De aanvallers die de computers van zowel Apple- als Facebook-werknemers wisten te infecteren hadden het niet specifiek op de IT-giganten voorzien. Dat zegt beveiligingsonderzoeker Eric Romang, die de sporen van de aanval onderzocht. De aanval vond plaats via een gehackt forum voor iPhone-ontwikkelaars waar een exploit voor een Java-lek werd geplaatst.
Het Java-lek in kwestie werd op 1 februari door Oracle via een noodpatch verholpen. Afgelopen weekend liet Facebook weten dat een aantal werknemers gehackt waren, gisteren was het Apple. Rond het verschijnen van de noodpatch stelde Twitter dat de gegevens van 250.000 gebruikers mogelijk waren gecompromitteerd. In het bericht adviseerde het gebruikers om Java uit te schakelen.
Een ander interessant gegeven was dat Apple de Java browserplug-in op 31 januari via een update voor de ingebouwde malware-tool Xprotect blokkeerde. Het was de tweede keer in een maand tijd dat het bedrijf dit deed. Volgens Romang is het zeker een reactie op de infectie die 19 dagen later werd opgebiecht.
Domein
Via urlQuery ontdekte de onderzoeker dat er op 23 januari Java code werd gebruikt bij het bezoeken van de website. Via JSUNPACK achterhaalde Romang dat het domein min.liveanalytics.org aan www.iphonedevsdk.com is gekoppeld. De laatst genoemde is het forum voor iPhone-ontwikkelaars waar de aanvallers de kwaadaardige JavaScript plaatsten.
Het domein liveanalytics.org werd op 8 december geregistreerd. De eerste relatie met iphonedevsdk.com zou van 22 januari van dit jaar dateren, maar de WayBack Machine laat een ander verhaal zien. Google Chrome waarschuwde gebruikers van het ontwikkelaarsforum al op 15 januari dat de website malware bevatte die van het domein liveanalytics.org afkomstig was. Het domein ging uiteindelijk op 24 januari offline.
Java updates
Romang kijkt niet alleen naar de gebruikte domeinen, maar ook de patches van Oracle. Op 11 december 2012 verscheen een update voor Java 7 (Update 10) die gebruikers het beveiligingsniveau voor Java-applets liet instellen. Oracle publiceerde op 13 januari (Update 11) en 1 februari noodpatches voor Java.
Java Update 11 verhoogde het beveiligingsniveau van Java-applets van medium naar hoog, waardoor gebruikers een waarschuwing te zien krijgen als een website een Java-applet laadt. Aan de hand hiervan veronderstelt Romang dat de slachtoffers van de aanval op iphonedevsdk.com niet over de laatste Java-versie beschikten.
Ook zouden ze het beveiligingsniveau voor applets niet hebben verhoogd, ondanks de geschiedenis van zero-day-lekken in Java. De slachtoffers ontdekten waarschijnlijk dat ze werden aangevallen na Java 7 Update 13, waar het beveiligingsniveau automatisch werd aangepast en ze opeens een waarschuwing bij iphonesdk.com kregen.
Doelwit
Hoewel Facebook en Apple getroffen zijn, en mogelijk ook Twitter, denkt Romang niet dat het om een zeer gerichte aanval gaat. "Oracle Java heeft een geschiedenis van zero-days en serieuze bedrijven zoals Twitter, Facebook en Apple hadden Java Web Start Applicaties voor onbetrouwbare applets al eerder moeten uitschakelen."
Deze posting is gelocked. Reageren is niet meer mogelijk.