Ingezonden persbericht
News Flash
Cybercriminelen gebruiken vulkaanuitbarsting op IJsland voor gerichte aanval
Brussel, 20 mei 2010 - Eind maart berichtte MessageLabs Intelligence over een golf van gerichte aanvallen die de Wereldbeker voetbal van de FIFA als lokaas gebruikten.
In dezelfde periode, meer bepaald op 20 maart, deed er zich onder de IJslandse gletsjer Eyjafjallajökull een vulkaanuitbarsting voor die midden april met een aswolk het hele luchtruim boven Noord-Europa zou lamleggen. Het luchtvaartverkeer ondervond hiervan hinder tot eind april en de voorbije dagen veroorzaakten nieuwe aswolken over West-Europa problemen voor trans-Atlantische vluchten.
Tussen 15 en 20 april werd het luchtruim 6 dagen gesloten. Eén dag nadat het Verenigd Koninkrijk, tot grote opluchting van gestrande reizigers overal ter wereld, opnieuw vluchten toeliet, onderschepte MessageLabs Intelligence een gerichte e-mailaanval. De timing was perfect: de belangstelling voor het thema "vulkaanuitbarsting" was maximaal. Wereldwijd waren mensen voor zichzelf of voor vrienden en verwanten op zoek naar nieuws over de vulkaan en vooral naar informatie over vluchten.
Achtergrondinformatie over gerichte aanvallen:
Wat is een gerichte aanval?
* Waarschijnlijk de internetbedreiging die de grootste schade toebrengt.
* Wordt ondernomen via e-mail.
* Heeft een specifieke persoon of organisatie als doelwit.
* Probeert vertrouwelijke of waardevolle informatie te ontfutselen.
* Wordt gebruikt om een concurrentievoordeel te verwerven, iemand af te persen, iemands reputatie te beschadigen, informatie te vergaren of te spioneren en om geheimen, ontwerpen, ideeën of andere gegevens te bemachtigen.
Waaraan herkent men een gerichte aanval?
Om te bepalen of het al dan niet om de gerichte verspreiding van malware gaat, houdt men rekening met verscheidene factoren:
* Per aanval typisch een beperkt aantal e-mails, naar één of een klein aantal ontvangers. Symantec Hosted Services blokkeert per dag gemiddeld 500.000 kwaadwillige e-mails en daar zijn minder dan 100 gerichte aanvallen bij.
* De doelwitten genieten meestal een hoog aanzien en vaak gaat het om overheidsinstanties of organisaties uit de openbare sector.
* Het onderwerp heeft meestal te maken met politiek of actualiteit.
* Er zit meestal een bestand van het type .doc of .pdf als attachment bij.
* Het bericht is vaak verstuurd vanuit een webmailaccount (waardoor het aan betrouwbaarheid wint).
* Vaak proberen de aanvallers de ontvanger ervan te overtuigen dat het belangrijk of dringend is om de attachment te openen.
* De e-mails worden verstuurd naar personen met een belangrijke functie, aangezien zij toegang hebben tot de meeste waardevolle of vertrouwelijke informatie (60% van de ontvangers zijn managers of hebben een hogere functie).
* Soms worden de berichten verstuurd naar familieleden, persoonlijke webmailaccounts, enz. in de hoop dat de aanval zo binnen de organisatie wordt verspreid en bij de uitgekozen persoon of personen terechtkomt.
* Er zijn nog veel meer aanwijzingen voor een gerichte aanval. Symantec Hosted Service experts slagen erin om gerichte aanvallen te onderscheiden van andere criminele e-mails (bulkverzendingen of spam) die door de MessageLabs Skeptic-technologie voor malwarebestrijding worden tegengehouden.
Omdat gerichte aanvallen hun doelwit zorgvuldig uitkiezen, blijft hun aantal vrijwel constant in de aanzwellende stroom in bulk verzonden spam en malware. Maar in 2010 lag het gemiddelde aantal aanvallen per maand tot nu toe wel vrij hoog. Alleen in maart 2009, toen de G20-top plaatsvond, waren er nog meer.
Een veelgebruikte techniek bij gerichte aanvallen bestaat erin om in de e-mail correcte informatie te verwerken en tegelijk de ontvangers aan te sporen om een attachment te openen die hun pc of netwerk op een of andere manier in gevaar brengt. Dit laatste is natuurlijk de echte bedoeling van de aanvaller. Een ander belangrijk kenmerk is dat tweederde van de aanvallen personen met de hoogste functies in het zakenleven en de overheid als doelwit heeft (omdat zij aan de meeste waardevolle en/of vertrouwelijke informatie kunnen geraken). Maar hoe krijg je aandacht van dergelijke personen? Door de e-mail een officieel, zakelijk of politiek onderwerp mee te geven of door te verwijzen naar interessante of actuele gebeurtenissen. De aanval met de vulkaanuitbarsting als thema past volledig in dit plaatje.
De aanvaller doet zich voor als de International Air Transport Association (IATA), een organisatie die ongeveer 230 luchtvaartmaatschappijen steunt en vertegenwoordigt. Samen verzorgen zij 93% van de internationale lijnvluchten. Om hun aanval meer kans op succes te geven, gingen de aanvallers snel te werk. Zij kopieerden tekst uit een IATA-persbericht dat op 19 april op de IATA-website werd gepubliceerd: "Re-Think Volcano Measures - Governments Must Base Decisions on Fact Not Theory" (dit is een veilige link naar het bericht: http://www.iata.org/pressroom/pr/Pages/2010-04-19-01.aspx). Zij kwamen achter de naam van de Director Corporate Communications van IATA, verwerkten deze in de tekst van de e-mail en vervalsten het "Van:"-adres om het te doen kloppen met de naam.
