Een groep cyberspionnen die van aanvallen op een groot aantal organisaties wordt verdacht heeft vorig jaar bij deze aanvallen 6 zero day-lekken ingezet. Op het moment van de aanvallen waren er nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar.

De groep cyberspionnen wordt Pawn Storm genoemd, maar staat ook bekend als 'Fancy Bear', 'Sofacy', 'Sednit', 'APT28', Threat Group-4127 en 'Strontium'. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma, de presidentscampagne van Hillary Clinton, het Wereld Anti-Doping Agentschap (WADA), MH17-onderzoekers van het onderzoekscollectief Bellingcat en John Podesta door de groep aangevallen.

De aanvallen bestaan zowel uit phishingmails als het gebruik van beveiligingslekken in veelgebruikte software. Vorig jaar werden er twee zero day-lekken in Adobe Flash Player, twee kwetsbaarheden in Java, een kwetsbaarheid in Microsoft Office en een kwetsbaarheid in Windows door de aanvallers gebruikt, zo meldt het Slowaakse anti-virusbedrijf ESET. Volgens de onderzoekers van het bedrijf is het onwaarschijnlijk dat doorsnee cybercriminelen over zoveel onbekende kwetsbaarheden kunnen beschikken.

Daarnaast maakt de groep ook gebruik van bekende kwetsbaarheden waarvoor beveiligingsupdates al wel beschikbaar zijn. Het komt geregeld voor dat gebruikers en organisaties deze updates niet hebben geïnstalleerd en zo toch succesvol kunnen worden aangevallen. Het gaat dan om kwetsbaarheden in bijvoorbeeld Microsoft Office en Adobe Reader die via e-mail worden aangevallen. De spionagegroep maakt echter ook gebruik van kwaadaardige en gehackte websites om doelwitten te infecteren, bijvoorbeeld door deze websites van een exploit voor Adobe Flash Player te voorzien. Meer informatie over de werkwijze van de groep geeft ESET in een uitgebreid rapport (pdf).