Internetgebruikers die onlangs de website van een groot industrieel bedrijf bezochten zijn zonder dat ze het wisten bespioneerd door aanvallers, waarbij er allerlei informatie voor toekomstige aanvallen werd verzameld. Dat meldt beveiligingsbedrijf AlientVault. Om welk bedrijf het ging is niet bekendgemaakt.

Wel zou er via de website software worden aangeboden voor simulatie en systeemengineering bij een groot aantal industrieën, waaronder de luchtvaart- en auto-industrie. De website was gehackt als voorbode van een drinkplaats-aanval, of in het Engels een "watering hole attack". Hierbij weten aanvallers websites over te nemen die potentiële doelwitten al uit zichzelf bezoeken. Om er zeker van te zijn dat de bezoekers van de website ook tot deze doelwitten behoren, en te weten welke software ze gebruiken, verzamelen de aanvallers allerlei informatie.

Framework

AlienVault ontdekte dat de aanvallers een verwijzing naar een JavaScript-bestand op de gehackte website hadden geplaatst dat eigenlijk een verkenningsframework was. Scanbox, zoals het framework heet, verzamelt informatie over bezoekers van de website. Het gaat dan om user-agent, locatie, cookie, domein, schermresolutie, besturingssysteem en taal. Daarnaast beschikt Scanbox over verschillende plug-ins om andere informatie te achterhalen, zoals de aanwezig van Microsoft EMET, de gratis beveiligingstool, alsmede de aanwezigheid van andere beveiligingssoftware.

Verder wordt er gekeken welke versies van Adobe Flash Player, Java, Adobe Acrobat Reader en Microsoft Office op het systeem aanwezig zijn. Voor het opvragen van de data wordt gebruik gemaakt van mogelijkheden die Internet Explorer biedt. Naast het achterhalen van deze gegevens is er ook een plug-in met keyloggerfunctionaliteit, die alle toetsaanslagen van het slachtoffer op de gehackte website verzamelt. "Dit is een zeer krachtig framework dat aanvallers veel inzicht in potentiële doelwitten geeft wat zal helpen bij het uitvoeren van toekomstige aanvallen" , aldus analist Jaime Blasco.