Leverancier van antimalwareoplossingen Norman Shark heeft gedetailleerde informatie vrijgegeven over een grootschalige en geavanceerde infrastructuur voor cyberaanvallen die uit India afkomstig lijkt te zijn. Deze aanvallen werden gedurende een periode van drie jaar uitgevoerd door een groep cybercriminelen en duren tot op de dag van vandaag voort. Er zijn geen tekenen die erop wijzen dat het gaat om overheidsspionage of cyberoorlog. Het belangrijkste doel van dit wereldwijde command and control-netwerk lijkt te zijn om informatie te stelen van bedrijven en organisaties die zich bezighouden met de nationale veiligheid.
‘Onze onderzoeksgegevens lijken erop te wijzen dat een groep cybercriminelen in India verschillende programmeurs in dienst heeft genomen om specifieke malware te ontwikkelen’, zegt Snorre Fagerland, hoofd Research van het in Oslo gevestigde Norman Shark Labs. ‘Dit criminele netwerk lijkt over voldoende middelen en relaties binnen India te beschikken om spionageaanvallen in alle delen van de wereld uit te voeren. Opvallend is de enorme diversiteit aan sectoren waarop deze cybercriminelen hun pijlen richten. Voorbeelden zijn de nutssector, telecomwereld, juridische dienstverlening, horeca en productie-industrie. Het is zeer onwaarschijnlijk dat deze hackersorganisatie louter voor eigen doeleinden aan bedrijfsspionage doet. Dat is het verontrustende aan deze ontdekking.’
Nooit eerder gerapporteerd
Uit het onderzoek van Norman blijkt dat de organisatie professionele methoden op het gebied van projectmanagement hanteerde voor de ontwikkeling van frameworks, modules en subcomponenten. Het lijkt erop dat individuele malware-ontwikkelaars bepaalde taken kregen toegewezen en dat bepaalde componenten werden uitbesteed aan wat freelance programmeurs. ‘Zoiets als dit is nog nooit eerder gerapporteerd’, voegt Fagerland daaraan toe. Deze ontdekking wordt momenteel nader onderzocht door de nationale en internationale autoriteiten.
De spionageactiviteiten kwamen aan het licht toen een Noorse krant meldde dat Telenor, een van ’s werelds grootste mobiele telecombedrijven, op 17 maart 2013 aangifte deed van een onrechtmatige inbreuk op zijn computernetwerk. Het lijkt erop dat de cybercriminelen toegang tot het netwerk wisten te krijgen na het verzenden van e-mailberichten die ten doel hadden om informatie van topmanagers van Telenor te ontfutselen. Deze aanvalstechniek wordt spear phising genoemd.
Malware Analyzer G2
Aan de hand van informatie over de aanvalspatronen en de bestandsstructuur van de malware konden de beveiligingsanalisten van Norman Shark interne en publieke databases doorzoeken op vergelijkbare incidenten. Hiertoe maakten zij gebruik van het automatische analysesysteem Malware Analyzer G2 van Norman. De analisten en partners van Norman troffen een overweldigende hoeveelheid malware aan. Daarmee werd duidelijk dat de inbreuk bij Telenor geen op zichzelf staande aanval was, maar onderdeel vormde van een voortdurende inspanning om bedrijven en overheidsinstellingen in alle delen van de wereld te treffen. Norman Shark gaf zijn rapport de titel ‘Operation Hangover’: een verwijzing naar een van de vormen van malware die het vaakst door dit cyberspionagenetwerk werd gebruikt.
Een analyse van ip-adressen die tijdens het onderzoek uit informatiebestanden van de cybercriminelen werden verkregen, doet vermoeden dat de organisatie haar pijlen richtte op organisaties in meer dan een dozijn landen. Specifieke doelwitten waren overheidsinstellingen, militaire organisaties en bedrijven. Het feit dat de aanvallen vanuit India afkomstig waren, blijkt uit een uitgebreide analyse van ip-adressen, registraties van domeinnamen en tekstuele informatie die binnen de kwaadaardige code werd aangetroffen.
Java, Word en browsers
Ondanks alle aandacht in de media voor zogenaamde ‘zero-day exploits’, waarbij volstrekt nieuwe aanvalsmethoden worden gehanteerd, lijkt voor Operation Hangover gebruik te zijn gemaakt van bekende kwetsbaarheden in Java, Word-documenten en browsers. ‘Dergelijke spionageactiviteiten zijn de afgelopen jaren voornamelijk in verband gebracht met China’, concludeert Fagerland. ‘Volgens onze informatie is dit de eerste keer dat de bewijzen naar India voeren.’