image

CEO securitybedrijf aangevallen via PDF limousineverhuur

dinsdag 15 oktober 2013, 12:22 door Redactie, 6 reacties

Kevin Mandia, de CEO en oprichter van het Amerikaanse beveiligingsbedrijf Mandiant, is zelf het doelwit van een gerichte aanval geworden. Mandia rijdt regelmatig in limousines, waarna het verhuurbedrijf hem na elke rit een PDF-kopie van de factuur stuurt.

"Ik begon PDF-facturen te ontvangen die niet van hen afkomstig waren, maar van een groep in China", laat Mandia tegenover Foreign Policy weten. Hij ontdekte de aanval toen de aanvallers hem een PDF stuurden op een dag dat hij de limousinedienst niet had gebruikt. Vervolgens stuurde hij het bericht door naar de analisten van zijn bedrijf, die bevestigden dat er malware in het document zat verstopt.

Presentatie

Hoe de aanvallers wisten welke limousinedienst Mandia gebruikte is onbekend. De informatie staat niet op internet vermeld en de CEO denkt ook niet dat het bedrijfsnetwerk is gehackt. Anders hadden ze ook geen noodzaak om hem de spear phishingmails te sturen. Zelf denkt Mandia dat Chinese inlichtingenagenten op een openbare lezing of presentatie van hem zijn afgekomen en daar zagen welke limousinedienst hij gebruikt.

Reacties (6)
15-10-2013, 12:28 door Anoniem
Of die limo-dienst is gehakt en hij ondervindt er de gevolgen van natuurlijk,
maar het is véél logischer dat een Chinees naar een lezing gaat, het kenteken van een zwarte limo noteert, de overheids-db hakt om te zien wie de eigenaar is van dat ding, om vervolgens contact op te nemen met een CEO. Die man vind zichzelf nogal een grote meneer zo te horen...

Over alu-hoedjes gesproken ;]
15-10-2013, 12:40 door Anoniem
onbekend. De informatie staat niet op internet vermeld en de CEO denkt ook niet dat het bedrijfsnetwerk is gehackt. Anders hadden ze ook geen noodzaak om hem de spear phishingmails te sturen.
Dat... of ze hebben het netwerk van het limousineverhuur bedrijf gehackt. Dan weten ze net zo goed welke klanten pdf's krijgen. Misschien was hij niet de enige, maar denkt dat dat wel zo is omdat hij in de beveiliging werkt.
15-10-2013, 12:59 door User2048
@Anoniem 12:28: Mandiant schreef een rapport over de spionage-activiteiten van China, dus die meneer is zeker interessant voor de Chinezen. En een simpele social engineering truc als kijken welke diensten het slachtoffer gebruikt is helemaal geen science fiction. Een overheidsdatabase hacken is overbodig. Je zegt tegen de limochauffeur: "Nice limo! Where can I hire it?" en de chauffeur geeft je zijn kaartje.
15-10-2013, 13:11 door Anoniem
Door User2048: @Anoniem 12:28: Mandiant schreef een rapport over de spionage-activiteiten van China, dus die meneer is zeker interessant voor de Chinezen. En een simpele social engineering truc als kijken welke diensten het slachtoffer gebruikt is helemaal geen science fiction. Een overheidsdatabase hacken is overbodig. Je zegt tegen de limochauffeur: "Nice limo! Where can I hire it?" en de chauffeur geeft je zijn kaartje.
Van anon 12:28, dat heb ik ook gelezen ja, maar doet weinig af aan het feit dat meneer zijn facturen herkende als zijnde vals omdat de data niet klopte...

Aan de hand van een visite-kaartje kom je natuurlijk nooit uit op een correct opgestelde factuur. Het kan zo zijn dat een "geheim agent" dan óók maar een limo huurt om een factuur te bemachtigen, maar ikzelf ben ervan overtuigd dat met het oog op OpSec, Chinese IT-kwaliteiten, kosten, tijd, enzovoorts het gewoon de limo-aanbieder is die gehakt is.
15-10-2013, 15:42 door Anoniem
Door Anoniem:
Door User2048: @Anoniem 12:28: Mandiant schreef een rapport over de spionage-activiteiten van China, dus die meneer is zeker interessant voor de Chinezen. En een simpele social engineering truc als kijken welke diensten het slachtoffer gebruikt is helemaal geen science fiction. Een overheidsdatabase hacken is overbodig. Je zegt tegen de limochauffeur: "Nice limo! Where can I hire it?" en de chauffeur geeft je zijn kaartje.
Van anon 12:28, dat heb ik ook gelezen ja, maar doet weinig af aan het feit dat meneer zijn facturen herkende als zijnde vals omdat de data niet klopte...

Aan de hand van een visite-kaartje kom je natuurlijk nooit uit op een correct opgestelde factuur. Het kan zo zijn dat een "geheim agent" dan óók maar een limo huurt om een factuur te bemachtigen, maar ikzelf ben ervan overtuigd dat met het oog op OpSec, Chinese IT-kwaliteiten, kosten, tijd, enzovoorts het gewoon de limo-aanbieder is die gehakt is.

Als ik wil weten hoe de facturen van dat bedrijf eruit zien, dan kan ik toch een keer daar een limo huren? Daarna ontvang ik de factuur in PDF en Bob's your uncle.
Het blijft de vraag of ze het echt op hem gemunt hadden of dat ze het hele klantenbestand hebben gebruikt, maar erg ingewikkeld is het allemaal niet. Het kan natuurlijk ook een zoontje van de eigenaar van het limo-bedrijf zijn of een schoonmaker aldaar, of het limo-bedrijf heeft een Chinese eigenaar, of er zitten helemaal geen Chinezen achter maar gewone hackers. Het lijkt me goed dat er nog wat aanvullend onderzoek plaatsvindt.

Trouwens heel merkwaardig dat een CEO de facturen onder ogen krijgt, zeker niet zo'n groot bedirjf?
16-10-2013, 08:24 door schele
Gezien de context acht ik het perfect plausibel dat die vent inderdaad net een persoonlijke aanval van de Chinezen wist te omzeilen. En als het limo bedrijf gehackt is was dat bijna zeker om hem te pakken te krijgen.

Alleen vreemd dat ze dan kennelijk niet even het Limobedrijf emailadres fatsoenlijk spoofen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.