‘Noord-Korea infecteert webshops en steelt creditcarddata klanten’

Dát cybercriminelen hun slag zouden slaan toen grote delen van de wereld in lockdown gingen en consumenten massaal online hun aankopen deden, hadden de onderzoekers van het Nederlandse cybersecuritybedrijf Sansec wel verwacht. Dus toen ze in mei malware aantroffen in de webshop van de wereldwijde winkelketen Claire’s, dat ook vestigingen in Nederland heeft, verbaasde hen dat niet. Totdat bij nader onderzoek de sporen wezen naar een opmerkelijke herkomst van de digitale skim-actie: Noord-Korea. Het bleek ook niet de enige poging om creditcarddata te bemachtigen die naar dat land wijst, de aanvallen waren al sinds een jaar bezig.

Bij digitaal skimmen, ook wel Magecart, genoemd, probeert de hacker toegang te krijgen tot het betalingsdeel van de webshop van een bedrijf. Op het moment dat een klant afrekent, worden de creditcardgegevens weggesluisd en gekopieerd. Criminelen gebruiken die data om zelf spullen aan te schaffen of verhandelen de gegevens voor grote bedragen op de digitale zwarte markt. De data van een creditcard kan tussen de 5 en 30 dollar per stuk opleveren.

,,Dit type fraude (digitale skimming) is al een paar jaar bezig, de meeste zaken die wij onderzoeken hebben een link met Indonesië, Rusland, Brazilie of het Midden-Oosten”, zegt Willem de Groot van Sansec. In de aanval op Claire’s en andere soortgelijke incidenten op bijvoorbeeld een Amerikaans bedrijf dat handelt in auto-onderdelen, kwamen de onderzoekers echter steeds dezelfde stukjes code tegen in de malwareprogramma’s. Codes die wijzen naar de zogenoemde Lazarus-hackersgroep. De groep, ook wel Hidden Cobra genoemd, wordt door de Verenigde Staten aan Noord-Korea gelinkt.

Over dat land schreef de Verenigde Naties vorig jaar zomer in een vertrouwelijk rapport ‘dat het ‘uitgebreide en zeer ontwikkelde’ cyberaanvallen pleegt op banken en beurzen waar cryptovaluta wordt verhandeld. De VN schatte dat het land daarmee 2 miljard dollar (1,8 miljard euro) heeft buitgemaakt, zo berichtte persbureau Reuters. Geld waarmee Noord-Korea haar raketprogramma zou bekostigen. ,,Ik was wel verrast om een verband te vinden met Noord Korea. Maar blijkbaar zijn ze op zoek naar nieuwe verdienmodellen”, stelt De Groot.

De verspreiders van de malware maakten bij hun aanvallen ook gebruik van daadwerkelijke bestaande bedrijven en winkels om hun sporen te verhullen. Zo werden gestolen creditcarddata weggesluisd via onder meer een Italiaans modellenbureau en een Iraanse muziekwinkel. Die bedrijven hadden zelf niets met de cyberaanval te maken. ,, Ze gebruiken gekraakte sites zoals die van het modellenbureau om hun sporen te verhullen. Om het spoor van de gestolen data te volgen moet de politie eerst bewijsmateriaal opvragen in Italië, wat wel even kan duren. Hoe meer tussenstations, hoe lastiger om de uiteindelijke ontvanger te achterhalen.”

Hoe omvangrijk de aanval vanuit de Lazarus-groep op de webshops is, is niet duidelijk. De onderzoekers kwamen geen specifieke aanvallen op Nederlandse bedrijven tegen. De Nederlandse inlichtingendienst AIVD stelt in haar jaarverslag over 2018 al wel te zien dat ‘landen als Iran, Noord-Korea en Rusland zich schuldig maken aan sabotage en misbruik van de ict-infrastructuur’.