Microsoft heeft onlangs een spionageaanval tegen grote techbedrijven en financiële organisaties ontdekt waarbij de aanvallers het updatemechanisme van een niet nader genoemd editprogramma gebruikten om de organisaties te infiltreren. De aanvallers hadden het softwarebedrijf dat het editprogramma aanbiedt gehackt. Vervolgens gebruikten ze de updatefunctie van de software om andere organisaties met malware te infecteren.

"De softwareontwikkelaar had geen idee van het probleem. Hoewel hun logistieke softwareketen als aanvalsvector tegen andere organisaties werd gebruikt, waren ze zelf ook een doelwit", aldus Elia Florio van het Windows Defender ATP Research Team. "Deze cyberaanval had veel problematischer kunnen zijn als die onopgemerkt was gebleven." Doordat de aanval in een vroeg stadium werd ontdekt kon de impact worden beperkt.

Tijdens het forensisch onderzoek van de Temp-map op besmette systemen bleek dat de updater een ongesigneerd bestand downloadde. Het bestand, dat Microsoft als de Rivit Trojan bestempelt, bleek verschillende PowerShell-scripts en een 'reverse shell' te starten waarmee de aanvaller toegang tot de machine kreeg. Verder onderzoek wees uit dat de aanval alleen tegen bepaalde machines was gericht en de meeste machines die het had kunnen infecteren negeerde.

Volgens Microsoft is er dan ook sprake van een zorgvuldig geplande aanval. De softwaregigant kon uiteindelijk alle getroffen partijen waarschuwen, alsmede het gehackte softwarebedrijf. Het is niet de eerste keer dat aanvallers via het updatekanaal toeslaan. In het verleden is deze aanvalsvector vaker gebruikt. Microsoft adviseert softwareleveranciers die een automatische updatefunctie aanbieden dan ook om altijd de digitale handtekening te controleren van bestanden die via een updatekanaal zijn gedownload en ze nooit zomaar op het systeem van gebruikers uit te voeren.