Een groep cyberspionnen die al geruime tijd actief is heeft onlangs een Amerikaanse overheidsinstantie via een oud beveiligingslek in Microsoft Office aangevallen. De groep wordt Pawn Storm genoemd, maar staat ook bekend als 'Sofacy', 'Sednit', 'APT28' en 'Strontium'.

Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU en Sanoma door de groep aangevallen. Het Amerikaanse beveiligingsbedrijf Palo Alto Networks ontdekte eind mei weer een aanval van Pawn Storm. De aanval bestond uit een e-mail die zeer waarschijnlijk van het gehackte e-mailaccount van een ministerie van Buitenlandse Zaken van een ander land afkomstig was. De e-mail bleek niet gespooft te zijn, waardoor de onderzoekers vermoeden dat de aanvallers toegang tot het e-mailaccount hadden. Overheidinstanties zijn in het verleden vaker door Pawn Storm aangevallen.

De e-mail in kwestie was voorzien van een rtf-document genaamd "Exercise_Noble_Partner_16.rtf". Dit naam verwijst naar een gezamenlijke militaire oefening tussen de NAVO en Georgië. Het document maakt echter gebruik van een oud beveiligingslek in Microsoft Office dat vorig jaar april al werd gepatcht. De aanval had dan ook eenvoudig voorkomen kunnen worden door het installeren van Office-updates. Het feit dat een groep als Pawn Storm dergelijke beveiligingslekken nog steeds aanvalt suggereert dat niet alle overheidsinstanties Office-updates installeren.

In het geval de betreffende update niet was geïnstalleerd zorgde het openen ervoor dat er stilletjes een Trojaans paard op de computer werd geplaatst waarmee de aanvallers volledige controle over het systeem krijgen. Opmerkelijk aan de malware is dat die alleen wordt gestart als gebruikers Microsoft Office starten. Waarschijnlijk om detectie te voorkomen. Volgens Palo Alto Networks is het voor het eerst dat aanvallers van deze tactiek gebruikmaken.