Ingezonden persbericht
Cybercriminele misbruiken FIFA WK Voetbal voor gerichte aanvallen
Brussel, 7 juni 2010 - Gerichte aanvallen zijn zonder twijfel een van de meest schadelijke bedreigingen via het internet. Ze vinden plaats via e-mail en proberen specifieke personen of organisaties vertrouwelijke of waardevolle informatie te ontfutselen om hun reputatie te schaden, chantage te plegen, een concurrentievoordeel te verwerven, informatie te vergaren, te spioneren of geheimen, ontwerpen en ideeën te bemachtigen. Deskundigen van MessageLabs zijn in staat om een onderscheid te maken tussen gerichte aanvallen, die door de MessageLabs Skeptic-technologie voor malwarebestrijding worden tegengehouden, en andere criminele e-mails die in bulk worden verstuurd (spam).
Een veelgebruikte techniek bij gerichte aanvallen bestaat erin om in de e-mail correcte informatie te verwerken en tegelijk de ontvangers aan te sporen om een attachement te openen die hun pc of netwerk op één of andere manier in gevaar brengt. Dit laatste is natuurlijk de echte bedoeling van de aanvaller. Tweederde van de aanvallen heeft personen met de hoogste functies in het zakenleven en de overheid als doelwit (omdat zij aan de meeste waardevolle en/of vertrouwelijke informatie kunnen geraken).
Hoe trek je de aandacht van dergelijke personen? Door de e-mail een officieel, zakelijk of politiek onderwerp mee te geven of door te verwijzen naar interessante of actuele gebeurtenissen. MessageLabs Intelligence onderschepte de eerste gerichte aanval met de FIFA Wereldbeker Voetbal als thema eind maart 2010 en meldde dit in deze blog: http://www.symantec.com/connect/blogs/targeted-att... Er vinden regelmatig gerichte aanvallen met een hele reeks thema's plaats, zoals de recente vulkaanuitbarsting op IJsland (http://www.symantec.com/connect/blogs/icelandic-vo....).
Het aantal gerichte aanvallen per maand bereikte een piek in maart 2009, toen de G20-top plaatsvond. Dit was een mooie gelegenheid voor de aanvallers om de aandacht van de ontvangers op te eisen. Andere populaire onderwerpen van de criminelen waren de aanstelling van Barack Obama als president van de VS en rakettentests door Noord-Korea. Vaak gaat het ook om meer alledaagse thema's zoals pensioenen of weinig bekende ondernemingsvergaderingen of politieke conferenties. Maar vergeet niet dat dergelijke onderwerpen voor een specifieke ontvanger juist van groot belang kunnen zijn.
Nu het WK voetbal aanbreekt, maken de aanvallers misbruik van de wereldwijde voetbalgekte om potentiële slachtoffers in de val te lokken. Behalve de gerichte aanval met de FIFA Wereldbeker Voetbal als thema die wij in maart hadden onderschept en gemeld, zagen wij onlangs nog drie andere dergelijke aanvallen.
Lees verder voor meer informatie hierover en hoe deze aanvallen precies verlopen:
De eerste aanval:
()
Deze aanval werd op 18/05/2010 om 15u22 GMT gelanceerd tegen een beperkt aantal gebruikers in een groot, wereldwijd bekend Amerikaans productiebedrijf.
De aanval werd verstuurd vanuit een gratis webmailservice. Tony Millington vermeldde eind maart in zijn blog (http://www.symantec.com/connect/blogs/why-some-webmail-services-may-be-favored-targeted-attacks) dat gratis webmailaccounts vaak worden gebruikt voor gerichte aanvallen. Ook het MessageLabs Intelligence-rapport van maart (http://www.messagelabs.com/mlireport/MLI_2010_03_Mar_FINAL-EN.pdf) bevatte een dergelijke waarschuwing. Webmailadressen verhogen de geloofwaardigheid van de aanval en maken het vaak ook moeilijker om de locatie van de afzender te achterhalen, afhankelijk van de gebruikte webmaildienst.
Het cruciale deel is de regel "Enclosed is the full match schedule of South Africa 2010 World Cup, in which American matches are highlighted" (Hierbij vindt u het volledige schema van de wedstrijden in de Wereldbeker 2010 in Zuid-Afrika, met extra aandacht voor de wedstrijden van Amerika). Dit is de valstrik waarmee de aanvallers de ontvanger tot actie proberen aan te sporen: het bijgevoegde bestand "2010_FIFA_WORLD_CUP.zip" openen, zodat het Excel-document "2010_FIFA_WORLD_CUP.xls" vrijkomt.
Het gebruik van Excel-documenten in een gerichte aanval is vrij zeldzaam. Normaal gaat het om PDF-bestanden, Word-documenten of regelrechte .exe-bestanden. De gerichte aanvallen sinds begin april kunnen als volgt naar bestandstype worden ingedeeld:
.pdf 41%
.exe 18%
.doc 14%
.xls 7%
.scr 4%
.ppt 1%.
Het komt ook vrij zelden voor dat schadelijke documenten in een zip-archief worden verstuurd.
