Direct nadat de aanval bekend werd, werden 34 bedrijven geïdentificeerd die slachtoffer waren. Die telling is gedaan na analyse van een command-and-control server, waarmee de gehackte machines werden bestuurd. Nu zijn er nog eens 68 van die command-and-control servers ontdekt en onderzocht. Volgens Alex Stamos van beveiligingsbedrijf iSec Partners kan het aantal gehackte bedrijven makkelijk oplopen tot boven de honderd.

Hackers hadden vrij spel

De code van de aanval die Operation Aurora is gedoopt, was namelijk al 18 maanden in gebruik, zegt Stamos. De beveiligingswereld wist van niets tot Google aan de bel trok. Voor die tijd hadden de hackers vrij spel, met hun geavanceerde aanvallen die social engineering combineerden met 0-day lekken, onder meer in Internet Explorer 6.

Volgens Rob Lee van het onafhankelijke beveiligingsorgaan SANS Institute is Aurora niet de enige aanval in zijn soort. “We hebben al vijf jaar te maken met dit soort aanvallen”, zegt hij. “Die gaan via e-mail allemaal gewoon voorbij alle beveiligingsmaatregelen.” Hij stelt dat niet honderd, maar zeker honderden bedrijven slachtoffer zijn.

'Interessante aanvallers'

Stamos bevestigt dat traditionele beveiligingsmaatregelen niet afdoende zijn tegen deze aanvallen. “Het interessante aan deze aanvallers is dat ze zo geduldig zijn”, zegt hij. “Ze spenderen veel tijd aan het schrijven van speciale malware om langs de antivirus van bedrijven te komen. Ze gebruiken verder sociale netwerken om meer te weten te komen van een persoon in het bedrijf, en vervolgens sturen ze e-mails of chatberichten uit naam van vrienden van die persoon.”

iSec Partners komt met een aantal aanbevelingen (pdf) voor maatregelen die bedrijven kunnen nemen om zich tegen dit soort aanvallen te beschermen. Dat omvat het loggen en analyseren van DNS-verkeer, het opzetten van bewaking voor het interne netwerk, het contoleren van binnenkomend én uitgaand netwerkverkeer, en het combineren (aggregeren) van verschillende logbestanden.

Bron: Techworld.nl.