ervoor wilt betalen.” RocketHack houdt het niet bij e-mails. Ook telefoonlogs van zendmasten, vlieggegevens en bankgegevens staan in de verkoop.
De meestgebruikte hackmethode die RocketHack gebruikt is phishing. Leden sturen e-mails met links naar vervalste inlogpagina’s van onder andere Google Gmail, Protonmail en Telegram.
Toegang verkrijgen tot iemands Protonmail-account is de duurste hack van de drie. Hiervoor moet iemand al snel 50.000 roebel, oftewel 612 euro, neertellen. Toegang tot iemands Gmail kost slechts 490 euro.
RocketHack doet ook aanvallen die alleen gaan om financiële winst. Zo heeft de groep meerdere phishing-websites voor cryptocurrency handel en cryptocurrency wallets. De meest opvallende crypto handelswebsite is Exmo. Hier ging RocketHack het afgelopen jaar niet alleen achter klanten aan. Ook de bedrijfsleiding werd slachtoffer.
Naast phishing verkoopt de hackersgroep ook malware en spyware voor Android- en Windows-apparaten. De spyware van RocketHack is in staat mee te kijken met je berichten op Whatsapp, telefoongesprekken op te nemen en je locatie te volgen.
De hackers achter de groep
De leden van RocketHack spreken Russisch. Toch blijft hun herkomst een mysterie. De groep kwam in 2017 voor het eerst aan het licht toen deze hacks tegen betaling aanbood voor de chatdienst Jabber, een dienst die zich voornamelijk richt op VKontakte. Deze social network-site is het populairst in landen die vroeger deel uitmaakten van de Sovjet-Unie.
Hieruit concludeert Oleg Dyorov, onderzoeksleider van het cybersecurity bedrijf Group-IB in Singapore: “[Het geeft] redenen om aan te nemen dat de aanvaller afkomstig kan zijn uit de post-Sovjetregio en daar zijn klanten heeft.”
Hacquebord informeert wetshandhaving
Ook nu blijft de hackersgroep actief. Hacquebord: “Elke dag zijn er misschien een dozijn nieuwe slachtoffers.” De onderzoeker heeft echter slechts enkele slachtoffers geïnformeerd over de hacks.
Hij is wel van plan om de politie in te lichten, ook al weet hij niet welke invloed dit zal hebben. Hacquebord: “Ik denk dat veel landen hun cyber mercenaries in hun eigen regio als een nationaal goed zien. Het is dus moeilijk om ze te vertellen dat ze gewoon moeten stoppen.”
