Rusland bespioneert Westen via lek in Powerpoint
Weer is er een spionageverhaal opgedoken. Dit keer is het niet de NSA die nietsvermoedende burgers in de gaten hield, maar Rusland dat overheden en organisaties als de NAVO in het Westen nader bekeek. Hiervoor maakten de Russen gebruik van een zerodaylek in Microsoft Powerpoint. Dit ontdekte beveiligingsbedrijf iSight.
Rusland misbruikt de zwakke plek in Windows al sinds 2009. De aanvallers stuurden e-mailberichten met een speciaal geprogrammeerde Powerpointpresentatie in de bijlage. Zodra de ontvanger het bestand opent krijgen de hackers de mogelijkheid code uit te voeren op het getroffen systeem.
[related_article id=”161452″]
Goed nieuws voor overheden en instanties die nog niet zijn overgestapt van Windows XP. Die versie is niet kwetsbaar, maar alle edities vanaf Vista wel. Ook op Windows Server 2008 en 2012 kon ingebroken worden door de Russen.
Operatie Sandworm
Het hoofddoel van de Russen is om bestanden op te diepen die over hun eigen land gaan, maar ook documenten en e-mailberichten over Oekraïne en andere gebieden in de regio krijgen ze graag in handen. Tevens richten de hackers zich op ssl-sleutels en certificaten.
De spionageactiviteiten worden door iSight gedoopt tot Operatie Sandworm, een verwijzing naar de grote zandwormen uit de Dune-reeks. Dit omdat de servers die de aanvallers gebruikten namen hadden als houseatreides94, arrakis02 en epsiloneridani0. Deze termen zijn allemaal terug te leiden naar de boekenserie.
Doelwitten
iSight heeft een aantal doelwitten aantoonbaar boven tafel kunnen krijgen. Zoals overheidsinstanties in West-Europa, bedrijven in de energiesector (vooral in Polen), Europese telecombedrijven, de NAVO en academische instellingen in de Verenigde Staten.
Volgens iSight is het heel goed mogelijk dat dit slechts het topje van de ijsberg is. “De zichtbaarheid is beperkt”, schrijft het bedrijf op zijn website. “De kans is zeer zeker aanwezig dat naast deze doelwitten de groep nog veel groter is. Daarnaast is het reëel te denken dat niet alleen Rusland misbruik heeft gemaakt van dit zerodaylek, maar dat ook andere instanties met informatie aan de haal zijn gegaan.”
iSight kwam de spionageactiviteiten eind 2013 op het spoor. Sindsdien heeft het de hackers in de gaten gehouden. Elke keer als de Russen een doelwit aanvallen, wordt het door het bedrijf hiervan op de hoogte gesteld. Pas begin september ontdekken ze dat een zwakke plek in Powerpoint gebruikt wordt. Inmiddels heeft Microsoft hier een patch voor uitgebracht en is het lek gedicht.