De spyware van het Italiaanse bedrijf HackingTeam die in 2015 bij het bedrijf werd gestolen en online verscheen is door een groep cyberspionnen gebruikt om internetgebruikers aan te vallen. Dat laat het Finse anti-virusbedrijf F-Secure vandaag in een rapport weten (pdf).

De hackergroep wordt Callisto genoemd en voert phishingaanvallen uit om toegang tot webmailaccounts te krijgen. Ook verstuurt de groep via gehackte e-mailaccounts kwaadaardige documenten. Aan deze documenten is malware toegevoegd, maar die wordt niet standaard uitgevoerd. Gebruikers moeten eerst op het embedded bestand in het document klikken. Vervolgens laat Word een waarschuwing zien dat het te openen bestand schade aan de computer kan toebrengen. Als de gebruiker voor "Ok" kiest wordt de malware uitgevoerd.

Deze malware blijkt een variant van de Scout-tool te zijn, die onderdeel van het Remote Control System (RCS) hackingplatform van HackingTeam is. De aanvaller die het Italiaanse bedrijf in 2015 hackte publiceerde de broncode en installatiesoftware van het RCS-platform op internet. Volgens F-Secure hebben de aanvallers de installatiesoftware gebruikt om hun eigen versie van het RCS-platform op te zetten. De Scout-tool fungeert als backdoor en laat aanvallers informatie over het aangevallen systeem verzamelen en aanvullende malware installeren.

De Callisto-groep heeft het voorzien op militair personeel, overheidsfunctionarissen, denktanks en journalisten in Europa en de zuidelijke Kaukasus. Er wordt vooral gezocht naar inlichtingen met betrekking op buitenlands en veiligheidsbeleid in Oost-Europa en de zuidelijke Kaukasus. Volgens Erka Koivunen van F-Secure laten de aanvallen via de HackingTeam-spyware zien dat het gebruik van dergelijke surveillancesoftwware niet zonder risico's is en dat door het lekken van dergelijke tools ook cybercriminelen hier gebruik van kunnen maken. "Dit zou overheden eraan moeten herinneren dat we geen monopolie hebben op deze technologieën", aldus Koivunen.