Een reeks cyberspionage-aanvallen is gericht op prominente personen in India, waaronder diplomaten en militaire officieren, met behulp van een aantal niet-zo-nieuwe aanvalsmethoden: phishing-sites en drinkplaatsen.
Het was begin februari toen beveiligingsbedrijf Proofpoint in realtime de cyberaanvallen op de Indiase ambassadeurs in Saoedi-Arabië en Kazachstan ontdekte. Sommige aanvallers komen uit Pakistan op basis van Internet Protocol-adressen die zijn gevonden door Proofpoint. Volgens de bevindingen van het onderzoek gebruikten de aanvallers een breed scala aan aanvalstactieken om die staatsfunctionarissen aan te vallen, waaronder kroegenwebsites en phishing-campagnes via vervalste e-mails.
De aanvallers richtten zich met name op de phishing-campagne om een trojan voor externe toegang te injecteren die een breed scala aan functies voor het stelen van gegevens bevat. Deze functies kunnen toegang krijgen tot laptopcamera’s, screenshots maken en kwaadaardige keylogging uitvoeren.
Lees ook: In India een massale phishing-campagne tegen de grootste bank van het land
Meldingen van cyberspionageactiviteiten zijn tegenwoordig niet nieuw. Wat echter wel nieuw is, is het detecteren van aanvallen die worden uitgevoerd door natiestaten tegen andere naties, in het bijzonder hun functionarissen en diplomaten, in dit geval India. De aanval op Indiase diplomaten maakte gebruik van meerdere vectoren om de kansen van de aanvallers om het doelwit te raken aanzienlijk te vergroten.
In de loop der jaren zijn cyberaanvallen de populaire methode geworden om geopolitieke misdaden te plegen. Naast het politieke momentum, plegen aanvallers ook cybercriminaliteit om een concurrentievoordeel te behalen voor zichzelf of hun sponsorende staten. Dit type aanval is specifiek gericht op de kritieke infrastructuur van een land.
De cyberaanval op Indiase diplomaten is een geavanceerde, hardnekkige dreiging, waarvoor meerdere websites nodig zijn om de aanvallen uit te voeren. Een van de aanvalsvectoren gebruikte bijvoorbeeld een e-mailbijlage met bewerkte RTF-documenten, die misbruik maakten van een oude fout in Microsoft ActiveX. Deze kwetsbaarheid liet een ingesloten, draagbaar uitvoerbaar bestand voor infectie achter.
Het Trojaanse paard bevat een groot aantal exploits die worden uitgevoerd op de computer van het doelwit na het decoderen en insluiten van de payload. De infectie begint met het verschijnen van een downloader die alle functies van de trojan voor externe toegang op de computer van het slachtoffer zou introduceren.
De aanvallen maken ook gebruik van valse websites die doen alsof ze behoren tot betrouwbare nieuwsorganisaties, evenals valse blogsites die gebruikers in feite alleen naar kwaadaardige payloads leiden via links die de trojan bevatten. De aanvallers probeerden de slachtoffers ook te verleiden de kwaadaardige banden met de rest van het Indiase leger te delen.
