Vorig jaar publiceerde securitybedrijf Qihoo 360 een rapport over gerichte aanvallen tegen de Zuid-Koreaanse overheid en industriële ondernemingen in het land, maar nu blijkt dat het om een militaire cyberoefening van Zuid-Korea en de Verenigde Staten gaat.
Volgens de onderzoekers van Qihoo werden de aanvallen uitgevoerd door een groep genaamd OnionDog, die sinds 2013 actief was en het op Zuid-Koreaanse organisaties had voorzien (pdf). Bijna 100 malware-exemplaren zijn aan de groep toegeschreven. Om de malware te verspreiden werd er gebruik gemaakt van kwetsbaarheden in Hangul Word Processor (HWP), een in Zuid-Korea populair kantoorprogramma, en zogenaamde HWP-documenten. De malware kon ook aanvullende malware downloaden, zoals een usb-worm.
Het rapport bevatte verschillende domeinen en ip-adressen waar de aanvallers gebruik van maakten. Eén domein en zeven van de acht genoemde ip-adressen blijken van het Zuid-Koreaanse National Cyber Security Center (NCSC) te zijn, zo meldt securitybedrijf Trend Micro. In totaal vonden onderzoekers van Trend Micro zo'n 200 bestanden die met OnionDog te maken hebben.
Vanwege de betrokkenheid van het NCSC dachten de onderzoekers al dat het om een cyberoefening ging. Verder onderzoek wees uit dat de OnionDog-malware zo is ontwikkeld om geen echte schade aan systemen toe te brengen, maar wel de trucs van echte malware toepast. De malware laat slachtoffers daarnaast zien dat het om de Ulchi-cyberoefening gaat. Ulchi lijkt te wijzen naar Ulchi-Freedom Guardian, een jaarlijkse oefening tussen het Amerikaanse en Zuid-Koreaanse leger die sinds 1976 plaatsvindt. Tevens komen de data van de oefeningen overeen met de data dat de malware actief was.
"Gebaseerd op de data die we hebben verzameld zijn alle exemplaren van de OnionDog-malware onderdeel van een cyberoefening die jaarlijks wordt uitgevoerd", zegt onderzoeker Feike Hacquebord. Hij merkt op dat er risico's kleven aan het gebruik van echte malware tijdens dit soort oefeningen. In het wild zijn er namelijk allerlei OnionDog-exemplaren te vinden, wat inhoudt dat ook aanvallers deze tools en malware kunnen onderzoeken.
Aanvallers kunnen de malware bijvoorbeeld nabootsen, waardoor incident response-teams denken dat het om een oefening gaat en er minder snel op reageren. Ook bestaat het risico dat de malware zich onbedoeld verspreid. Een ander punt waar Hacquebord op wijst is dat dit soort rapporten in de media terechtkomen. Zelfs beperkte media-aandacht over een cyberaanval die ten onrechte aan een bepaald land wordt toegeschreven kan tot de verkeerde conclusies leiden en spanningen laten oplopen, aldus de onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.