Securitybedrijf FireEye onthult een creatieve militaire aanvalscampagne. Een groep ervaren cyberinbrekers gebruikte bij de hackaanval de zogeheten watering hole-tactiek. Lokaas was een militaire veteranensite, die volledig werd gecompromitteerd.

Door het toevoegen van een iframe (een pagina binnen de pagina) in de HTML-code van deze website, kon de kwaadaardige code dankzij een nieuw gat in de IE 10-browser (CVE-2014-0322) met Flash worden geactiveerd. Alle oud-militairen die de website zo bezochten waren kwetsbaar.

Watering hole-tactiek is populair

Bij de watering hole-tactiek (ook wel spear-exploiting genoemd ) liggen cyberaanvallers te wachten op plekken waar hun doelwit vaak voorbij komt, zoals dieren bij een drinkplaats. Symantec en RSA waarschuwden in 2013 al voor de steeds populairdere aanvalsvorm. De manier van aanvallen is volgens een rapport CrowdStrike, Strategic Web Compromises (SWC), populair bij groep die opereren vanuit Rusland en China.

De analisten van FireEye dopen de operatie om tot 'Operation SnowMan'. Zij concluderen dat de aanval is gericht op leden van het Amerikaanse leger, mogelijk voor het stelen van militaire inlichtingen. De ervaren aanvallers hebben bovendien eerder hackaanvallen gepleegd op Amerikaanse overheden, Japanse bedrijven, aannemers van defensie, NGO's en IT-bedrijven.

De veteranensite 'US Veterans of Foreign Wars' is inmiddels gevrijwaard van malware, bevestigt een woordvoerder van FireEye tegenover SecurityWeek.