Het aantal cyberaanvallen dat er iedere minuut daadwerkelijk plaatsvindt, kunnen we ons haast niet voorstellen. Sommige campagnes worden echter publiekelijk, waarna de dreiging fors blijkt. Een goed voorbeeld daarvan is het recent ontdekte Operation Oceansalt, een vrij unieke campagne. Deze gebruikt namelijk kwaadaardige code die de afgelopen acht jaar niet meer gezien is, volgens McAfee.

Onderzoekers van het securitybedrijf kwamen deze cybercampagne een tijd geleden op het spoor en maakten de bevindingen op zijn recentelijk MPOWER-conferentie in de Verenigde Staten openbaar. Het betreft een aanval met aanvankelijk Zuid-Korea als doelwit. Dit wordt onder andere duidelijk door de aangetroffen documenten, waarin perfect Koreaans geschreven is. Geen vertaling uit Google Translate dus, wat bij phishing e-mails nogal eens het geval blijkt. Bovendien lijkt het erop dat de verantwoordelijke Zuid-Koreaanse websites heeft gehackt voor het hosten van de implant code.

Wat doet Operation Oceansalt?

Operation Oceansalt gebruikt een gedeelte van de code van de Seasalt-implant, die van 2006 tot 2010 Amerikaanse organisaties lastig viel. Seasalt wordt gelinkt aan de Chinese hackersgroep APT1. Dit keer stuurt de implant informatie zoals het ip-adres en de computernaam naar de command and control-server, waarna er voldoende data is om de volgende stappen te bepalen. Het betreft voornamelijk achterdeurtjes-werk, wat de weg open legt voor behoorlijk wat commando’s. Uiteindelijk kan van een geïnfecteerde endpoint zo goed als alle informatie verzameld worden, waarna zelfs volledige controle over de systemen mogelijk is.

Eerste golven

De zorgvuldigheid van Operation Oceansalt blijkt eigenlijk al tijdens de eerste aanval. Auteur Lion begint op 18 mei met het samenstellen van een kwaadaardig document. In het malafide Excel-bestand bevindt zich een lijst met Koreaanse namen, inclusief woonadressen en e-mailadressen. Veel van de genoemde personen zijn verwant aan hoger onderwijs of instituten. In werkelijkheid betreft het echter een willekeurige lijst, die afkomstig zou zijn van een database van een Zuid-Koreaanse overheidsinstelling. In het document vinden we macrocode om de implant te downloaden en het uit de voeren als V3UI.exe. Dat laatste is een security-product uit Zuid-Korea.

Ook de tweede golf maakte gebruik van een kwaadaardig Excel-bestand. Ditmaal lijken de documenten echter verbonden aan Zuid-Koreaanse openbare infrastructuurprojecten. Na het analyseren van de documenten stelt McAfee dat deze aanval zich richt op individuen gerelateerd aan de projecten.

In de derde fase begon Operation Oceansalt al wat andere vormen aan te nemen. Weliswaar wordt er dezelfde macrocode verspreid, maar dit keer is er ook een Word-bestand ter besmetting. Deze bevat neppe informatie over het overheidsfonds Inter-Korean Cooperation Funds. Ook werd er een andere website gebruikt voor het verspreiden van de implant. Deze golf komt nog wel met een Excel-document, met daarin contactinformatie gerelateerd aan het Word-bestand.

Schaal

Operation Oceansalt beperkt zich echter niet tot Zuid-Korea, de aanvallen breiden hun schaal namelijk uit. De onderzoekers van McAfee zijn ook doelwitten uit de Verenigde Staten en Canada tegengekomen. Tijdens de presentatie van de onderzoeksresultaten moeten de kwaadaardige documenten die doelwitten uit deze landen teisteren nog geanalyseerd worden. Daardoor kunnen de onderzoekers nog niet gedetailleerd ingaan op deze bevindingen. Wel delen ze dat na de eerste drie golven onder andere financiële instellingen en de gezondheidszorg doelwitten waren.

Desgevraagd laat Chief Scientist Raj Samani weten dat de door McAfee gedetecteerde doelwitten niet per definitie de enige hoeven te zijn. Er kunnen aanvallen zijn geweest waar onderzoekers niet van op de hoogte zijn. Net zo goed als de campagne nog niet gestopt hoeft te zijn. De betreffende instanties zijn namelijk ingelicht en er zijn stappen genomen. Maar het kan net zo goed een spionagecampagne voor de komende periode inluiden. Samani denkt namelijk dat het onderzoeksteam de eerste fase van zo’n campagne tegen is gekomen.

Daarmee zijn er meerdere vragen die momenteel nog niet te beantwoorden zijn, maar misschien in de toekomst. Dat is onder andere afhankelijk van of de campagne doorzet. Dan zouden we te weten kunnen komen wat het echte doel was, bijvoorbeeld het intellectueel eigendom stelen van de doelwitten. Net zo goed als het nu, op basis van de informatie, niet wijs is om aan te wijzen wie er achter de campagne zit.