Op dumpsite Pastebin is een lijst met IP-adressen verschenen, die gebruikt zijn bij een zeer grootschalige aanval op verschillende Amerikaanse defensiebedrijven. Het gaat hier om een zogeheten Advanced Persistent Threat (APT). Een term die volgens critici te pas en te onpas binnen de beveiligingsindustrie wordt gebruikt en een zeer geraffineerde aanval weergeeft, waarbij aanvallers langere tijd het netwerk van een organisatie weten te infiltreren.
Het overzicht dat sinds 15 augustus online staat, is geplaatst door iemand die zich "RSA Employee #15666" noemt, en bestaat uit zo'n 850 hostnames en IP-adressen. Volgens het bericht op Pastebin zouden de aanvallen vijf jaar geleden zijn begonnen en nog steeds zeer effectief zijn. "De hieronder vermelde domeinen vormen slechts een klein deel van degene die op dit moment actief zijn en geven slechts de activiteiten weer van een enkele groep individuen." De aanvallen zouden namelijk het werk van drie verschillende groepen zijn.
Sojasaus
Blogger Patrick Gray ontdekte dat het gehackte beveiligingsbedrijf HBGary een deel van de IP-adressen in het verleden had geanalyseerd. Anonymous wist de beveiliger te hacken en plaatste tienduizenden e-mails en documenten online. In één van deze documenten wordt gesproken over "Operatie Sojasaus".
De IP-adressen die HBGary analyseerde werden gebruikt voor cyberspionage, vermoedelijk door Chinese aanvallers. De IP-adressen dienen als een configuratiebestand dat besmette computers naar een interactief command en control IP-adres in Hong Kong doorstuurt. De meeste van de nu gelekte IP-adressen bevinden zich in de Verenigde Staten. "De sojasaus-groep heeft een grote groep defensiebedrijven die de U.S.A. bedienen als doelwit", aldus de analyse.
Gehackt
Elk subdomein van de geregistreerde domeinnaam zou naar een succesvol geïnfiltreerd doelwit wijzen. Het gehackte Amerikaanse defensiebedrijf Booz Allen Hamilton kreeg de host bah001.blackcake.net, terwijl de Mantech Corporation via mantech.blackcake.net en man001.blackcake.net benaderd werd.
"Als je één van die IP-adressen in je logbestanden vindt, ben je waarschijnlijk door de Chinese overheid gehackt. Als je ze niet vindt, ben je waarschijnlijk alsnog gehackt", merkt Gray op.
Deze posting is gelocked. Reageren is niet meer mogelijk.