image

Hangover onthult Indiase cyberspionage

maandag 20 mei 2013, 12:39 door Redactie, 1 reacties

Een infectie bij een Noors telecombedrijf heeft geleid tot de ontdekking van een omvangrijke Indiase spionagecampagne, hoewel alle succesvolle besmettingen voorkomen hadden kunnen worden. Op 17 maart werd het Noorse anti-virusbedrijf Norman ingeschakeld voor het onderzoeken van een infectie bij de Noorse telecomgigant Telenor. De gebruikte malware kreeg de naam HangOver.

Dit vanwege een gelijknamige tekst in de code van de malware. Het bleek niet om een eenmalig incident te gaan, maar om een omvangrijke spionagecampagne opgezet vanuit India. Daarbij hadden de aanvallers het in eerste instantie voorzien op doelwitten die met de nationale veiligheid samenhingen, maar later werd er op industriële spionage overgestapt.

Naast Pakistaanse systemen werden ook computers van Chinese en Amerikaanse bedrijven en individuen aangevallen, alsmede ook Indiase politieke organisaties. Volgens Norman waren de aanvallers niet zo goed in het verbergen van hun sporen, waardoor de gebruikte infrastructuur tot in detail kon worden onderzocht.

Aanval
De aanvallers gebruikten verschillende manieren om hun slachtoffers te infecteren. De eerste methode was het gebruik van kwaadaardige Office-documenten en websites. Deze documenten en websites maakten misbruik van kwetsbaarheden in Office, Internet Explorer en Java die in 2012 al waren gepatcht.

Alle organisaties en individuen die op deze manier werden aangevallen hadden de infectie kunnen voorkomen als ze de beschikbare patches hadden geïnstalleerd. De exploits die de aanvallers gebruikten om de computers met malware te infecteren had dan niet gewerkt.

Geen één van de aanvallen gebruikte exploits voor kwetsbaarheden waarvoor nog geen patch was, de zogeheten zero-days. De andere aanvalsvector was het gebruik van ZIP-bijlagen waarin een uitvoerbaar bestand was gestopt. Deze bestanden werden door de slachtoffers geopend die zo hun eigen computer infecteerden.

Datadiefstal
Eenmaal actief op de computer werd er naar Office-bestanden zoals .DOC, .XLS en .PPT gezocht, en andere bestanden waaronder .TXT en .JPG. Ook werd er een keylogger geïnstalleerd die toetsaanslagen opslaat. Het lijkt erop dat de groep achter de aanvallen het werkterrein heeft verlegd.

Deze week werd er op de Mac van een Angolese activist een backdoor gevonden, die volgens Norman van dezelfde groep afkomstig is.

Appin
Tijdens het onderzoek ontdekten de onderzoekers regelmatig het woord Appin en werd er ook een relatie met het Indiase beveiligingsbedrijf Appin Security Group ontdekt. Toch wil de virusbestrijder het bedrijf niet direct beschuldigen. Het kan namelijk zijn dat de gevonden sporen bewust zijn achtergelaten om het verdachte Indiase bedrijf zwart te maken.

Aan de hand van het gevonden materiaal vermoedt Norman wel dat de aanvallers in de hoek van een private partij moeten worden gezocht en dat er zeer waarschijnlijk freelance programmeurs zijn gebruikt voor het programmeren van de malware.

"Dit soort activiteiten werd de afgelopen voornamelijk aan China toegeschreven, maar het is voor zover wij weten het eerste bewijs van cyberspionage die vanuit India afkomstig is", zegt hoofdonderzoeker Snorre Fagerland.

Reacties (1)
21-05-2013, 17:24 door Patio
Hangover betekent kater. Bewijs dat Indische hackers creatiever zijn in naamgeving. Iedereen lijkt zich op Windows te richten. Beveiligingstechnisch waarschijnlijk de zwakkere broeder onder de besturingssystemen en derhalve een gemakkelijk doelwit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.