Een heimelijk opererende dreigingsactor, bekend onder de naam Strongpity, heeft afgelopen zomer gebruikers van encryptiesoftware naar zijn 'watering holes' en geïnfecteerde installers gelokt. Dit stelt Kaspersky Labs security researcher Kurt Baumgartner. Gebruikers in Italië en België werden het hardst geraakt, maar gebruikers in Nederland, Turkije, Noord-Afrika en het Midden-Oosten werden ook getroffen.
StronpPity is een technisch vaardige apt dat voornamelijk geïnteresseerd is in versleutelde data en communicatie. In de afgelopen paar maanden heeft Kaspersky Lab een aanzienlijke escalatie waargenomen in zijn aanvallen op gebruikers die op zoek waren naar twee gerespecteerde encryptietools: Winrar document- en Truecrypt systeemencryptie. De malware bevat componenten die de aanvallers volledige controle over het systeem van hun slachtoffer geven, zodat ze de inhoud van schijven kunnen stelen en ook extra modules kunnen downloaden om communicatie en contactgegevens te verzamelen. De cybercrimespecialist heeft tot nu toe bezoeken aan Strongpity-websites en de aanwezigheid van Strongpity-componenten gedetecteerd op meer dan duizend doelsystemen.
Frauduleuze websites
Om hun slachtoffers in de val te lokken, bouwden de aanvallers frauduleuze websites. In één geval verwisselden ze twee letters (ralrab.com in plaats van het origineel rarlab.com) in een domeinnaam zodat klanten dachten dat het een legitieme installatiesite betrof voor Winrar-software. Vervolgens plaatsten ze een prominente link naar dit schadelijke domein op de website van een Winrar-distributeur in België, waarbij ze kennelijk de ‘aanbevolen’-link op de site vervingen door die van de watering hole, om zo nietsvermoedende gebruikers naar hun vergiftigde installer te leiden.
Kaspersky Lab ontdekte de eerste succesvolle omleiding op 28 mei 2016. Vrijwel tegelijkertijd, op 24 mei, begon het bedrijf schadelijke activiteit waar te nemen op de website van een Italiaanse Winrar-distributeur. In dit geval werden gebruikers echter niet omgeleid naar een frauduleuze website, maar kregen ze de schadelijke Strongpity-installer rechtstreeks toegediend vanaf de site van de distributeur.
De dreigingsactor leidde daarnaast bezoekers om van populaire websites om software te delen naar zijn van een trojan voorziene Truecrypt-installers. De kwaadaardige links zijn inmiddels verwijderd van de Winrar-distributeursites, maar eind september was de frauduleuze Truecrypt-site nog steeds in de lucht.
Veel Belgische slachtoffers
Uit gegevens van Kaspersky Lab blijkt dat in de loop van één week de via de site van de Italiaanse distributeur verspreide malware terechtkwam op honderden systemen in Europa en Noord-Afrika en het Midden-Oosten, maar waarschijnlijk gaat het om nog veel meer infecties. Over de hele zomer gezien werden Italië (87 procent), België (5 procent) en Algerije (4 procent) het meest getroffen.
De slachtoffergeografie van de geïnfecteerde website in België was vergelijkbaar. Gebruikers uit België waren hier goed voor ruim de helft (54 procent) van meer dan zestig succesvolle hits. Aanvallen op gebruikers via de frauduleuze Truecrypt-website werden geïntensiveerd in mei 2016, waarbij 95 procent van de slachtoffers uit Turkije afkomstig was. De overige 5 procent waren afkomstig uit Nederland.
Meer controle op encryptie-tools
‘De door deze dreigingsactor gebruikte technieken zijn heel slim. Ze lijken op de benadering van de Crouching Yeti/Energetic Bear apt, begin 2014, waarbij het ging om het toevoegen van trojans aan legitieme installers voor it-software voor industriële besturingssystemen en het compromitteren van authentieke distributiesites. Deze tactieken zijn een gevaarlijke tendens die moet worden aangepakt door de beveiligingsindustrie. De zoektocht naar privacy en gegevensintegriteit mag een individu niet blootstellen aan offensieve watering hole-schade. Watering hole-aanvallen zijn van aard onnauwkeurig, en wij hopen de discussie aan te zwengelen over de behoefte aan eenvoudigere en verbeterde controle op de levering van encryptie-tools’, aldus Baumgartner.