Een beveiligingsonderzoeker van Dell waarschuwt voor Mirage, dat onder meer een Taiwanese olieproducent en een Canadees energiebedrijf op de korrel neemt. De cyberaanvallers gebruiken spear-head-phishing om werknemers van specifieke bedrijven zover te krijgen een bestandendropper vermomd als pdf'je te openen.

Energiebedrijven doelwit

De onderzoekers van Dell vingen communicatie van de malware op in een sinkhole en analyseerden de cyberaanval. Een remote access trojan (RAT) genaamd Mirage wordt op de systemen geplaatst zodra de pdf wordt aangesproken om een backdoor te openen naar een commandoserver. Daarna wacht het systeem op instructies van de C&C.

Door de malware te laten inbellen op de sinkhole, werd duidelijk op welke ip-adressen de aanval precies wordt uitgevoerd. “Veel van deze ip-adressen behoren tot netwerken van een oliemaatschappij, energiebedrijf en een militaire organisatie", stelt onderzoeker Silas Cutler. De beheerders van het botnet gebruiken onder meer DNS en proxyservers om de C&C's te verhullen.

Bedrijfsgeheimen gestolen

Dell kan niet zeggen welke documenten precies worden opgevangen en verzonden naar de C&C. “In de meeste gevallen gaat het om concurrentie-gegevens", zegt hoofdonderzoeker Joe Stewart van Dell tegen Cnet. Wie er achter de aanval zit is onbekend, maar volgens Stewart hebben ze een flink budget en zijn ze behoorlijk actief.

“De laatste jaren zijn dit soort aanvallen ontzettend succesvol geweest en zijn er veel intellectueel eigendom en bedrijfsgeheimen gestolen", schrijft Cutler in zijn onderzoek. Stewart en Cutler wijzen erop dat bij het traceren van een van de botnetbeheerders het onderzoek uitkwam bij een Chinese ISP.