Redactie - 22 oktober 2018

Nieuwe cyberspionagecampagne hergebruikt broncode van Chinese hackers

Zuid-Korea, de Verenigde Staten en Canada zijn doelwit van een nieuw ontdekte cyberspionagecampagne. Deze nieuwe campagne maakt gebruik van een data reconnaissance implant dat voor het laatst werd gebruikt door de hackgroep APT1 (ook bekend als Comment Crew), een Chinese aan het leger gelieerde groep die eerder werd beschuldigd van cyberaanvallen op meer dan 141 Amerikaanse bedrijven van 2006 tot 2010.

Dit heeft McAFee bekend gemaakt op MPOWER 2018. De actoren van deze nieuwe campagne zijn nog niet geïdentificeerd, maar ze maakten gebruik van code uit implants die voor het laatst werden gebruikt in 2010, door Comment Crew. Deze eerdere aanvallen werden ‘Operation Seasalt’ genoemd. Deze nieuwe campagne, die door McAfee Operation Oceansalt genoemd wordt, is gebaseerd op de gelijkenissen met Seasalt.

Wie is verantwoordelijk?

Het rapport ‘Operation Oceansalt Attacks South Korea, U.S. and Canada with Source Code from Chinese Hacker Group’ suggereert dat het Oceansalt-implant niet ontwikkeld had kunnen worden zonder dat de aanvallers directe toegang hadden tot de broncode van Seasalt 2010 van Comment Crew. Toch heeft het Advanced Threat Research Team van McAfee geen bewijs gevonden dat de broncode van Comment Crew ooit openbaar beschikbaar is geweest, wat de vraag oproept wie er nu verantwoordelijk is voor Oceansalt.

McAfee ontdekte dat Oceansalt in vijf ‘golven’ gelanceerd werd, aangepast aan het doelwit. De eerste en tweede golf begonnen met een geïnfecteerd Microsoft Excel-document in het Koreaans, dat werd opgesteld en opgeslagen in 2018, waarmee de implant gedownload werd. Dit Excel-document, opgesteld door een gebruiker onder de noemer ‘Lion’, bevatte informatie waaruit McAfee afleidde dat de doelwitten verbonden waren aan openbare infrastructuurprojecten in Zuid-Korea. Een derde golf besmette documenten, dit keer opgesteld in Microsoft Word, bevatte dezelfde metadata en auteur als de Excel-bestanden. Het Word-document bevatte foutieve informatie over het Inter-Korean Cooperation Fund. De vierde en vijfde golf richtte zich op een kleiner aantal doelwitten buiten Zuid-Korea, onder meer in de Verenigde Staten en Canada.

Voorbode van veel grotere aanval

Deze aanvallen zijn mogelijk een voorbode van een veel grotere aanval, gezien de mate van controle die aanvallers hebben over geïnfecteerde slachtoffers. Oceansalt geeft aanvallers de volledige controle over ieder systeem dat ze kunnen besmetten, en het netwerk waarmee het systeem verbonden is. Gezien de mogelijke samenwerking met andere aanvallers, is het aantal beschikbare doelwitten mogelijk veel groter.

“Dit onderzoek laat zien hoe aanvallers continu van elkaar leren en voortborduren op de ontdekkingen van andere aanvallers,” zegt Raj Samani, Chief Scientist bij McAfee. “De groep die verantwoordelijk is voor de Oceansalt-aanval brengt zijn initiatieven niet op de markt, maar voert de aanvallen direct uit. McAfee richt zich op de basis-indicaties van een infectie zoals deze in het rapport worden genoemd, zodat aanvallen gedetecteerd en aangepakt kunnen worden en systemen beschermd zijn, ongeacht wat de bron is van de aanvallen.”

Rapport

Het volledige rapport is hier te vinden.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024