Drie Amerikaanse laboratoria zijn het afgelopen weekend het doelwit van een spear phishing-aanval geworden. Het zou om het Battelle Memorial Institute, Pacific Northwest National Lab en een niet nader genoemd lab gaan. Volgens een woordvoerder betreft het "een zeer geraffineerde" aanval, waardoor de laboratoria zich genoodzaakt zagen de e-maildiensten tijdelijke offline te halen. Er zou echter geen geclassificeerde informatie zijn gestolen.

Bij een spear phishing-aanval wordt er een op maat gemaakte e-mail naar één of meerdere personen binnen een organisatie gestuurd. De e-mail is van een bijlage of link voorzien, die een beveiligingslek in de browser, kantoorsoftware, PDF-lezer of andere plugin misbruikt om een backdoor of Trojaans paard op de computer te installeren.

Bij verschillende spear phishing-aanvallen worden zero-day exploits ingezet, voor beveiligingslekken waar nog geen patch voor beschikbaar is. Ook zijn er voldoende voorbeelden van aanvallen waarbij de aanvallers oudere lekken misbruiken.

SecurID
Of er in dit geval ook een zero-day lek is gebruikt is onbekend. Zowel de website als externe e-maildienst worden pas na een volledig onderzoek hersteld. Daarbij wordt ook gekeken of er beveiligingsupdates ontbreken. Beveiligingsexpert Jeffrey Carr ontdekte dat Battelle een klant van beveiligingsbedrijf RSA is en de SecurID authenticatieoplossing gebruikt. RSA werd in maart gehackt, waarbij informatie over SecurID werd gestolen.

Die informatie werd later voor een aanval op Lockheed-Martin en andere bedrijven gebruikt. Het is nog onbekend of dit nu ook het geval is. Wel is bekend dat Battelle in februari wegens het overtreden van beveiligingsrichtlijnen op de vingers werd getikt.