'Chinese Google-hackers achter misbruik IE-gat'

De Chinese hackers die drie jaar geleden Google en andere Amerikaanse bedrijven aanvielen, zitten volgens beveiligingsbedrijf Symantec ook achter het misbruik van het jongste lek in Internet Explorer.


De Chinese hackersgroep die in 2009 verantwoordelijk was voor een grootschalig hackoffensief, onder meer bij datagigant Google, is dezelfde groep die nu actief het de zeroday in Internet Explorer misbruikt die rond de jaarwisseling werd opgemerkt. Dat meldt antivirusproducent Symantec die het hackerscollectief al een tijdje volgt via het eigen opgezette Elderwood Project.

Gerichte drive-by-aanvallen

Deze groep tuigt speciale websites op waarbij gericht bezoekers worden ge´nfecteerd met malware, een soort spear-driveby dus. De hackers injecteren een site via een kwetsbaarheid in bijvoorbeeld de implementatie van iFrame.

Het doelwit dat de site doorgaans veel bezoekt, wordt vervolgens met malafide code besmet via een nog niet eerder opgemerkte zeroday. Hierdoor wordt er bijvoorbeeld een trojan als Aurora op de computer van het slachtoffer ge´nstalleerd.

Zeroday achter de hand

Omdat een zeroday kostbaar is en snel zijn waarde verliest als hij wordt opgemerkt, doen de hackers eerst maanden niets met hun veroverde site, schrijft Symantec (PDF). De site is dan wel eenvoudig over te nemen en de hackers testen regelmatig of ze nog toegang hebben.

Zo bouwen ze eerst een netwerk van watering holes op, voordat ze overgaan tot het pushen van malware via hun fonkelnieuwe zeroday. Voordat de infectie wordt opgemerkt en leveranciers gaan patchen, hebben de hackers op deze manier toch voldoende rendement uit de kwetsbaarheid gehaald.

Chinese hackers mikken op VS

Het primaire doel van de Chinese hackers is het Amerikaanse defensieapparaat. Daarnaast worden transportorganisaties, energiebedrijven en fabrikanten op de korrel genomen. De groep richt zich het meest op de VS en Canada, maar activiteiten zijn ook ontdekt in AustraliŰ en China zelf. Trojans die systemen besmetten sturen informatie door naar een C&C bij een Chinese provider.

Symantec heeft het sterke vermoeden dat dit hackerscollectief ook achter de aanval op een Amerikaanse denktank en energiebedrijf van eind december zitten. De techniek waarop malware wordt verspreid is hetzelfde, het doelwit komt overeen met de vorige aanvallen en de aanval gebruikt kwetsbaarheden die vorig jaar aanvankelijk exclusief werden ingezet door de groep.

Bovendien is de trojan die is ingezet via het nieuwe IE-gat een aangepaste versie van de malware die de hackersgroep eerder inzette om Amnesty International in Hong Kong aan te vallen.