De aanvallen werden verstuurd vanuit een gratis webmailservice (gawab.com). Tony Millington vermeldde eind maart in zijn blog (http://www.symantec.com/connect/blogs/why-some-webmail-services-may-be-favored-targeted-attacks) dat gratis webmailaccounts vaak worden gebruikt voor gerichte aanvallen. Ook het MessageLabs Intelligence-rapport van maart (http://www.messagelabs.com/mlireport/MLI_2010_03_Mar_FINAL-EN.pdf) bevatte een dergelijke waarschuwing. Webmailadressen verhogen de geloofwaardigheid van de aanval. Afhankelijk van de gebruikte webmailservice maken ze het soms ook moeilijker om de locatie van de afzender te achterhalen.
Het enige stukje tekst dat niet uit het IATA-persbericht was gekopieerd, was de zin "Please find attached EXCEL file for IATA survey on aviation restrictions and flights cancellation in Europe". Met dit cruciale, toegevoegde onderdeel - de valstrik die tot actie aanspoort - probeerden de aanvallers de ontvanger zover te krijgen dat hij het bijgevoegde Excel-document zou openen.
Excel-documenten komen vrij zelden voor in gerichte aanvallen. Normaal gaat het om PDF-bestanden, Word-documenten of zelfs regelrechte .exe-bestanden. De gerichte aanvallen sinds begin april kunnen als volgt naar bestandstype worden ingedeeld:
- .pdf: 41%
- .exe: 18%
- .doc: 14%
- .xls: 7%
- .scr: 4%
- .ppt: 1%
De aanval was gericht tegen 17 specifieke ontvangers die in twee belangrijke overheidsorganisaties werken. Hij vond plaats op 21/04/2010, tussen 0649 en 0719 GMT (iets meer dan een dag na het IATA-persbericht). Het persbericht was toen nog volledig actueel en dus potentieel interessant voor de ontvangers.
Organisaties bij de overheid en uit de openbare sector lopen het grootste risico op een gerichte aanval. Bijna de helft van deze organisaties was sinds 1 april het doelwit van meer dan één dergelijke aanval. Ook de sectoren onderwijs (1 op 4 organisaties met meer dan één aanval sinds 1 april), industrie (1 op 7 sinds 1 april) en financiën (1 op 10 sinds 1 april) zijn populair bij de aanvallers. Zij kijken gewoon waar de meeste vertrouwelijke of waardevolle informatie zit.
De malware maakt gebruik van een veiligheidslek in Office 2007: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3005.
De aanvallers maken gebruik van een "exploit" in Excel om "shellcode" uit te voeren. Hierdoor wordt de map %system32\"2048" aangemaakt en wordt er een extra bestand geplaatst in deze map: c:\windows\system32\2048\lscss.exe. Dit bestand wordt vervolgens uitgevoerd en draait dan op de achtergrond. Het blijft ongeveer 5 minuten inactief en probeert dan een verbinding tot stand te brengen met één van drie mogelijke websites.
Zoals bij alle gerichte aanvallen komt het erop neer dat de aanval een rechtstreekse connectie met de pc van het slachtoffer tot stand brengt, waardoor de normale inlogprocedure wordt omzeild. De aanvaller krijgt dan de kans om onmerkbaar gegevens van de pc van het slachtoffer te bemachtigen en zelfs om toegang te krijgen tot andere systemen op het netwerk. In dit scenario probeert de "server" (de besmette pc) contact te leggen met de "client" (de aanvaller).
Om de verdachte en kwaadwillige kenmerken van de e-mail en het aangehechte Excel-bestand op te sporen gebruikte MessageLabs geen op "signatures" gebaseerde detectie (die voor dergelijke zorgvuldig beraamde en plots opduikende aanvallen onbruikbaar is), maar wel zijn Skeptic-technologie voor malwarebestrijding. Op het ogenblik van deze aanval zou slechts 10 tot 15% van de andere beveiligingsbedrijven deze aanval hebben geblokkeerd (23/04/2010: 4/41 VirusTotal, 6/39 AV Test). Gerichte aanvallen opsporen, ongetwijfeld een van de meest schadelijke bedreigingen voor bedrijven en organisaties, is een van de specialiteiten van MessageLabs. Specialist Paul Wood geeft graag meer uitleg over gerichte aanvallen.
Over Symantec
Symantec is wereldwijd leider in infrastructuursoftware die bedrijven en consumenten meer vertrouwen geeft in de huidige wereld van het internet. Het bedrijf helpt klanten bij de beveiliging van hun infrastructuur, informatie en interacties door middel van software en services die een oplossing bieden voor de risico's van beveiliging, beschikbaarheid, IT-naleving en -prestaties. Het hoofdkantoor van Symantec is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 40 landen. Meer informatie op: www.symantec.com
###
NOTA VOOR REDACTEURS: U vindt meer informatie over Symantec Corporation en zijn producten op deze pagina's voor de pers: http://www.symantec.com/news. Prijzen zijn steeds uitgedrukt in US dollars en uitsluitend geldig in de Verenigde Staten.
Symantec en het Symantec-logo zijn handelsmerken of gedeponeerde handelsmerken van Symantec Corporation of zijn filialen in de Verenigde Staten en andere landen. Andere namen kunnen gedeponeerde handelsmerken van hun respectieve eigenaars zijn.