Tientallen bedrijven in de chemische sector zijn het doelwit van een cyberaanval geworden waarbij geprobeerd werd vertrouwelijke informatie te stelen. De aanvallen die eind juli van dit jaar begonnen en doorliepen tot halverwege september, werden ontdekt door beveiligingsbedrijf Symantec. De aanvallers gebruikten zichzelf uitpakkende archiefbestanden, met namen als "Human right report of north Africa under the war.scr".

De laatste "Nitro-aanvallen", zoals Symantec de operatie noemt, gebruikten met wachtwoord beveiligde 7zip-bestanden. Binnen deze bestanden zat een zichzelf uitpakkend uitvoerbaar programma. Het wachtwoord voor het bestand was aan de e-mail toegevoegd. De bijlagen hadden onder andere als naam "AntiVirus_update_package.7z", "acquisition.7z", "offer.7z" en "update_flashplayer10ax.7z".

Sector
In totaal werden 29 bedrijven in de chemische sector op deze manier gehackt, en negentien bedrijven in verschillende andere sectoren, en dan voornamelijk defensiebedrijven. Het werkelijke aantal bedrijven ligt waarschijnlijk veel hoger. In een periode van twee weken zag Symantec 101 unieke IP-adressen verbinding met de command & control-server van de aanvallers maken. De getroffen bedrijven bevinden zich in twintig landen, waaronder Nederland.

De aanvallers zouden volgens Symantec eerst hun doelwit hebben onderzocht. De e-mails werden naar slechts een handjevol werknemers gestuurd. Hoewel er ook gevallen bekend zijn waarbij vijfhonderd werknemers van een bedrijf en twee keer honderd werknemers de e-mail ontvingen. Was het doelwit bepaald, dan werd de e-mail verstuurd, die zich vaak voordeed als een uitnodiging van een bekende relatie.

Naast deze aanpak werden ook e-mails verstuurd die zich als beveiligingsupdate voordeden. Openden slachtoffers het bestand, dan werd de PoisonIvy backdoor geïnstalleerd en allerlei vertrouwelijke informatie gestolen.