De directeur van een Russisch bedrijf dat encryptiesoftware ontwikkelt is aangevallen door een groep die zich eerder bezighield met het aanvallen van NAVO, het Witte Huis en het Duitse parlement. Dat claimt het Japanse anti-virusbedrijf Trend Micro. Het zou om een groep Russische spionnen gaan.

Hoewel verschillende organisaties in het buitenland het doelwit van de groep waren, worden er ook aanvallen binnen Rusland uitgevoerd. Het gaat dan om phishingaanvallen waarbij er op geraffineerde wijze wordt geprobeerd om inloggegevens van e-mailaccounts te stelen. Volgens Trend Micro zijn leden van de rockband Pussy Riot, politici, journalisten en softwareontwikkelaars het doelwit geweest. Naast de directeur van het bedrijf dat encryptiesoftware ontwikkelt werd ook een ontwikkelaar van de webmaildienst Mail.ru aangevallen.

Phishing

De aanvallen op de Russische personen waren onderdeel van een grotere campagne waarbij tienduizenden mensen met phishingmails werden bestookt. Het gaat dan om gebruikers van bekende webmailproviders zoals Gmail, Yahoo, Hushmail, Outlook en andere providers in de Oekraïne, Iran, Noorwegen en China. De manier waarop de aanvallen plaatsvinden verschilt. Sommige campagnes maken gebruik van malware en beveiligingslekken. De groep aanvallers heeft in het verleden tenminste zes zero day-lekken toegepast.

Daarnaast worden ook gerichte phishingaanvallen ingezet om inloggegevens te bemachtigen. De phishingmails beweren bijvoorbeeld dat er een nieuwe dienst is om e-mails gegarandeerd af te leveren. Vervolgens wordt geprobeerd om via OAuth, een open authenticatieprotocol dat bijvoorbeeld Yahoo aan app-ontwikkelaars aanbiedt, om toegang tot de mailbox van de gebruiker te krijgen. De links in het phishingmail wijzen daarbij naar een legitieme website van Yahoo voor OAuth. Daardoor kunnen gebruikers denken dat het om een onschuldige link gaat. Wat het doel is van de aanvallers weet Trend Micro niet, maar proberen ze mogelijk om potentiële dreigingen voor Rusland in de gaten te houden.