Bedrijven in de energiesector zijn in mei het doelwit geworden van aanvallen waarbij beveiligingslekken in Internet Explorer, Java en Firefox werden gebruikt. Vooral het gebruik van een kwetsbaarheid in Firefox om computers en netwerken te compromitteren wordt zelden gerapporteerd.

De aanvallen werden begin mei opgemerkt door het Cisco TRAC team. Aanvallers hadden websites van een gasleverancier, een gascentrale, een industriële leverancier voor de energie-, nucleaire- en vliegsector, een bedrijf dat gas- en olievelden verkent en verschillende investeringsbedrijven gespecialiseerd in de energiesector gehackt.

Ontwerpbureau

Op sommige van de gehackte websites was een iframe geplaatst dat bezoekers met malware infecteerde, terwijl op een aantal andere gehackte websites de malware werd gehost. Het gaat hier om een "drinkplaats-aanval", waarbij aanvallers een website hacken die potentiële slachtoffers al uit zichzelf bezoeken.

Het viel op dat zes van de tien gehackte websites met een iframe op dezelfde server werden gehost en door hetzelfde ontwerpbureau werden beheerd. Drie van de zes websites waren ook eigendom van hetzelfde moederbedrijf. Volgens Cisco zijn deze sites waarschijnlijk gehackt via gestolen inloggegevens als gevolg van een infectie bij het ontwerpbureau of hun hostingprovider.

'FBI Firefox-exploit'

Om bezoekers met malware te kunnen infecteren werden drie beveiligingslekken gebruikt. Een lek in Java 7 update 4 en ouder, een lek in Internet Explorer 8 en een lek in Firefox. Het Java-lek werd in juni 2012 al door Oracle gepatcht. De kwetsbaarheid in Internet Explorer 8 was nieuw en onbekend en dwong Microsoft tot het uitbrengen van een noodpatch. Als laatste is er het Firefox-lek, dat op 25 juni van dit jaar door Mozilla werd gepatcht middels Firefox 22.

Het gaat hier om CVE-2013-1690. Dit lek zou begin augustus door de FBI zijn gebruikt om gebruikers van de Tor Browser Bundle aan te vallen. Op dat moment was het lek al gepatcht, maar de aanvallen die Cisco waarnam vonden begin mei plaats, wat zou betekenen dat het om een Firefox zero-day kwetsbaarheid gaat. Een andere mogelijkheid is dat de aanvalscampagne verschillende maanden actief was en de exploit voor Firefox pas later is ingezet.

Backdoor

Cisco laat tegenover ThreatPost weten dat alle gehackte websites zijn gewaarschuwd en de meeste de malware en iframes hebben verwijderd. Dat lijkt erop te duiden dat de aanval vrij recent nog steeds actief was. Op de besmette computers werd een Trojaans paard geïnstalleerd dat informatie over het systeem, de inhoud van het clipboard en toetsaanslagen verzamelde. Ook werd er een backdoor geopend.

Update 24 september

Cisco laat tegenover Security.NL weten dat er in het geval van Firefox geen zero-day-lek is gebruikt, maar de exploit werd ingezet toen er al een beveiligingsupdate beschikbaar was.