Microsoft heeft meer details gegeven over de gerichte aanval tegen beveiligingsonderzoekers die eerder deze week door Google werd onthuld. Personen die het blog van de aanvallers bezochten wordt dringend aangeraden om hun systeem op malware te controleren. Onder andere onderzoekers van Cisco waren doelwit van de aanval.

De aanvalscampagne begon halverwege vorig jaar. De aanvallers registreerden verschillende Twitteraccounts en deden zich voor als beveiligingsonderzoekers. Via Twitter werkten ze aan hun reputatie en werden door prominente beveiligingsonderzoekers gevolgd. Vervolgens besloten ze bepaalde onderzoekers via Twitter en LinkedIn te benaderen.

Deze onderzoekers werden gevraagd om aan onderzoek mee te werken. Wie instemde ontving onder andere een Visual Studio-project dat van malware was voorzien. Daarnaast plaatsten de aanvallers op hun Twitteraccounts links naar hun eigen blog. Onderzoekers die dit blog met Google Chrome bezochten raakten besmet met malware. De systemen van sommige slachtoffers waren volledig gepatcht. Dit suggereert volgens Microsoft dat de aanvallers een zerodaylek in Chrome gebruikten, maar hiervoor is nog geen bewijs gevonden.

De malware die bij getroffen onderzoekers werd geïnstalleerd bestond onder andere uit een tool die in Chrome opgeslagen wachtwoorden stal. Ook werd er een backdoor geïnstalleerd die allerlei informatie over het systeem verzamelde. Tevens heeft Microsoft handmatige acties van de aanvallers waargenomen, waarbij erop besmette systemen naar bestanden werd gezocht, screenshots gemaakt en aanvullende malware geïnstalleerd.

Wie het blog van de aanvallers heeft bezocht wordt aangeraden om een volledige virusscan van het systeem uit te voeren en de openbaar gemaakte Indicators of Compromise (IOCs) te gebruiken om eventuele sporen van de aanvallers te vinden. Wanneer er malware of sporen worden aangetroffen adviseert Microsoft het systeem opnieuw op te bouwen.

Eerder deze week liet Cisco al weten dat meerdere onderzoekers van het bedrijf doelwit van de aanvallers zijn geworden. De onderzoekers ontvingen geen besmette bestanden van de aanvallers, aldus Cisco. "Als beveiligingsonderzoekers is het belangrijk dat we onze eigen best practices volgen en exemplaren en informatie zoveel mogelijk afschermen en isoleren", zegt onderzoeker Warren Mercer. Hij adviseert beveiligingsonderzoekers om alert te zijn, aangezien niet alleen hun onderzoek interessant voor aanvallers is, maar ze zelf ook doelwit kunnen worden.