Een recent ontdekte aanval op een onbekend en ernstig beveiligingslek in Internet Explorer 6, 7 en 8 is het werk van een groep hackers die eerder ook bij Google wisten in te breken. Dat beweert het Amerikaanse anti-virusbedrijf Symantec. Het gaat hier om het 'Elderwood Project', zoals de virusbestrijder de campagne van de hackers noemt. De groep zou sinds 2009 verschillende zero-day-lekken hebben gebruikt.

Het gaat in totaal om negen voorheen onbekende kwetsbaarheden, een ongekend aantal voor één groep. Vijf van de gebruikte zero-day-lekken bevonden zich in Adobe Flash Player, de overige vier werden in Microsofts Internet Explorer ontdekt, waarbij de meest recente van vorige week woensdag dateert.

Slachtoffers
De aanvallen van het Elderwood Project, die zowel per e-mail als websites worden uitgevoerd, hebben defensiebedrijven, energiebedrijven overheidsinstellingen, NGO's en mensenrechtenorganisaties als doelwit. Uit welk land de aanvallers komen wil Symantec niet zeggen, maar volgens Google was het door Chinese hackers destijds aangevallen. De malware die nu op de gehackte computers wordt geïnstalleerd bevat Chinese tekens.

De nu ontdekte aanval werd eerst op de website van het Council on Foreign Relations (CFR) ontdekt, één van de meest gezaghebbende websites over buitenlandse relaties in de Verenigde Staten. Vervolgens werd duidelijk dat er meer websites door de aanvallers waren ingezet, waaronder de website van Capstone Turbine, een Amerikaans bedrijf dat energieturbines fabriceert.

Volgens Jindrich Kubec, onderzoeker bij anti-virusbedrijf Avast, zijn ook de websites van een krant in Hong Kong, een Russische wetenschapswebsite en een Chinese mensenrechtenwebsite gehackt en gebruikt voor het infecteren van bezoekers. Beveiligingsonderzoeker Eric Romang stelt dat ook een Taiwanees reisbureau is gehackt.

In alle gevallen gaat het om 'drinkplaats-aanvallen'. De aanvallers hacken hierbij een website die potentiële slachtoffers uit zichzelf zullen bezoeken. Ze hoeven daardoor geen gerichte e-mails te versturen of eigen kwaadaardige websites op te zetten, wat de kans op detectie verkleint.

Groep
Symantec ontdekte dat een website die bij eerdere exploits van het Elderwood Project ook bij de nu ontdekte aanval is ingezet. Daarnaast komen ook de gebruikte Flash-bestanden grotendeels overeen, wat de virusbestrijder doet concluderen dat het om dezelfde groep gaat.

"Het is duidelijk dat de groep echter het Elderwood Project doorgaat met het produceren van nieuwe zero-day kwetsbaarheden voor het gebruik bij drinkplaats-aanvallen en we verwachten dat ze in het nieuwe jaar hiermee doorgaan." Microsoft liet weten dat het gebruikte zero-day lek niet tijdens de patchcyclus van januari wordt verholpen. Wel is er een Fix it-oplossing voor IE-gebruikers beschikbaar.

Overzicht van acht gebruikte zero-day-lekken, waar nu ook CVE-2012-4792 aan kan worden toegevoegd