Niet alleen Amerikaanse, maar ook Europese oliemaatschappijen zijn regelmatig het doelwit van hackers. Gisteren kwam de Christian Science Monitor met het bericht dat drie oliemaatschappijen via een gerichte aanval waren gehackt. Het ging om Marathon Oil, ExxonMobil en ConocoPhillips. De aanvallers waren uit op de omvang, waarde en locatie van nieuwe olievelden. Hoewel de bedrijven de aanvallen niet bevestigen en alle bronnen anoniem zijn, is het geschetste scenario volgens Gunter Ollmann van beveiligingsbedrijf Damballa zeer aannemelijk. De aanvallen werden via een spear-phishing e-mail uitgevoerd, die een link naar een website bevatte en van een bekende collega afkomstig leek.

Net als bij Google wordt wederom China als mogelijke dader genoemd. Uit eigen ervaring laat Ollmann weten dat de aanvallen van zowel eerste als derde wereld landen afkomstig zijn, en vaak een "regionaal" kenmerk hebben. Hij herinnert zich een aanval op oliemaatschappijen, die rond de Middellandse Zee nieuwe pijplijnen installeerde. De gebruikte Trojaanse paarden hadden Cyrillische lettertypen en zo zijn er nog meer voorbeelden van regionale malware. Daarnaast is het aanvallers niet alleen om informatie over nieuwe olievelden te doen. In sommige gevallen worden zelfs fysieke aanvallen voorbereid.

Kinderspel
Geavanceerde malware is volgens Ollmann de kern van een succesvolle gerichte aanval, aangezien het de aanvallers toegang tot machines, netwerk en informatie geeft. "Geavanceerd betekent in dit geval niet lastig te verkrijgen." De onderzoeker merkt op dat het kinderspel is om de benodigde malware te verkrijgen. "Als je een zoekmachine en het programma dat je net gedownload hebt kunt gebruiken, heb je alle vaardigheden om je eigen malware te maken."

Google
Gerichte aanvallen staan beter bekend als 'Advanced Persistent Threat' (APT) en vinden al jaren plaats. Het gaat daarbij niet om bepaalde malware of een aanvalsvector. "Het zijn gecoördineerde aanvallen door gemotiveerde professionele criminelen." Criminelen die in hun aanval zullen slagen, zo merkt de onderzoeker op. "Het is veilig om te zeggen dat er verschillende andere APTs op dit moment binnen Google's netwerk actief zijn en wachten om ontdekt te worden. Dat is de aard van de dreiging." Het belangrijkste voor bedrijven is om te weten wanneer ze gehackt zijn. Ollmann adviseert om vooral naar de Command en Control (CnC) communicatie te kijken, aangezien dat de zwakke plek van de APT is.