Een recent onthuld zero day-lek in Windows en een kwetsbaarheid in Adobe Flash Player zijn gebruikt om overheidsinstellingen en ambassades over de hele wereld aan te vallen, zo laat het Japanse anti-virusbedrijf Trend Micro vandaag weten. Het Windows-lek werd gisterenavond gepatcht.

Oorspronkelijk ging het om twee zero day-lekken, die onderzoekers van Google ontdekten en aan Adobe en Microsoft rapporteerden. Op 26 oktober kwam Adobe met een noodpatch voor de kwetsbaarheid in Flash Player. De spionagegroep besloot daarop om meer doelen via beide kwetsbaarheden aan te vallen. Begin november werden er verschillende e-mails naar overheidsinstellingen gestuurd met het onderwerp "European Parliament statement on nuclear threats".

Het bericht zou zogenaamd van een persvoorlichter van de Europese Unie afkomstig zijn. De afzender was echter vervalst. De link in de e-mail wees naar een kwaadaardige website. Deze website controleerde eerst het systeem van de bezoeker, zoals gebruikte browser en taalinstellingen. Afhankelijk hiervan werd de aanval uitgevoerd. De aanval werkte alleen als gebruikers hun Adobe Flash Player in de tussentijd niet hadden gepatcht.

Was de noodpatch niet geïnstalleerd, dan werd eerst de Flash-aanval uitgevoerd, gevolgd door het Windows-lek. Via het Windows-lek, dat op dat moment nog niet was gepatcht, konden aanvallers de malware met verhoogde rechten uitvoeren. Om gebruikers op de meegestuurde link te laten klikken gebruikten de aanvallers verschillende domeinen die op die van echte nieuwsorganisaties leken, zoals "washingtnpostnews", "politlco" en "abc24news".

Word-document

De spionagegroep maakte ook via Word-documenten gebruik van de kwetsbaarheden. Van 28 oktober tot begin november werden er e-mails naar ambassades en overheidsinstellingen gestuurd. Sommige van de e-mails deden zich voor als een uitnodiging voor een bestaande conferentie. Als bijlage was er een .doc-bestand meegestuurd. Dit document bevatte het programma van de echte conferentie. Daarnaast was er een kwaadaardig Flash-bestand aan het document toegevoegd dat de kwetsbaarheid in Flash Player aanviel.

Naast de campagnes via de link en bijlage heeft de spionagegroep verschillende andere campagnes uitgevoerd. "Dit laat zien dat de spionagegroep hun spear phishing-aanvallen heeft uitgebreid nadat de zero day-lekken waren ontdekt. Niet alle organisaties zijn er mogelijk in geslaagd de Adobe Flash Player-patch te installeren en het Windows-lek werd pas op 8 november gepatcht", zegt onderzoeker Feike Hacquebord.

Wat betreft de partij achter de aanvallen gaat het volgens Trend Micro om een groep die Pawn Storm wordt genoemd, maar ook bekendstaat als 'Fancy Bear', 'Sofacy', 'Sednit', 'APT28', Threat Group-4127 en 'Strontium'. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma, de presidentscampagne van Hillary Clinton, het Wereld Anti-Doping Agentschap (WADA), MH17-onderzoekers van het onderzoekscollectief Bellingcat en John Podesta door de groep aangevallen.