image

Amerikaanse overheid aangevallen via Flash Player-lek

zaterdag 25 juli 2015, 12:22 door Redactie, 5 reacties

Verschillende instanties van de Amerikaanse overheid zijn in juni en juli aangevallen via een Flash Player-lek dat door het Italiaanse HackingTeam was ontdekt en waar op het moment van de aanvallen nog geen patch voor was, zo meldt de FBI. Details over de kwetsbaarheid werden gevonden in de data die bij het Italiaanse surveillancebedrijf waren gestolen. De inbraak bij HackingTeam werd echter op 6 juli openbaar gemaakt.

Nu blijkt uit informatie van de FBI dat het Flash Player-lek al sinds 8 juni bij aanvallers bekend was en actief werd ingezet om Amerikaanse overheidsinstanties binnen te dringen. Eerder liet anti-virusbedrijf Trend Micro al weten dat de kwetsbaarheid al voor de openbaarmaking bij gerichte aanvallen tegen doelen in Korea en Japan was ingezet, namelijk op 1 juli. Volgens de FBI gaat het in het geval om de aanvallen tegen Amerikaanse overheidsinstanties om twee campagnes die waarschijnlijk het verzamelen van informatie als doel hebben.

Campagnes

De eerste phishingcampagne vond plaats op 8, 9 en 11 juni, de tweede werd op 8 juli waargenomen, zo blijkt uit een waarschuwing die de FBI verspreidde en door Public Intelligence online (pdf) is gezet. Bij beide aanvallen werden er e-mails met een link verstuurd. Deze link wees naar een exploit die van het lek in Flash Player gebruik maakte. Over de aanval van 8 juli heeft de FBI meer informatie in de waarschuwing vermeld. Zo ontvingen de overheidsinstanties een spear phishingmail met een link naar een PDF-document. Als gebruikers de link openden werd er een website geladen die JavaScript-code bevatte. Deze code laadde vervolgens een kwaadaardig Flash-bestand dat de kwetsbaarheid in Flash Player aanviel om de computer met malware te infecteren.

De spear phishingmails hadden verschillende onderwerpen, zoals 'BBW Analysis report - 2015', 'Tomorrow Morning New Starts', 'Perrydale Club for Leadership: Financial Literacy 101', 'FAS Analysis report - 2015', 'AEP Energy Program Update: 2015 Program Year Kick Off', 'Review Link' en 'PLS Account A42660861'. Alle spear phishingmails die in juli werden verstuurd hadden dezelfde afzender. Ook de timing van de aanval in juli is opmerkelijk, want op 8 juli dichtte Adobe namelijk het beveiligingslek in Flash Player versie 18.0.0.194 en ouder via een noodpatch. In de waarschuwing heeft de FBI ook verschillende IP-adressen en domeinen opgenomen die door de aanvallers werden gebruikt en kunnen helpen bij het detecteren van een eventuele aanval.

Reacties (5)
25-07-2015, 12:40 door Anoniem
Eerder was het "Gerichte aanvallen op nieuw Java-lek ontdekt" tegen Amerikaanse defensieorganisatie en NAVO-lid.

Zowel Java als Flash browserplug-in gaten zijn ondertussen gedicht. Moraal van het verhaal:

(a) update onmiddellijk;
(b) gebruik geen browserplug-ins wanneer je die niet nodig hebt (of minstens click-to-play instellen in browser).
25-07-2015, 14:47 door karma4
Moraal van het verhaal:
- vertrouw niets en niemand (is voor een klein deel b).
Je weet niet wat je niet weet. Updates zijn mosterd na de maaltijd.
- vertrouw er als hacker niet op dat er niemand achter komt.
Je weet nooit waar de volgende hack plaats vindt
25-07-2015, 20:17 door Anoniem
Door karma4: Moraal van het verhaal:
- vertrouw niets en niemand (is voor een klein deel b).
Je weet niet wat je niet weet. Updates zijn mosterd na de maaltijd.
- vertrouw er als hacker niet op dat er niemand achter komt.
Je weet nooit waar de volgende hack plaats vindt

Deze professionele hackers (in staatsdienst) rekenen erop dat het uit kan komen. Ze beschermen zichzelf goed.

Je mag er gerust van uitgaan dat de Amerikaanse overheid vrijwel elke dag meerdere keren wordt aangevallen via email met targeted attacks. Wat er nu naar buiten is gekomen is dus maar een fractie van de werkelijkheid.

Als je een doelwit bent, dan moet je erop rekenen dat je aangevallen wordt met zero-days. Dus moet je je werkcomputer niet aan Internet koppelen. Zorg dat er niets te stelen valt. Zo simpel is het.
26-07-2015, 12:37 door Anoniem
Flash is al jaren buggy en zo lek als een mandje. Dat we weten we nu nog meer zeker na de Hacking Team lek. Ik sta er echt versteld van dat we er nog te inschikkelijk mee omgaan en dat we het niet jaren geleden al overboord hebben gegooid. Kennelijk zijn we er nog veel te afhankelijk van en dat is een slechte zaak. De CVE lijst is echt dramatisch aan het worden: http://www.cvedetails.com/product/6761/Adobe-Flash-Player.html?vendor_id=53
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.