De serie van aanvallen op de Amerikaanse defensie-industrie die vorig jaar aan het licht kwam na uitgebreid onderzoek vanwege de geruchtmakende RSA-hack, blijkt grotendeels gericht te zijn op het achterhalen van alle geheime technische informatie over de UAV's, de unmanned aerial vehicles of simpelweg drones geheten.

Spoor leidt naar China

Volgens de beveiligingsonderzoekers van FireEye leidt het spoor naar de Chinezen en is de aanval gedaan “namens een staat". Van de 261 separate aanvallen op klanten van FireEye in de defensie- en luchtvaartindustrie waren er 123 gericht op de leveranciers van technologie voor drones, zo schrijft Techworld.com, een zustersite van Webwereld.

De aanvallen werden uitgevoerd door zeer precies spearphishing uit te voeren met besmette PDF's op werknemers van die bedrijven, waarvan de aanvallers precies wisten welke kwetsbaarheden vielen uit te buiten op de doel-pc. De eerste aanvallen werden door FireEye in maart vorig jaar ontdekt. Daarna kwamen de golven van aanvallen in intervallen op andere klanten van het securitybedrijf.

Zelfde 'handtekening' als RSA-hack

De aanvallen hebben onderdelen in zich die lijken op de aanval op RSA, waarbij SecurID-tokens waren gestolen die gebruikt werden om defensiebedrijf Lockheed Martin binnen te dringen. En die aanval was al gelinkt aan Chinese groepen, waarvan wordt aangenomen dat die zijn ondersteund door overheidsinstellingen. Volgens FireEye gebruikten ook de aanvallers in de zo genoemde Operatie Beebus (naar een van de domeinen die door de aanvallers werd gebruikt) dezelfde TTP-strategie (tools, technieken en procedures) die gelinkt is aan de Chinese Byzantijnse Candor-groep.

In totaal heeft de ontdekte command & control-server liefst 214 servers van bedrijven 'binnengehaald', met in totaal 60 unieke IP-adressen, allemaal bedrijven in de luchtvaart- en defensiesector met veelal een focus op onbemande vliegtuigjes.