De datadiefstal is begin deze maand gepleegd. Het daarvoor gebruikte lek in Internet Explorer (IE) is in maart gebruikt op de hackwedstrijd Pwn2Own, meldt de Britse ict-nieuwssite The Register. Microsoft heeft dit zogeheten 0-day gat in IE6, 7 en 8 gedicht in de patchronde van deze maand (op 12 april). De inbraak bij het Oak Ridge-lab was toen al gebeurd.

Uit nood offline

Het getroffen overheidslaboratorium, wat onderzoek doet naar energie en ‘bijdraagt aan de nationale beveiliging’, heeft vorig weekend al zijn internetverbindingen en e-mailservers platgelegd, meldt Computerworld.com. Dit om te voorkomen dat de daders meer data naar buiten wisten te krijgen.

In totaal hebben de datadieven “een beperkte hoeveelheid data, in de megabytes, niet gigabytes” te pakken gekregen, meldt een Oak Ridge-woordvoerder aan website Security News Daily. Het is niet bekendgemaakt wat voor data is gestolen.

Spear phishing

De cyberinbraak is gepleegd met een zeer gerichte phishing-aanval. Die zogeheten spear phishing is gedaan met een e-mail die afkomstig leek van de eigen personeelsafdeling van Oak Ridge. In de namaakmail zat een link die, zodra gebruikers het hadden aangeklikt, zorgde voor malware-bezorging en -uitvoering. Dat gebeurde dan via Microsofts webbrowser IE.

De eerste van deze mails zijn op 7 april binnengekomen in de mailsystemen van Oak Ridge, en op 11 april ontdekt. Directeur Thom Mason zegt tegen de lokale krant Knoxville News Sentinel dat deze cyberaanval vergelijkbaar is met recente aanvallen op onder meer Google en beveiligingsbedrijf RSA. Oak Ridge onderzoekt de kwestie samen met Microsoft.

Afgelopen week heeft het Oak Ridge-lab zijn internetverbindingen en e-mailservers geleidelijk weer online gebracht. Daarbij zijn beperkingen ingesteld: attachments zijn verboden en maillengte ligt aan banden. Dat helpt niet tegen ingebedde malafide links, tenzij zo’n link een meegestuurd attachment met ingebouwde malware activeert. Dat was echter niet het geval bij Oak Ridge: de link downloadde de malware vanaf het internet.

Pwn2Own

De details van het in maart op Pwn2Own al gebruikte IE-lek zijn voor, tijdens en na die hackwedstrijd geheim gehouden. Andere security-onderzoekers hebben het hackwerk op eigen houtje weten te repliceren. Microsoft waarschuwde in april dan ook dat er al gerichte aanvallen werden ondernomen via dit IE-gat.

Vóór de aanvang van Pwn2Own heeft Microsoft geen IE-noodpatches uitgebracht. Browsermakers Google en Apple hebben dat op de valreep nog wel gedaan. Op Pwn2Own zijn alle toen officiële IE-versies gekraakt, behalve IE9 wat tijdens de hackwedstrijd nog net niet uit was. De aard van de kwetsbaarheid (use-after-free) is overigens hetzelfde als die van een lek dat Microsoft eerder heeft ontdekt in Google Chrome en waar het nu openlijk melding van doet.

Atoombom

Het Oak Ridge National Laboratory is in 2007 ook al gehackt. Toen zijn er wel grote hoeveelheden data buitgemaakt. Het lab is voortgekomen uit het Amerikaanse Manhattan Project voor de ontwikkeling van de atoombom tijdens de Tweede Wereldoorlog. In de loop der jaren is het onderzoeksgebied flink uitgebreid naar ook energie, supercomputing, nano- en bio-onderzoek.