Een handvol Amerikaanse defensiebedrijven was eind vorig jaar het doelwit van een zeer gerichte aanval, waarbij uit 2009 stammende aanvalscode werd gebruikt. Via een kwaadaardig PDF-document dat een onbekend lek in Adobe Reader 9 voor Windows gebruikte, wisten de aanvallers bij een aantal bedrijven in te breken. Volgens Adobe werden minder dan twintig computers binnen verschillende defensiebedrijven geïnfecteerd. "Dit was één team met één verzameling doelwitten", aldus Adobe beveiligingschef Brad Arkin.
Uit onderzoek zou blijken dat de aanval onder andere tegen personeel van ManTech was ingezet, een groot defensiebedrijf. Na het openen van het document werd de Sykipot Trojan gedownload. De defensiebedrijven beschikten wel over een virusscanner, maar de malware was zo aangepast dat die niet door de anti-virus software werd opgemerkt.
Recycling
Voor de aanval gebruikten de aanvallers een verbouwde proof-of-concept exploit uit 2009, laat Arkin weten. Het bedrijf waarschuwde klanten op 6 december voor een nieuw lek in de PDF-lezer, dat tien dagen later via een noodpatch werd verholpen. Vier dagen na de bekendmaking door Adobe, ontdekte beveiligingsonderzoeker Brandon Dixon dat de aanvallers een uit 2009 stammende exploit van Andres Manzano gebruikten, iets wat Arkin nu heeft bevestigd.
"Ontwikkelen maakt mensen lui, wat prima is, maar niet als je exploits schrijft", aldus Dixon. Hij concludeert dat de aanvallers publiek beschikbare code opnieuw gebruikten. "Deze aanval laat ook zien dat aanvallers lezen wat onderzoekers publiceren en soms gebruiken."
Arkin doet dan ook een beroep op onderzoekers. "Ik denk dat het fantastisch is als mensen hun eigen tijd en energie gebruiken om bugs en lekken in software te vinden. Ik vraag alleen dat ze nadenken over het mogelijke gebruik van die informatie als ze iets publiceren."
Deze posting is gelocked. Reageren is niet meer mogelijk.