Als de gebruiker op het Excel-bestand klikt, wordt het Excel-programma gestart, meteen weer afgesloten en vervolgens opnieuw geopend. Op het scherm verschijnt een spreadsheet met alle groepen van de Wereldbeker, de ploegen in elke groep en wanneer ze spelen. De gebruiker kan de resultaten tijdens de Wereldbeker invullen. Zonder dat de gebruiker dit merkt, komt er ondertussen een .exe-bestand (temp.temp) terecht in de map c:\documents & settings\\Local Settings\
Het .exe-bestand maakt eerst ongemerkt verbinding met een bekende zoekmotor. Daarna komt er een connectie tot stand met een IP-adres in Indonesië. Deze rechtstreekse connectie is een manier om de normale inlogprocedure te omzeilen en de computer van de hacker te melden dat er een pc beschikbaar is. Vanaf nu heeft de hacker toegang tot de pc van het slachtoffer. Hij krijgt nu de kans om onmerkbaar gegevens van de pc van het slachtoffer te bemachtigen en zelfs om toegang te krijgen tot andere systemen op het netwerk. In dit scenario probeert de "server" (de besmette pc) contact te leggen met de "client" (de aanvaller).
De tweede onderschepte WK-aanval verliep op een gelijkaardige manier. De ontvangers werden aangemoedigd om een besmet aangehecht wedstrijdenschema van de Wereldbeker te openen. De doelgroep bestond uit slechts twee gebruikers: iemand uit een zeer bekende intergouvernementele organisatie en iemand bij een wereldwijd opererende liefdadigheidsorganisatie.
()
Ook hier werd er een rechtstreekse connectie met de computer van het slachtoffer tot stand gebracht, waardoor de aanvaller stiekem aan gegevens op zijn pc geraakte.
De laatste onderschepte aanval:
()
De aanvaller heeft in dit bericht gewoon tekst van een officiële website van de Niall Mellon Township Trust gekopieerd. Deze hulporganisatie bouwt woningen voor de armen in de Zuid-Afrikaanse townships (dit is een veilige link: http://www.worldcupprediction.com). Deze website (zie hieronder) bevat informatie over een wedstrijd om de uitslagen van de wereldbeker zo goed mogelijk te voorspellen en op deze manier geld in te zamelen voor de hulporganisatie.
()
De aanvaller downloadde een document van de website met gegevens van alle matchen. De gebruiker kan zijn voorspelling van de wedstrijdresultaten invullen, waardoor de groepstabellen en wedstrijddata worden bijgewerkt (http://www.worldcupprediction.com/uploads/1/3/6/8/1368061/wc-entrysheet-worldcup2010.xls is een veilige link naar de onderstaande website).
()
Vervolgens voegde de aanvaller schadelijke inhoud toe aan het Excel-document en verstuurde het als attachment bij een e-mail naar de ontvangers. Dit lijkt heel sterk op de methode die op onze blog beschreven staat (http://www.symantec.com/connect/blogs/targeted-attack-uses-fifa-world-cup-2010-hook), waarbij de aanvaller een document wijzigde dat hij van de website van het bestaande bedrijf Safari had gedownload.
Het valt op dat het in deze aanval om precies dezelfde twee personen gaat die nog maar zes dagen eerder het doelwit waren van het bovenstaande voorbeeld "World Cup 2010 Schedule". Het gebeurt wel meer dat bepaalde personen herhaaldelijk worden aangevallen. MessageLabs Intelligence merkt dat specifieke computergebruikers in sommige organisaties maand na maand steeds opnieuw het doelwit zijn van één of verscheidene bendes. Het is duidelijk dat zij precies deze personen op het oog hebben en vastbesloten zijn om tot elke prijs hun vertrouwelijke of waardevolle informatie te bemachtigen.
Om de aanvallen af te weren gebruikte MessageLabs Intelligence geen op "signatures" gebaseerde detectie (die voor dergelijke zorgvuldig beraamde en plots opduikende aanvallen onbruikbaar is), maar wel zijn Skeptic-technologie voor malwarebestrijding. Deze spoort verdachte en kwaadwillige kenmerken van de e-mail en het aangehechte Excel-bestand op. Wij besteden ook speciaal aandacht aan gebruikers of organisaties van wie wij weten dat ze herhaaldelijk worden aangevallen. Op het ogenblik van de hierboven beschreven aanvallen zou slechts 10 tot 20% van de andere beveiligingsbedrijven de bedreiging hebben tegengehouden.
Gerichte aanvallen opsporen ongetwijfeld één van de meest schadelijke bedreigingen voor bedrijven en organisaties is een van de specialiteiten van MessageLabs Intelligence.
Over Symantec
Symantec is wereldwijd leider in infrastructuursoftware die bedrijven en consumenten meer vertrouwen geeft in de huidige wereld van het internet. Het bedrijf helpt klanten bij de beveiliging van hun infrastructuur, informatie en interacties door middel van software en services die een oplossing bieden voor de risico's van beveiliging, beschikbaarheid, IT-naleving en -prestaties. Het hoofdkantoor van Symantec is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 40 landen. Meer informatie op: www.symantec.com
###
Ingezonden persbericht