Deze week hebben een Russisch en Amerikaans beveiligingsbedrijf twee langdurige spionagecampagnes ontmaskerd, die vaak via eenvoudige tactieken bij hun doelwitten weten binnen te dringen. Het Amerikaanse FireEye schrijft over een campagne genaamd "PittyTiger" die sinds 2011 actief zou zijn.

De groep stuurt spear phishingmails in het Engels, Frans en Chinees, voorzien van kwaadaardige Office-documenten. De documenten maken misbruik van Office-lekken die Microsoft in 2012 en 2014 patchte. Op het moment dat de documenten verstuurd werden had Microsoft de lekken al gepatcht. Aangevallen organisaties hadden zich dan ook eenvoudig kunnen beschermen door de betreffende Office-patches te installeren.

In het geval de aanval succesvol is wordt er een backdoor geïnstalleerd, die onder andere allerlei informatie over het systeem naar de aanvallers verstuurt, zoals hostname, gebruikersnaam, 32-bit of 64-bit systeem, besturingssysteem, organisatie, eigenaar, geïnstalleerde en actieve software en netwerkconfiguratie. Verder installeert de backdoor aanvullende malware op het systeem. Hoeveel systemen er door PittyTiger besmet zijn geraakt laat FireEye niet weten.

Energetic Bear

De tweede spionagecampagne die deze week aan het licht kwam wordt door het Russische Kaspersky Lab "Energetic Bear" genoemd en zou sinds eind 2010 actief zijn. De aanvallers hebben het voorzien op organisaties in de industriële, farmaceutische, educatieve en IT-sectoren. Ook deze aanvallers gebruiken spear phishingmails die van bekende lekken gebruik maken die niet door de aangevallen instanties gepatcht zijn. Het gaat dan om PDF-documenten die misbruik van een lek in Flash Player maken dat in 2011 door Adobe werd gepatcht.

Daarnaast worden er ook zogeheten drinkplaats-aanvallen ingezet, waarbij websites worden gehackt die slachtoffers al uit zichzelf bezoeken. Deze websites worden van kwaadaardige code voorzien die misbruik van lekken in Internet Explorer en Java maken die niet door bezoekers van de websites zijn gepatcht. Wederom gaat het ook hier om bekende kwetsbaarheden.

Getrojaniseerd Installatieprogramma

De malware die Energetic Bear gebruikt, de zogeheten Havex Trojan, kwam onlangs al in het nieuws doordat deze malware ook via getrojaniseerde installatieprogramma's wordt verspreid. Een tactiek die voor zover bekend minder vaak voorkomt dan het gebruik van spear phishing en drinkplaats-aanvallen. Zo wisten de aanvallers een besmette SwissRanger cameradriver op de officiële website te plaatsen. Ook werd de Belgische SCADA-leverancier eWon het doelwit, alsmede het Duitse MB Connect Line, waar in beide gevallen legitieme software door een besmette versie werd vervangen.

In totaal detecteerde Kaspersky Lab 2800 systemen die tijdens de aanvalscampagne besmet waren geraakt, waarvan er 106 geïdentificeerd konden worden. In de meeste gevallen gaat het om educatieve instellingen (32) en onderzoeksinstellingen (14). Verder blijkt dat 57% van de slachtoffers nog Windows XP gebruikt en dat de meeste slachtoffers zich in Spanje en Duitsland bevinden. In zowel het geval van PittyTiger als Energetic Bear vinden de aanvallen nog steeds plaats.