De aanvallers die eind vorig jaar toegang tot het netwerk van de New York Times wisten te krijgen hebben hun malware na jaren vernieuwd. Bij de aanval, die voor het eerst rond 13 september 2012 plaatsvond, werd er malware, waaronder backdoors, op het netwerk geïnstalleerd. Daarmee werden allerlei wachtwoorden buitgemaakt. Uiteindelijk werden Chinese hackers als dader aangewezen, hoewel een aantal experts het hier niet mee eens is.

Ontwikkeling

Sinds de aankondiging van de aanvallen in januari van dit jaar bleef het stil, maar de groep is nu terug, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. De IT-beveiliger baseert zich op nieuwe exemplaren van de Aumlib en Ixeshe malware. Deze malware werd onder andere tegen de New York Times ingezet. Opmerkelijk was dat Aumlib sinds mei 2011 niet is aangepast en Ixeshe de laatste update in december 2011 kreeg.

De malware werd in het verleden bij verschillende gerichte aanvallen gebruikt. Het feit dat de malware na zo'n lange tijd opeens wordt aangepast is volgens FireEye opmerkelijk. In tegenstelling tot cybercriminelen zouden grotere dreigingsactoren zich langzamer ontwikkelen.

De aanpassingen van de malware zijn vrij subtiel. "Maar dat kan genoeg zijn om bestaande IDS-signatures voor de detectie van oudere varianten van de Aumlibfamilie te omzeilen", aldus analist Nart Villeneuve.