Securityleverancier Symantec stelt op basis van eigen analyse vast dat een woensdag ontdekte pdf-aanval niet beperkt was tot één Defensie-bedrijf. De cyberaanval die via een 0-day lek in Adobe's pdf-software is gericht op diverse Defensie-toeleveranciers maar ook op Amerikaanse telecomaanbieders, computerfabrikanten en chemiebedrijven.

Deze brede bereik wordt onthuld door security-manager Joshua Talbot. Hij zegt tegen Webwereld's Amerikaanse zustersite Computerworld.com dat de vooralsnog anonieme doelwitten zijn bestookt met e-mails waarin waarin zogenaamde richtlijnen staan voor contractprocedures in 2012. Die 'richtlijnen' komen in de vorm van een pdf-bestand waarin malafide code is verwerkt die Windows-pc's kaapt.

Klik voor groot

Lockheed-partner

Een vergelijkbaar pdf-document met malafide 'payload' is door andere security-experts ontdekt en vrijgegeven. Daardoor is in ieder geval één bedrijf bekend dat mogelijk slachtofer is geworden van de aanval. Het gaat om de Amerikaanse Defensie-toeleverancier ManTech die gelieerd is aan Lockheed Martin, die onder andere raketten levert aan het Amerikaanse leger. Lockheed bracht Adobe op de hoogte van de aanval. Zelf werd de wapenleverancier ook al eens op de korrel genomen door cyberaanvallers. Dat gebeurde vlak na de diepgaande cyberinbraak bij securityleverancier RSA.

Aanvalsdoelwit ManTech is niet alleen een traditionele legerleverancier, het bedrijf profileert zich juist als expliciet als: “leidende aanbieder van geavanceerde technologie, technische diensten en security-oplossingen".

Sappige buit

De operationele cybersupport die ManTech biedt voor de beveiliging van de Verenigde Staten omvat “het identificeren en neutraliseren van externe cyberaanvallen, het beheren van security operations centers (SOC's), het ontwikkelen van robuuste detectieprogramma's voor interne bedreigingen, en het creëren van managementprogramma's voor kwetsbaarheden".

ManTech heeft ongeveer 10.000 “highly skilled" werknemers in dienst, die werken in 49 Amerikaanse staten en 40 landen. Het bedrijf heeft contracten met meer dan 40 Amerikaanse overheidsagentschappen, waaronder alle onderdelen van het leger, de ministeries van Defensie, Binnenlandse Zaken en Homeland Security, het ministerie van Justitie, de FBI en ruimtevaartorganisatie NASA. Of de aanval op ManTech gelukt is en wat daar de mogelijke gevolgen van zijn is op dit moment nog onbekend.

De vestigingen van doelwit ManTech: Klik voor groot

Nepmails

Wel is bekend dat werknemers van ManTech zijn bestookt met mails waarin een personeelsonderzoek werd aangeboden. Security-onderzoeker Mikko Hypponen van F-Secure twittert een screenshot van het daarbij gebruikte pdf-bestand. Het openen van die 'enquête' leidt tot het uitvoeren van kwaadaardige code, via een nieuw lek in Adobe Reader en Adobe Acrobat. Een fix moet binnen een week uitkomen.

Klik voor groot

De malware werd ontleedt door forensisch ict-specialist Brandon Dixon die een malafide pdf ontdekte die al was geüpload naar de door hem opgezette scanningsite PDF X-Ray. Zijn analyse wijst uit dat als de malafide code eenmaal is binnengedrongen die niet direct in actie komt.

IE, Firefox, Outlook

De software wacht tot er bepaalde processen draaien, en infecteert dan Internet Explorer (IE), Firefox of Outlook. Daarmee zet de malware een beveiligde verbinding op met een eigen website, die er uitziet als een site van een Amerikaanse autodealer. Van die c&c-server (command and control) wordt een versleuteld bestand gedownload. Andere experts komen in eigen onderzoeken tot dezelfde bevindingen. Het is onduidelijk waarvoor versleutelde bestand dient, de code is nog niet gekraakt.

De malware in het pdf-bestand is volgens Symantec niet zo geavanceerd, en zelfs allang bekend. Het gaat om de Sykipot-malware, die stamt uit 2007 en is al uitgebreid geanalyseerd.

Over de Sykipot-malware is bekend dat het een versleuteld bestand downloadt. Dat bleek in eerdere gevallen een configuratiebestand dat wordt ingezet om data te stelen. Wat voor data Sykipot in de regel steelt is moeilijk te zeggen omdat de malware ncryptie toepast voor de data die het vergaart en die vervolgens naar buiten toe upload. Dat maakt het moeilijk om te achterhalen wat er precies voor informatie is gestolen.

'Chinese aanvallen'

Sykipot werd begin 2010 al ingezet tegen Amerikaanse bedrijven, maar gebruikte destijds een gat in Internet Explorer en kwam niet via pdf binnen. Die aanvalsgolf volgde weer op een geruchtmakende cyberaanval, ook wel bekend als Operation Aurora, van eind 2009 waarbij onder meer Google werd gekraakt. Die aanval had internationale politieke ophef tot gevolg. Vooral omdat naar alle waarschijnlijkheid de aanval uit China kwam.

China wordt ook nu verdacht Amerikaanse bedrijven aan te vallen met pdf-malware. De doorgaans goed ingevoerde cyberwar-specialist 'Diocyde' benadrukt dat niet alleen ManTech en Lockheed doelwit waren. “Dit was een brede aanval tegen veel Defensie-toeleveranciers. In wezen heeft China ons zojuist aangevallen", twittert hij. Die beschuldiging wordt onderbouwd met elementen in de code van de malware en sporen naar de c&c-servers.

Forensisch ict-specialist Brandon Dixon legt de online-securityscan van PDF X-Ray uit: