Kaspersky Lab constateert dat de hackersgroep achter de netwerkworm Olympic Destroyer terug is van weggeweest. Dit keer richt de groepering zich op Nederland, Duitsland, Frankrijk, Zwitserland, Oekraïne en Rusland, met een focus op organisaties betrokken bij de bescherming tegen chemische, biologische en nucleaire bedreigingen.
Tijdens de Olympische Winterspelen van begin dit jaar werden organisatoren, leveranciers en partners getroffen door Olympic Destroyer. Nader onderzoek toonde aan dat er sprake was van een omvangrijke en overtuigende false flag-operatie, waarbij de betrokkenheid van het bekende Lazarus onwaarschijnlijk was. Kaspersky Lab ziet nu dat de aanval weer actief is met een aantal van de eerder toegepaste infiltratie- en verkenningstools.
Methodiek
De malware verspreidt zich via spear phishing-documenten die ook ter voorbereiding op de Olympische Winterspelen zijn gebruikt. Een van de documenten verwijs naar de ‘Spiez Convergence’, een conferentie over biochemische dreigingen in Zwitserland georganiseerd door Spiez Laboratory. Deze organisatie speelde een sleutelrol in het onderzoek naar de Salisbury-aanval. Ook de Oekraïense gezondheids- en veterinaire controleautoriteit is doelwit. Sommige documenten bevatten Russische en Duitse teksten.
De payloads die uit de schadelijke documenten zijn af te leiden, zijn ontwikkeld om generiek toegang te bieden tot de besmette computers. Voor de tweede fase van de aanval is het Powershell Empire-framework ingezet. De aanvallers lijken kwetsbare webservers te gebruiken om de malware te hosten en beheren. Deze servers maken gebruik van het Joomla-CMS. Volgens Kaspersky draait één van de servers op Joomla 1.7.3, een versie uit november 2011. Dit doet vermoeden dat een verouderde variant van het CMS wordt ingezet om de servers te hacken.
De verkenningsfase van de vorige aanval begon enkele maanden voor de Olympische Winterspelen. Kaspersky Lab acht het goed mogelijk dat de groep achter Olympic Destroyer nu, met nieuwe motieven, een soortgelijke aanval voorbereidt.
18 uur geleden
