De hack is met grote precisie uitgevoerd op de belangrijkste informatiebronnen in de netwerken van de betrokken oliemaatschappijen, zo beschrijft internetsecuritybedrijf McAfee in een omvangrijk rapport over de zaak. Het gaat onder meer om informatie over het bieden op oliekavels, cijfers over voorraden en financiële data. McAfee noemt de operatie ‘Night Dragon’.

De gecoördineerde aanvallen werden uitgevoerd in een viertrapsraket, waarbij via webservers toegang tot het intranet van een bedrijf werd verschaft, de accountinformatie van belangrijke managers werd verkregen, een opening naar het internet werd gecreëerd en belangrijke informatie uit documenten en emailarchieven werden doorgesluisd naar ontvangstservers in vooral China.

Aanval komt uit China

McAfee zegt dat de uitvoerenden van de cyberaanval vooral uit China komen en dat die gebruik maakten van een C&C-infrastructuur van één persoon. Die persoon is door mcAfee geïdentificeerd, zegt het bedrijf. McAfee assisteert de getroffen energie- en oliemaatschappijen in het detecteren en onderzoeken van de aanval.

De aanvallers maakten volgens de onderzoekers gebruik van gangbare hacktools die vrij op het internet zijn te verkrijgen. Daarbij werd gebruik gemaakt van social engineering, spear-phishing, exploitatie van zwakheden in Windows en Active Directory en remote administration tools (rat’s) die lijken op het gebruiken van Microsofts terminal services of het protocol van Citrix. Met die services krijgen buitenstaanders volledige controle over systemen. Omdat er gebruik werd gemaakt van ‘normale’ netwerkservices, werden de aanvallen lange tijd niet opgemerkt en konden de hackers meer dan een jaar lang hun gang gaan.

Geen bedrijfsnamen bekend

McAfee weigert de namen van de tien getroffen bedrijven bekend te maken, maar zegt dat het vooral bedrijven zijn uit Kazachstan, Taiwan, Griekenland en de Verenigde Staten. Er werd gebruik gemaakt van C&C-servers in Nederland en de Verenigde Staten. De servers in Nederland waren gehackt, terwijl de servers in de VS waren gehuurd door een Chinese man uit Heze City. Hij heeft een bedrijf dat adverteert met het aanbieden van gehoste servers in de Verenigde Staten, die te huur zijn voor tien dollar per jaar. Deze servers blijken de hosts te zijn van de zogeheten zwShell C&C-applicatie.

De gebruikers van de C&C-infrastructuur zijn volgens McAfee eveneens van Chinese origine gezien de hackingtools die ze gebruiken en de ip-adressen uit Beijing. Opvallend is dat er ‘gewerkt’ werd tussen 9 uur ’s morgens en 5 uur ’s middags, Beijingtijd. Volgens McAfee lijkt het daardoor alsof de betrokkenen een ‘gewone’ baan hebben en geen freelance of onprofessionele hackers zijn.

McAfee wilde niet ingaan op de vraag welke servers in Nederland werden gebruikt voor de aanval, of op welke manier ze waren overgenomen.