Het Amerikaanse beveiligingsbedrijf Bit9 dat onlangs bekende gehackt te zijn, werd via SQL Injectie gevloerd. Een webserver bleek voor SQL Injectie kwetsbaar te zijn waardoor de aanvallers toegang tot het netwerk wisten te krijgen. Vervolgens werd er malware op een systeem gezet waar de beveiliger de eigen software niet op had geïnstalleerd.

Bit9 maakt whitelisting-software waardoor alleen bepaalde software op systemen is toegestaan. Overige software wordt geblokkeerd of is meteen verdacht. In totaal zouden twee gebruikersaccounts zijn gecompromitteerd.

Tussenstop
In een nieuwe update over de aanval, die al in juli 2012 plaatsvond, laat het bedrijf weten dat het slechts een tussenstop voor de aanvallers was. Die wisten toegang tot een systeem te krijgen waarmee Bit9 de eigen software signeert. De aanvallers signeerden hiermee malware die voor aanvallen op drie Amerikaanse organisaties werd gebruikt.

Welke organisaties dat zijn wil Bit9 niet vertellen, maar het merkt op dat het geen bedrijven in de kritieke infrastructuur of overheidsorganisaties waren. Ook was de aanval niet financieel gemotiveerd, maar eerder een campagne om informatie te verkrijgen, zegt CTO Harry Sverdlove.

"De motivatie en intentie van de aanvallers is belangrijk, want het helpt de beperkte omvang van de hack te verklaren."

Java-lek
De aanvallers zouden namelijk al verschillende websites voor een drinkplaats-aanval hebben gehackt. Hierbij worden websites gehackt die de potentiële slachtoffers uit zichzelf bezoeken. Op deze pagina's werd een Java-lek gebruikt om de malware te verspreiden die met het Bit9 certificaat was gesigneerd.

Bit9 heeft nu een lijst met hashes van de 32 bestanden online gezet die met het certificaat waren ondertekend, alsmede bestandsgegevens, domeinnamen en IP-adressen die bij de aanvallen gebruikt werden.

Tevens is de broncode van de software opnieuw onderzocht en zijn er geen aanwijzingen gevonden dat die door de aanvallers is aangepast.

Met dank aan Peter voor de tip