‘State-sponsored hackers’, ofwel hackers aangestuurd door landen, gebruiken steeds vaker legitieme clouddiensten van waaruit ze hun malafide praktijken orkestreren. De redenen? Ze hebben geen eigen infrastructuur nodig, alle dataverkeer is standaard al versleuteld en gaat van en naar legitieme domeinen. Ook kunnen hackers op deze manier eenvoudiger ongezien op andermans netwerken rondneuzen.
Deze observatie is gedaan door Symantec, die er op de Black Hat Conference in Las Vegas een sessie aan wijdde. Het blijkt zeer aantrekkelijk voor hackers om een gratis account aan te maken voor een clouddienst van bijvoorbeeld Google Drive of Microsoft OneDrive en van daaruit hun command-and-control-centrum te beheren.
Symantec geeft verschillende voorbeelden, waaronder een backdoor genaamd Onedrivetools die is ingezet tegen bedrijven in de VS en Europa. Het gebruikt de Graph API van Microsoft ter authenticatie (normaal gesproken bedoeld om een scala aan Microsoft-diensten via de cloud te benaderen) en download vervolgens een payload in OneDrive en voert deze uit. Die payload is overigens gewoon op GitHub te vinden.
OneDrive als archief voor gestolen data
De malware maakt voor de hackers voor iedere nieuwe besmette computer een map aan in hun eigen OneDrive en stuurt bij elke nieuwe besmetting een bestandje door richting dit C&C-centrum om de hackers te laten weten dat ze weer beet hebben. De hackers kunnen op deze manier eenvoudig bestanden van hun slachtoffers lospeuteren via OneDrive. OneDrive wordt verder ook ingezet voor het verder verspreiden van malware.
Symantec vermoed dat China achter deze aanvallen zit. De hackers gebruikten in deze gevallen een tunneling tool genaamd Whipweave, waarvan de experts bij Symantec denken dat deze voortborduurt op de Free Connect-VPN van Chinese makelij.
Ook aanvallen op organisaties in Azië
Bij andere aanvallen gebruiken hackers een backdoor genaamd Grager tegen organisaties in Taiwan, Hong Kong en Vietnam. Ook deze maakte gebruik van de Graph API van Microsoft en stuurde gebruikers die op zoek waren naar de 7-Zip compressiesoftware naar een malafide domein via de gebruikte zoekmachine.
Daar konden ze 7-zip weliswaar downloaden, maar dan wel als trojan: de slachtoffers kregen er gratis ongewenste gasten bij, waaronder de Grager-backdoor. De onderzoekers nemen in hun analyse nog net niet hun spreekwoordelijke hoed af voor een dergelijke slinkse infectieroute.
Over deze en vergelijkbare zaken heeft Symantec een onderzoekspaper gepubliceerd en online gezet. Daarin melden ze dat de Grager-backdoor mogelijk in gebruik is door de groep UNC5330, waarvan ze banden met de Chinese overheid vermoeden.
Lees ook: VMware integreert met Symantec als voorschot op Broadcom-overname