Fabrikanten en ontwikkelaars van onbemande voertuigen, beter bekend als drones, zijn het doelwit van een spionagecampagne waarbij een nogal zwaarlijvige backdoor wordt ingezet. De aanvallen vinden al sinds december 2011 plaats en zijn gericht tegen de luchtvaart-, defensie- en telecomindustrie, alsmede overheidsorganisaties in de Verenigde Staten en India.

Beveiligingsbedrijf FireEye ontdekte dat alle aangevallen organisaties iets met de ontwikkeling van drones te maken hebben, van onderzoek en ontwerp tot fabricage van de voertuigen en hun verschillende subsystemen. De aanvallen vinden plaats via e-mail en maken misbruik van beveiligingslekken in Microsoft Office.

In alle gevallen was er een beveiligingsupdate voor de misbruikte lekken aanwezig. Organisaties die de Office-update hadden geïnstalleerd liepen dan ook geen risico als werknemers de ongevraagde documenten openden. Bij bedrijven en organisaties die de Office-updates niet hadden geïnstalleerd wisten de aanvallers computers te infecteren.

Backdoor
Op deze machines werd de Mutter backdoor geïnstalleerd, die verschillende trucs gebruikt om op de computer onopgemerkt te blijven. Zo worden er valse eigenschappen gebruikt, waardoor de malware zich als Google of Microsoft voordoet. Daarnaast blaast de backdoor zich ook gigantisch op.

Het oorspronkelijk bestand is slechts 160KB groot, maar vervolgens wordt dit met willekeurige data tot meer dan 40MB aangevuld. Daardoor heeft elk bestand een unieke hash, wat identificatie bemoeilijkt. Daarnaast zouden onderzoekers mogelijk niet zo snel naar een bestand van meer dan 40MB kijken.

Verder wacht de malware tot het actief wordt, waardoor malware analysesystemen denken dat het om een schoon bestand gaat, aangezien de kwaadaardige routines pas na een bepaalde tijd zichtbaar worden. Wie er mogelijk achter de aanvallen zit laat FireEye niet weten, hoewel het vermoedt dat de aanvallen iets met Zuid-Aziatische politiek te maken hebben.