Operatie TooHash: Aziatische cybercampagne valt bedrijven aan

Experts van G DATA SecurityLab hebben een spionagecampagne ontdekt. Operatie TooHash is een gerichte aanval op bedrijven en organisaties. Het doel van de aanval is om gevoelige informatie te stelen van de aangevallen doelwitten, die zich vooral in Taiwan bevinden.

Methode
Door gebruik te maken van een ‘spear phishing’-truc, waarbij een phishingmail wordt gestuurd die geheel is toegespitst op en gepersonaliseerd voor de enkele specifieke ontvangers van het bericht, zijn de aanvallers erin geslaagd om veel slachtoffers geïnfecteerde Microsoft Office-documenten, die bij de mails waren bijgevoegd, te laten openen. Het lijkt erop dat er vooral geïnfecteerde documenten vermomd als sollicitatiebrieven zijn gestuurd naar afdelingen Personeelszaken. De meeste geïnfecteerde bestanden die de experts hebben gevonden zijn afkomstig uit Taiwan. Na analyse van de documenten is het vermoeden ontstaan dat ook andere doelwitten in en rondom China zijn benaderd, aangezien sommige documenten zijn opgesteld in het Chinees dat op het vasteland wordt gebruikt.

“De malware in de bijlagen maakt misbruik van een beveiligingslek in Microsoft Office en downloadt na activatie een remote access tool op de gecompromitteerde pc,” legt Ralf Benzmüller, hoofd van het G DATA SecurityLab uit. “We hebben in deze cyberaanval twee typen malware gevonden. Beide bevatten bekende cyberspionagecomponenten zoals automatic code execution, file listing en datadiefstal.”

Servers controleren de geïnfecteerde computers
In de loop van het onderzoek hebben de experts van het G DATA SecurityLab meer dan 75 control servers gevonden die gebruikt zijn om de geïnfecteerde pc’s te besturen. De meeste van deze servers staan in Hong Kong en de VS. Het programma dat de aanvallers gebruiken om de geïnfecteerde pc’s te besturen is deels Chinees, deels Engels.

Datadiefstal is een lucratieve business
Het is zeer schadelijke om waardevolle bouwplannen, klantgegevens, business-plannen, e-mails en andere gevoelige bedrijfsinformatie aan spionnen te verliezen, vooral als bedrijf. Kopers van dit soort gestolen gegevens zijn over het algemeen snel gevonden, bijvoorbeeld concurrenten van het getroffen bedrijf of geheime diensten. Datadiefstal kan een bedrijf commercieel en financieel ten gronde richten.

G DATA’s beveiligingsoplossingen detecteren de spionagesoftware als Win32.Trojan.Cohhoc.A en Win32.Trojan.DirectsX.A.

Een uitgebreide analyse van de spionagesoftware is hier te vinden.

Over G DATA
IT beveiliging is in Duitsland uitgevonden: G DATA Software AG wordt gezien als de uitvinder van AntiVirus. Meer dan 25 jaar geleden ontwikkelde het bedrijf, dat in 1985 in Bochum werd opgericht, het eerste programma dat de strijd aanbond met computervirussen. Tegenwoordig is G DATA één van ’s werelds leidende leveranciers van IT beveiligingsoplossingen.

Testresultaten bewijzen dat “Made In Germany” IT beveiliging internetgebruikers de best mogelijke bescherming biedt. Consumentenbonden over de hele wereld testen sinds 2005 internet security-oplossingen. G DATA won zeven van de testen van Nederlandse Consumentenbond. Ook internationaal werden vele overwinningen behaald, waaronder in Australië, België, Duitsland, Frankrijk, Italië, Oostenrijk, Spanje en de Verenigde Staten.

Het productportfolio bevat beveiligingsoplossingen voor consumenten, kleine zelfstandigen, het MKB en grote ondernemingen. G DATA’s beveiligingsoplossingen zijn wereldwijd verkrijgbaar in meer dan 90 landen.

Meer informatie over G DATA en zijn oplossingen is te vinden via www.gdata.nl en www.gdata.be.