Eerder dit jaar hebben hackers na elkaar ngo-organisaties, de automobiel- en de scheikundesectoren aangevallen, volgens securityspecialist Symantec. De scheikundesector vormde van eind juli tot medio september het doelwit in het kader van wat Symantec de ‘Nitro’-campagne noemt. Chemiebedrijven werden duidelijk aangevallen met een aantal uiterst gerichte e-mails (verzoeken om afspraken afkomstig van personen die gekend zijn door het doelwit, of verzoeken tot security-updates), die besmette documenten bevatte. Het ‘werkzame’ element in die documenten was een oud Chinees remote access tool, Poison Ivy. Deze haalde op zijn beurt bijkomende malware binnen. Door middel daarvan werd informatie zoals beheeraccounts en ‘intellectual property’ gestolen.
In de chemische sector werden samen 29 bedrijven aangevallen, waaronder grote bedrijven in de Fortune 100 met onderzoek naar nieuwe materialen of bouwers van chemische productie-infrastructuur. Volgens Symantec was één van deze bedrijven gebaseerd (“country of origin”) in België.
Duqu-update
Verder meldt Symantec dat van het Duqu virus nu ook een ‘installer’ gevonden is. CrySyS een securitybedrijf uit Hongarije – de ontdekker van de Duqu binaries – kwam een Word document tegen dat een ‘exploit’ bevatte die gebruik maakt van een voordien onbekende kwetsbaarheid in de Windows kernel. Het openen van het document triggerde de exploit, wat de ketting in gang zette tot Duqu actief was. Ook in dit geval werd het document uiterst gericht verspreid naar personen in de belaagde bedrijven.
Het Duqu-virus brengt zorg teweeg omdat het sterke gelijkenis vertoont met Stuxnet, de malware die industriële automatiseringselementen heeft aangevallen. Men vermoedt dat Duqu door het zelfde team als Stuxnet wordt gebouwd (of minstens de broncode aan de bouwers van Duqu heeft doorgegeven). Deze malware diepgaand bestudeerd, vanwege het gevaar dat Stuxnet en eventuele afgeleiden vormen voor infrastructuren van nutsvoorzieningen en bedrijven. Zo zou de gevonden ‘installer’ van Duqu allicht niet de enige zijn die in omloop is. Wat de betrokken exploit van de Windows-kernel betreft, wordt door Microsoft gewerkt aan een bescherming.