Verschillende bedrijven in de defensie- en luchtvaartindustrie zijn het doelwit van een 'Advanced Persistent Threat' (APT) campagne geworden, maar zo geavanceerd zijn de aanvallers niet. Symantec bracht de aanval onlangs al in de openbaarheid, maar beveiligingsbedrijf FireEye heeft meer details over de werkwijze van de aanvallers gepubliceerd.

Die blijken namelijk kwaadaardige e-mails en drive-by downloads te gebruiken om computers te infecteren. De exploits in deze bestanden of op de websites maken misbruik van beveiligingslekken in Adobe Reader, Acrobat en Microsoft Word.

Hoewel defensiebedrijven en organisaties in de lucht- en ruimtevaartindustrie regelmatig in het nieuws verschijnen wegens gehackte netwerken, wordt het aanvallers wel heel eenvoudig gemaakt.

China
Bij de 'Beebus' APT-operatie, zoals FireEye de APT-campagne noemt, worden drie PDF-exploits en twee DOC-exploits gebruikt. De PDF-exploits maken misbruik van beveiligingslekken uit 2009, 2011 en 2012. De twee exploits voor Microsoft Word zijn alleen effectief als systeembeheerders updates uit 2010 en 2012 niet hebben geïnstalleerd.

Zodra de aanval succesvol is, wordt er verbinding met een Command & Control-server gemaakt. Vervolgens wordt er informatie over het systeem, zoals processorsnelheid, geheugenverbruik, besturingssysteem en andere informatie naar de aanvallers doorgestuurd. Ook kan de malware aanvullende programma's installeren.

Volgens FireEye zou de Beebus-campagne al sinds 2011 actief zijn en is die, gezien de gebruikte tools, technieken en procedures, het werk van Chinese hackers.