Verschillende instanties van de Amerikaanse overheid zijn in juni en juli aangevallen via een Flash Player-lek dat door het Italiaanse HackingTeam was ontdekt en waar op het moment van de aanvallen nog geen patch voor was, zo meldt de FBI. Details over de kwetsbaarheid werden gevonden in de data die bij het Italiaanse surveillancebedrijf waren gestolen. De inbraak bij HackingTeam werd echter op 6 juli openbaar gemaakt.

Nu blijkt uit informatie van de FBI dat het Flash Player-lek al sinds 8 juni bij aanvallers bekend was en actief werd ingezet om Amerikaanse overheidsinstanties binnen te dringen. Eerder liet anti-virusbedrijf Trend Micro al weten dat de kwetsbaarheid al voor de openbaarmaking bij gerichte aanvallen tegen doelen in Korea en Japan was ingezet, namelijk op 1 juli. Volgens de FBI gaat het in het geval om de aanvallen tegen Amerikaanse overheidsinstanties om twee campagnes die waarschijnlijk het verzamelen van informatie als doel hebben.

Campagnes

De eerste phishingcampagne vond plaats op 8, 9 en 11 juni, de tweede werd op 8 juli waargenomen, zo blijkt uit een waarschuwing die de FBI verspreidde en door Public Intelligence online (pdf) is gezet. Bij beide aanvallen werden er e-mails met een link verstuurd. Deze link wees naar een exploit die van het lek in Flash Player gebruik maakte. Over de aanval van 8 juli heeft de FBI meer informatie in de waarschuwing vermeld. Zo ontvingen de overheidsinstanties een spear phishingmail met een link naar een PDF-document. Als gebruikers de link openden werd er een website geladen die JavaScript-code bevatte. Deze code laadde vervolgens een kwaadaardig Flash-bestand dat de kwetsbaarheid in Flash Player aanviel om de computer met malware te infecteren.

De spear phishingmails hadden verschillende onderwerpen, zoals 'BBW Analysis report - 2015', 'Tomorrow Morning New Starts', 'Perrydale Club for Leadership: Financial Literacy 101', 'FAS Analysis report - 2015', 'AEP Energy Program Update: 2015 Program Year Kick Off', 'Review Link' en 'PLS Account A42660861'. Alle spear phishingmails die in juli werden verstuurd hadden dezelfde afzender. Ook de timing van de aanval in juli is opmerkelijk, want op 8 juli dichtte Adobe namelijk het beveiligingslek in Flash Player versie 18.0.0.194 en ouder via een noodpatch. In de waarschuwing heeft de FBI ook verschillende IP-adressen en domeinen opgenomen die door de aanvallers werden gebruikt en kunnen helpen bij het detecteren van een eventuele aanval.