De Amerikaanse autoriteiten hebben een Chinese man opgepakt en aangeklaagd wegens het handelen in de Sakula-malware en de betrokkenheid bij aanvallen op verschillende Amerikaanse bedrijven. Sakula werd ook gebruikt bij de aanval op het Office of Personnel Management (OPM).

Deze overheidsinstantie is verantwoordelijk voor de screening van Amerikaanse ambtenaren. Aanvallers wisten via de hack de gegevens van miljoenen ambtenaren te stelen, waaronder biometrische informatie en formulieren met zeer gevoelige persoonlijke informatie die voor screenings werden ingevuld. Nergens in de aanklacht wordt het OPM echter genoemd.

Wel stelt het Amerikaanse Openbaar Ministerie dat de Chinese man betrokken is geweest bij aanvallen op vier bedrijven waar de Sakula-malware onder andere werd gebruikt om klanten van deze bedrijven te infecteren. De aanvallers wisten toegang tot de webservers van de bedrijven te krijgen en plaatsten daar vervolgens zeroday-exploits die misbruik van onbekende kwetsbaarheden in Internet Explorer maakten. Het ging om CVE-2012-4969, CVE-2012-4792 en CVE-2014-0322.

Via deze zeroday-exploits wisten de aanvallers volgens de aanklacht naar meer dan 500 Amerikaanse ip-adressen kwaadaardige code te sturen. De aanvallers wisten ook toegang te krijgen tot het officiële updatedomein van Microsoft in Zuid-Korea, namelijk update.microsoft.kr. De eerste Sakula-variant die de FBI ontdekte was ingesteld om verbinding met dit Microsoft-domein te maken.

De FBI stelt dat het de communicatie tussen de Chinese man en zijn handlangers in China heeft onderschept, waar onder andere uit zou blijken dat hij voor het leveren van de Sakula-malware verantwoordelijk is. De man, die in de Verenigde Staten een conferentie wilde bezoeken, werd maandag op een vliegveld in Los Angeles aangehouden. De advocaat van de man laat weten dat hij onschuldig is, zo meldt Reuters.