Onderzoekers van McAfee hebben een log gevonden op een overgenomen Command & Control-server waarin uitgebreid staat genoteerd welke overheidsinstellingen en bedrijven sinds 2006 zijn bespioneerd. Van de 72 organisaties zijn de meeste Amerikaans, maar ook het Olympisch Comité en het World Anti-Doping Agency staan op de hitlijst.

De werkwijze van de cyberspionnen is in aanvang simpel. Een mailtje met een exploit werd naar een man of vrouw gestuurd die binnen de organisatie waarin hij of zij werkzaam is de toegangsrechten heeft tot veel informatie. De exploit zorgt bij opening voor het downloaden van malware, die een backdoor opent voor communicatie met de C&C-server. Vervolgens wordt de verbinding overgenomen door een mens die zover mogelijk de systemen induikt en de informatie ophaalt waarvoor de aanval was opgezet. McAfee heeft de spionageaanval Operatie Shady RAT genoemd, waarbij RAT staat voor Remote Access Tool.

Verbaasd over diversiteit doelen

McAfee zegt na bestudering van de logbestanden van de overgenomen C&C-server verbaasd te zijn over de diversiteit van de doelen van de aanvallers. Buiten Amerikaanse overheidsdiensten, en defensiebedrijven zijn dat oliemaatschappijen, een computerbeveiligingsbedrijf, een makelaar, staalbedrijven, drie organisaties van het Internationale Olympische Comité en het internationale dopingonderzoeksbureau. De volledige lijst is te vinden op het blog van Dmitri Alperovitch, het hoofd van McAfee's onderzoeksteam naar bedreigingen op het internet.

McAfee zegt dat er uit de logs de namen van 72 organisaties en bedrijven zijn te herleiden, maar dat er meer aanvallen zijn uitgevoerd waarvan het niet geheel duidelijk is wie of wat het doel was. De aanvallen zijn in de afgelopen vijf jaar uitgevoerd. Bij de meeste organisaties duurden de spionage-activiteiten een maand tot een jaar, maar sommige zijn zo'n twee jaar in de gaten gehouden. Daaronder onder meer een Amerikaans satellietcommunicatiebedrijf, de Verenigde Naties in Zwitserland, een Amerikaanse denktank voor nationale veiligheid, Het Olympisch Comité van een Aziatisch land en de overheid van een county in Zuid-Californië.

Alles wijst naar land als dader

De onderzoekers vermoeden dat "een bepaald land" de spionage-aanvallen heeft uitgevoerd omdat het anders niet logisch zou zijn dat rond de Olympische Spelen van 2008 vooral de organisaties van het IOC het doelwit waren, met name dus het internationale dopingonderzoeksbureau. Ook de VN of de organisatie van Zuidoost-Aziatische landen hebben weinig economische waarde voor aanvallers. McAfee zegt dat een commerciële instelling weinig tot geen belang heeft door die organisaties te bespioneren.

In de Washington Post worden analisten aangehaald die met de vinger wijzen naar China. Volgens de krant hebben journalisten van Associated Press (AP) in Hong Kong en New York die schreven over de ontwikkelingen in China, eveneens geklikt op geïnfecteerde mailtjes en zo de spionageaanval in gang gezet. Het persbureau zou bijna twee jaar in de gaten zijn gehouden.

Geen Nederlands doel

Sommige spionageincidenten zijn in de afgelopen jaren als individuele gevallen al naar buiten gekomen, maar door het buitmaken van het log van de C&C-server heeft McAfee daar nu een verband tussen gelegd. Er zijn vooralsnog geen Nederlandse doelen gevonden.

Wel is er in Duitsland een accountancybedrijf aangevallen en in Denemarken een communicatiesatellietbedrijf. In Engeland werd er binnengedrongen in de systemen van een computerbeveiligingsbedrijf.