Amerikaanse overheid aangevallen via Flash Player-lek
Verschillende instanties van de Amerikaanse overheid zijn in juni en juli aangevallen via een Flash Player-lek dat door het Italiaanse HackingTeam was ontdekt en waar op het moment van de aanvallen nog geen patch voor was, zo meldt de FBI. Details over de kwetsbaarheid werden gevonden in de data die bij het Italiaanse surveillancebedrijf waren gestolen. De inbraak bij HackingTeam werd echter op 6 juli openbaar gemaakt.
Nu blijkt uit informatie van de FBI dat het Flash Player-lek al sinds 8 juni bij aanvallers bekend was en actief werd ingezet om Amerikaanse overheidsinstanties binnen te dringen. Eerder liet anti-virusbedrijf Trend Micro al weten dat de kwetsbaarheid al voor de openbaarmaking bij gerichte aanvallen tegen doelen in Korea en Japan was ingezet, namelijk op 1 juli. Volgens de FBI gaat het in het geval om de aanvallen tegen Amerikaanse overheidsinstanties om twee campagnes die waarschijnlijk het verzamelen van informatie als doel hebben.
Campagnes
De eerste phishingcampagne vond plaats op 8, 9 en 11 juni, de tweede werd op 8 juli waargenomen, zo blijkt uit een waarschuwing die de FBI verspreidde en door Public Intelligence online (pdf) is gezet. Bij beide aanvallen werden er e-mails met een link verstuurd. Deze link wees naar een exploit die van het lek in Flash Player gebruik maakte. Over de aanval van 8 juli heeft de FBI meer informatie in de waarschuwing vermeld. Zo ontvingen de overheidsinstanties een spear phishingmail met een link naar een PDF-document. Als gebruikers de link openden werd er een website geladen die JavaScript-code bevatte. Deze code laadde vervolgens een kwaadaardig Flash-bestand dat de kwetsbaarheid in Flash Player aanviel om de computer met malware te infecteren.
De spear phishingmails hadden verschillende onderwerpen, zoals 'BBW Analysis report - 2015', 'Tomorrow Morning New Starts', 'Perrydale Club for Leadership: Financial Literacy 101', 'FAS Analysis report - 2015', 'AEP Energy Program Update: 2015 Program Year Kick Off', 'Review Link' en 'PLS Account A42660861'. Alle spear phishingmails die in juli werden verstuurd hadden dezelfde afzender. Ook de timing van de aanval in juli is opmerkelijk, want op 8 juli dichtte Adobe namelijk het beveiligingslek in Flash Player versie 18.0.0.194 en ouder via een noodpatch. In de waarschuwing heeft de FBI ook verschillende IP-adressen en domeinen opgenomen die door de aanvallers werden gebruikt en kunnen helpen bij het detecteren van een eventuele aanval.
Zowel Java als Flash browserplug-in gaten zijn ondertussen gedicht. Moraal van het verhaal:
(a) update onmiddellijk;
(b) gebruik geen browserplug-ins wanneer je die niet nodig hebt (of minstens click-to-play instellen in browser).
- vertrouw niets en niemand (is voor een klein deel b).
Je weet niet wat je niet weet. Updates zijn mosterd na de maaltijd.
- vertrouw er als hacker niet op dat er niemand achter komt.
Je weet nooit waar de volgende hack plaats vindt
- vertrouw niets en niemand (is voor een klein deel b).
Je weet niet wat je niet weet. Updates zijn mosterd na de maaltijd.
- vertrouw er als hacker niet op dat er niemand achter komt.
Je weet nooit waar de volgende hack plaats vindt
Deze professionele hackers (in staatsdienst) rekenen erop dat het uit kan komen. Ze beschermen zichzelf goed.
Je mag er gerust van uitgaan dat de Amerikaanse overheid vrijwel elke dag meerdere keren wordt aangevallen via email met targeted attacks. Wat er nu naar buiten is gekomen is dus maar een fractie van de werkelijkheid.
Als je een doelwit bent, dan moet je erop rekenen dat je aangevallen wordt met zero-days. Dus moet je je werkcomputer niet aan Internet koppelen. Zorg dat er niets te stelen valt. Zo simpel is het.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
