Google: Hackergroep grossiert in zerodays

De groep werd ontdekt door het beveiligingsteam van Google nadat deze in februari vorig jaar met behulp van een combinatie van verschillende technieken en het gebruik van vier zeroday-kwetsbaarheden Windows- en Android-gebaseerde apparatuur wist binnen te dringen, legt Maddie Stone, een van de onderzoekers van Project Zero uit in een blog.

In de daarop volgende periode tot oktober zette dezelfde groep nog eens zeven andere, tot dan toe onbekende kwetsbaarheden in, die ook voorkwamen in iOS-gebaseerde apparatuur. De groep kiest zijn groep slachtoffers heel precies uit en volgt welke sites veel worden bezocht. Die worden vervolgens voorzien van malware die zich installeert op de apparatuur van de slachtoffers. De methode staat wel bekend als de wateringhole-methode, naar de poelen waar wilde dieren vaak komen om te drinken.

Nadat Google in februari een van de zeroday-kwetsbaarheden had afgedicht, wist de groep snel over te schakelen naar een andere nog niet ontdekt lek in de Chrome V8-engine die het mogelijk maakte code tot expressie te brengen.

Niet-triviaal uitzoekwerk

Google wijst op zeer geavanceerde aanvalstechniek waarbij de verschillende kwetsbaarheden in combinatie moesten worden ingezet om door de verschillende onderdelen van de beveiliging van goed gepatchte systemen heen te breken. Verder werden methoden toegepast om acties zo goed mogelijk te maskeren. Stone heeft het over niet-triviaal uitzoekwerk om dat allemaal voor elkaar te krijgen.

Er is verder niet bekend of deze groep al eerder in het vizier was van IT-beveiligers. Ook geeft Project Zero geen enkele informatie over de slachtoffers of waar de aanvallers mogelijk naar op zoek waren. De ontdekking geeft wel aan dat zeer tijdig patchen van systemen slechts een onderdeel van de beveiliging is. Voortdurende alertheid en monitoring van ongebruikelijke handelingen op een systeem is nodig om vroegtijdig aanvallen te ontdekken en af te wenden.