Een groep cybercriminelen die in 2013 Microsoft, Apple, Facebook en Twitter hackte is nog altijd actief en heeft het op grote ondernemingen voorzien, waarbij zowel malware voor Windows als Mac OS X wordt ingezet. Voor de aanval op de Amerikaanse internetbedrijven gebruikten de aanvallers destijds een zero day-lek in Java. Op het moment van de aanval was er nog geen update voor het lek beschikbaar.

Na alle aandacht voor de inbraken in 2013 verdwenen de aanvallers voor bijna een jaar, maar inmiddels zijn ze terug en maken ze gebruik van een onbekend lek in Adobe Flash Player en gebruiken ze een certificaat van de Taiwanese fabrikant Acer om malware mee te signeren. Dat melden anti-virusbedrijven Symantec en Kaspersky Lab vandaag. Beide virusbestrijders hebben een analyse van de groep online gezet.

Het gaat volgens de anti-virusbedrijven om een groep cybercriminelen die op een veel hoger niveau opereert dan andere cybercriminelen. Zo wordt er niet gezocht naar creditcardgegevens, maar naar zeer waardevolle informatie. De aanvallen waren de afgelopen jaren gericht tegen advocatenkantoren, Bitcoin-gerelateerde bedrijven, investeringsmaatschappijen, IT-bedrijven, gezondheidsbedrijven en makelaars, maar ook individuele gebruikers. De meeste slachtoffers bevinden zich in Canada, Europa en de Verenigde Staten.

Aanvallen

Om slachtoffers te infecteren hebben ze het eerder genoemde zero day-lek in Java gebruikt en tenminste één kwetsbaarheid in Internet Explorer 10, zo meldt Symantec. Kaspersky Lab laat weten dat de aanvallers een onbekende kwetsbaarheid in Flash Player hebben ingezet. Hoe slachtoffers via de lekken worden aangevallen is onbekend. Bij de eerste aanvallen in 2012 en 2013 werden websites gehackt die doelwitten al uit zichzelf bezochten. Hoe de aanvallers bij de nieuwe serie aanvallen in 2014 en 2015 te werk gaan is echter een raadsel. In het geval de aanval succes is gebruiken de aanvallers verschillende tools, waaronder een backdoor voor Mac OS X en Windows.

De aanvallers hebben het vooral voorzien op mailservers. Zodra er toegang tot de Microsoft Exchange of Lotus Domino-servers is verkregen wordt het e-mailverkeer waarschijnlijk afgeluisterd, zo stelt Symantec. Ook kunnen er "frauduleuze e-mails" worden geïnjecteerd. Verder ontdekte Kaspersky Lab dat de malware die dit jaar door de groep werd gebruikt was gesigneerd met een legitiem certificaat van Acer. Hoe dit certificaat is verkregen is onbekend. De certificaatautoriteit die het certificaat uitgaf is inmiddels gevraagd het certificaat in te trekken.

"Vergeleken met andere spionagegroepen is deze groep een van de meest bijzondere die we hebben geanalyseerd en gevolgd", laat Kaspersky Lab weten. De virusbestrijder waarschuwt dat de criminelen nog steeds actief zijn. Ook Symantec waarschuwt ondernemingen voor de groep, die niet alleen over uitstekende operationele security beschikt, maar er ook in is geslaagd om de activiteiten uit te breiden en daarbij niet op te vallen. "De groep vormt een dreiging die bedrijven serieus moeten nemen", aldus de virusbestrijder. De gegevens die de groep steelt gebruikt het mogelijk voor eigen financieel gewin, of verkoopt die door aan de hoogste bieder.