Facebook is het doelwit van aanvallers geworden die de laptops van werknemers via een voorheen onbekend beveiligingslek in Java met malware infecteerden. Dat laat de sociale netwerksite op de eigen website weten. De 'geraffineerde aanval' vond plaats toen een 'handvol' werknemers een website voor mobiele ontwikkelaars bezocht.
Deze website was gehackt en voorzien van een exploit, die misbruik van een 'zero-day' kwetsbaarheid in Java maakte. Zero-days zijn lekken waarvoor nog geen beveiligingsupdate beschikbaar is. Facebook stelt dat de laptops van de werknemers op het moment van de aanval volledig gepatcht waren en over een volledig bijgewerkte virusscanner beschikten.
Domein
De aanval werd opgemerkt toen er een verdacht domein in de zakelijke DNS logs van het bedrijf werd gevonden. Uiteindelijk werd de verdachte melding in de logs naar de laptop van een werknemer getraceerd. Tijdens het forensisch onderzoek werd een kwaadaardig bestand ontdekt, dat na verder onderzoek ook op andere laptops werd aangetroffen.
Vervolgens werd de malware van alle computers verwijderd, justitie ingelicht en begon er een vervolgonderzoek dat nog altijd gaande is. De zero-day die was gebruikt wist de Java-sandbox te omzeilen om malware te installeren. Het lek werd meteen aan Oracle gerapporteerd, dat op 1 februari met een noodpatch kwam.
Slachtoffers
Facebook zegt dat het niet de enige was die op deze manier is aangevallen. Ook andere organisaties zouden via het lek zijn aangevallen en geïnfiltreerd. "Als één van de eerste bedrijven om de malware te ontdekken, hebben we meteen stappen genomen om de details over de infiltratie met andere bedrijven en entiteiten te delen die ook waren getroffen."
Volgens de sociale netwerksite is er geen bewijs gevonden dat de aanvallers gebruikersgegevens hebben buitgemaakt. Wie de andere bedrijven zijn laat Facebook niet weten, maar op 1 februari bekende Twitter dat het was gehackt en de gegevens van 250.000 gebruikers mogelijk waren buitgemaakt.
Hoewel het niets over de werkwijze van de aanvallers vertelde, adviseerde Twitter in de waarschuwing wel om Java in de browser uit te schakelen.
In januari vonden er verschillende 'drinkplaats-aanvallen' plaats, waarbij aanvallers websites hacken die potentiële slachtoffers uit zichzelf bezoeken. Hierdoor hoeven de aanvallers geen gerichte e-mail te versturen om daarin slachtoffers te verleiden om een bijlage of link te openen. Bij deze aanvallen werden ook Java-lekken ingezet.
Advertentie
In plaats van een 'geraffineerde aanval' zouden de Facebook-werknemers mogelijk via een besmette advertentie zijn geïnfecteerd. Aanvallers verstoppen hierbij exploitcode voor een beveiligingslek in advertenties. Door die advertenties op legitieme websites te laten draaien, al dan niet door het hacken van advertentieservers, kunnen de aanvallers een grote groep internetgebruikers bereiken.
Die worden automatisch aangevallen zodra de advertentiebanner op de website verschijnt. Het voordeel voor de aanvallers is dat ze geen websites hoeven te hacken om toch veel internetgebruikers te bereiken. Dit wordt ook wel malvertising genoemd.
Volgens Kimberly van Stop Malvertising is de mobiele ontwikkelaarssite waar Facebook over spreekt mogelijk www.dreamincode.net. Deze website was van code voorzien die naar ads.adsgoogleads.com wees. Een domein dat eerder internetgebruikers via exploits infecteerde. Kimberly sluit dan ook niet uit dat het hier om malvertising gaat.
Update 8:30 - advertentie paragraaf toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.