Redactie - 30 oktober 2014

Operation Pawn Storm

OSCE, de Europese veiligheidsorganisatie die Nederland assisteert bij het onderzoek naar de MH17 vliegramp is slechts 1 van de vele slachtoffers in Operation Pawn Storm, een langdurige economische en politieke cyberspionage operatie.

Operation Pawn Storm richt zich op het leger, defensiebedrijven, ambassades en overheden uit Europa en de Verenigde Staten. Maar ook dissidenten van de Russische overheid, internationale media en zelfs het nationale veiligheidsorgaan van een Europees land waren doelwit. In Operation Pawn Storm werd een nieuwe aanvalstechniek gebruikt die gevaarlijk is voor ieder bedrijf dat zijn werknemers Outlook Web Access (OWA) aanbiedt.

Spear-phishing en SEDNIT

Op 11 augustus 2014 werd een nep persbericht van Maleisië en Nederland over de MH17 vliegramp verstuurd per e-mail naar een zeer beperkt aantal ambtenaren van een Europees ministerie.

Deze e-mail bevatte een CVE-2012-0158 exploit die SEDNIT/Sofacy probeert te installeren. SEDNIT wordt gebruikt in economische en politieke e-spionage. SEDNIT malware is ontworpen om bij het doelwit binnen te dringen en is erop uit om zoveel mogelijk informatie te verzamelen. De malware wordt al sinds 2007 gebruikt en de aanvallen zijn in de loop der tijd steeds meer verfijnd en gestroomlijnd.

Outlook Web Access

Een andere gebruikte techniek in operatie Pawn Storm is een gevaarlijke phishing-aanval die zich specifiek richt op gebruikers van Outlook Web Access. Deze aanval is betrekkelijk eenvoudig, effectief en gemakkelijk repliceerbaar. Door slechts één regel Javascript, lopen miljoenen gebruikers van Outlook Web Access het risico slachtoffer te worden van phishing. Er wordt hierbij geen gebruik gemaakt van exploits of kwetsbaarheden in software, enkel van features in JavaScript, de reading pane in Microsoft OWA en twee typo-squatted domeinnamen.

Behalve OSCE werd ook het Amerikaanse defensiebedrijf Academi (beter bekend als Blackwater) slachtoffer. In de aanval tegen Academi werden eerst twee domein namen aangemaakt die erg veel lijken op een nieuwssite over Afghanistan en de site van Academi zelf:

tolonevvs[dot]com in plaats van het echte domein tolonews.com
academl[dot]com in plaats van het echte domein academi.com

Vervolgens wordt een e-mail gestuurd naar een select aantal werknemers van Academi. Deze e-mail bevat een link naar de nep nieuwssite. De werknemers verwachten wellicht daadwerkelijk e-mailnotificaties van de echte nieuwssite tolonews.com. Zodra de e-mail wordt geopend via het voorbeeldvenster van Microsoft Outlook Web Access en er op de link wordt geklikt, wordt eerst een nieuw tabblad in de browser geopend waarin de originele nieuwswebsite laadt. Op het eerste oog ziet dit er voor de ontvanger volledig onschuldig en normaal uit.

Toch is dit niet het geval. JavaScript-code op de nep nieuwssite heeft namelijk ondertussen de OWA-sessie in de originele tab gewijzigd naar de URL van de nep OWA-server van de aanvaller. Als het slachtoffer klaar is met het lezen van het nieuws en weer terugkeert naar zijn Webmail, dan krijgt hij onderstaande melding te zien: Fake OWA-site. Deze website is vrijwel identiek aan de echte OWA-site van Academi: Echte OWA-site

Het is waarschijnlijk dat de gebruiker concludeert dat de OWA-server hem heeft uitgelogd tijdens het nieuws lezen. Als hij opnieuw inlogt stuurt hij zijn e-mail password naar de aanvaller, die dan direct toegang heeft tot alle e-mail van het slachtoffer.

Gevaar voor ieder bedrijf

Hoewel deze techniek tot dusverre alleen werd toegepast in Operation Pawn Storm, loopt elk bedrijf dat webmail aanbiedt voor werknemers risico slachtoffer te worden. Ook gebruikers van andere web-maildiensten, zoals Gmail en Yahoo kunnen slachtoffer worden van dezelfde aanval.

Wees daarom zeer voorzichtig op het moment dat er gevraagd wordt om gegevens in te voeren op login-pagina’s en zorg ervoor dat je op de juiste pagina (zonder typefouten!) inlogt. Indien mogelijk gebruik 2-factor authenticatie.

PS: bekijk de link naar het originele stuk (http://blog.trendmicro.nl/operation-pawn-storm/)? Dit stuk bevat namelijk een aantal afbeeldingen die het verhaal verduidelijken. Meer weten over Operation Pawn Storm? Lees hier het rapport.

Door: Feike Hacquebord, Senior Threat Researcher bij Trend Micro

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!