De afgelopen week zijn verschillende activisten die zich inzetten voor de Oeigoeren het doelwit van een gerichte aanval geworden waarbij een recent gepatcht Java-lek werd gebruikt. De Oeigoeren zijn een Turks volk uit de Chinese autonome regio Sinkiang. In het verleden zijn al vaker personen en organisaties die zich met deze bevolkingsgroep bezighouden het doelwit van gerichte aanvallen geworden.

De nu waargenomen aanval viel op omdat die onderdeel van de NetTraveler spionagecampagne is. NetTraveler werd in juni van dit jaar ontdekt. Het gaat om een Advanced Persistent Threat (APT) die 350 slachtoffers in 40 verschillende landen maakte. De campagne wordt 'NetTraveler' genoemd vanwege een string in de code met de tekst 'nettraveler is running!'.

Doelwit

Volgens het Russische anti-virusbedrijf Kaspersky Lab bestaat de groep achter NetTraveler uit zo'n 50 personen, die Chinees als moedertaal hebben en het Engels machtig zijn. Doelwitten bestaan uit verschillende instellingen, zowel in de overheids- als in de privésector, overheidsinstellingen, ambassades, olie- en gassector, onderzoekscentra, militaire bedrijven en activisten.

De nu aangevallen activisten kregen een e-mail die zogenaamd een link naar een conferentie voor Oeigoeren zou bevatten. In werkelijkheid wijst de link naar een domein dat een beveiligingslek in Java gebruikt om de computer van bezoekers met malware te infecteren.

Het lek in kwestie, CVE-2013-2465, bevindt zich in Java 5, 6 en 7. Oracle publiceerde in juni van dit jaar alleen voor Java 7 een update. In het geval van Macgebruikers publiceerde Apple een update, maar voor Windowsgebruikers met Java 6 verscheen er geen patch, terwijl deze versie zo'n 20% van de Java-installaties uitmaakt.