Cybercriminelen hebben onlangs geprobeerd om de interne computersystemen van de Indiase luchtmacht (IAF) aan te vallen om gevoelige gegevens te stelen. Ze maakten gebruik van open-source malware die is gemaakt met behulp van een programmeertaal ontwikkeld door Google. Gelukkig heeft de luchtmacht geen gegevens verloren.
In een rapport van 17 januari identificeerde het Amerikaanse cybersecuritybedrijf Cyble een variant van de Go Stealer-malware, die openbaar beschikbaar was op GitHub, en die gericht was op de systemen van de IAF. Het is niet duidelijk wanneer deze aanval precies heeft plaatsgevonden. Bronnen rondom de situatie geven echter aan dat er geen gegevens verloren zijn gegaan omdat “voldoende maatregelen waren genomen om de beveiliging te waarborgen.”
Uitvoering van de malwareaanval:
De aanvallers probeerden misbruik te maken van de interesse van het IAF-personeel in het multi-tasking gevechtsvliegtuig Su-30 MKI, waarvan de Indiase regering in september vorig jaar twaalf exemplaren bestelde, om een op afstand bestuurde Trojaanse aanval uit te voeren. Ze verspreidden een geïnfecteerd ZIP-bestand met de naam “SU-30_Aircraft_Procurement” via de anonieme cloudprovider Oshi en stuurden het via phishing-mails naar luchtmachtofficials. Wanneer de ontvanger het geïnfecteerde ZIP-bestand downloadt en uitpakt, ontvangt hij meerdere bestanden met malware en een PDF-bestand met de naam ‘Voorbeeld’, dat dient als afleiding terwijl het kwaadaardige programma in de achtergrond draait en gevoelige inloggegevens worden gestolen via het veelgebruikte zakelijke communicatieplatform Slack.
Hackers gebruiken een PDF-document om slachtoffers van de malwareaanval op de Indiase luchtmacht af te leiden
De infectiesequentie omvat de voortgang van het ZIP-bestand naar een ISO-bestand, dat uiteindelijk resulteert in het gebruik van een malware van het stealer-type. Het ISO-bestandsformaat bevat een exacte kopie van een optische schijf zoals een CD, DVD of Blu-ray, terwijl .lnk een eigen bestand is dat wordt gemaakt door het Windows-besturingssysteem om snelkoppelingen te maken voor snelle en veilige toegang tot opgeslagen bestanden.
Toenemend misbruik van de Go-taal van Google
Bij deze aanval gebruikten cybercriminelen een variant van Go Stealer om effectiever te zijn tegen een breder scala aan webbrowsers, naast Firefox en Google Chrome. Op GitHub beschrijven de malware-ontwikkelaars Go Stealer als een “cookie- en login-gegevensdief voor Firefox + Chrome”. Go Stealer is gebaseerd op de open-source Go-programmeertaal ontwikkeld door Google, die steeds vaker door kwaadwillende actoren wordt gebruikt voor cyberaanvallen. Malware gebaseerd op Go werd voor het eerst ontdekt in het midden van 2018 en is sindsdien steeds vaker door criminelen gebruikt, aldus het Amerikaanse technologiebedrijf F5. In januari vorig jaar ontdekte Cyble een andere malware gebaseerd op Go genaamd “Titan Stealer”, die het onderwerp was van een handleiding van de Filipijnse overheid: “Een op Go gebaseerde informatie-stelende malware kan gevaarlijk zijn omdat het vertrouwelijke en belangrijke informatie uit een geïnfecteerd systeem kan halen en financiële schade kan veroorzaken. Bovendien kunnen aanvallers gestolen gegevens gebruiken voor identiteitsdiefstal en om andere slachtoffers te targeten. Dergelijke inbreuken kunnen ernstige gevolgen hebben, met name wanneer de informatie van een organisatie wordt gecompromitteerd”, aldus een aankondiging van de Anti-Cybercrime Group van de Filipijnse Nationale Politie.
Gepubliceerd door: Vani Mehrotra
Gepubliceerd op: 2 februari 2024
Veelgestelde vragen (FAQ):
1. Wat waren de doelstellingen van de cybercriminelen bij de aanval op de Indiase luchtmacht (IAF)?
De cybercriminelen probeerden gevoelige gegevens te stelen uit de interne computersystemen van de IAF.
2. Welk hulpmiddel werd gebruikt bij de aanval?
De criminelen gebruikten de open-source Go Stealer-malware, die is gemaakt met behulp van de Go-programmeertaal ontwikkeld door Google.
3. Wanneer vond de aanval plaats?
De exacte datum van de aanval is onbekend, maar bronnen suggereren dat er geen gegevens verloren zijn gegaan omdat passende beveiligingsmaatregelen zijn genomen.
4. Hoe voerden de criminelen de aanval uit?
De criminelen verspreidden een geïnfecteerd ZIP-bestand dat zich voordeed als een document over de aanschaf van het Su-30 MKI-vliegtuig via phishing-e-mails die naar luchtmachtofficials werden gestuurd. Wanneer de ontvanger het geïnfecteerde bestand downloadt en uitpakt, wordt er een kwaadaardig programma uitgevoerd dat inloggegevens steelt via het Slack-zakelijke communicatieplatform.
5. Wat zijn de gevolgen van de aanval?
Er zijn geen gegevens verloren gegaan omdat beveiligingsmaatregelen zijn genomen. Aanvallen van deze aard kunnen echter financiële schade en privacyschendingen veroorzaken.
Definities:
Malware – kwaadaardige software ontworpen om schade toe te brengen aan of ongeautoriseerde toegang te verkrijgen tot een computer of netwerk.
Trojaans paard – een vorm van malware die zich vermomt als wenselijke of onschadelijke bestanden om toegang te krijgen tot een systeem of gegevens.
Phishing – een internetfraudetechniek waarbij wordt geïmpersonaliseerd als een betrouwbare bron om vertrouwelijke informatie te verkrijgen, zoals inloggegevens of financiële informatie.
Go-taal – een programmeertaal ontwikkeld door Google, ook bekend als Golang, die steeds vaker wordt gebruikt door cybercriminelen om kwaadaardige software te maken.
Voorgestelde gerelateerde links:
Indiase luchtmacht – Officiële website van de Indiase luchtmacht
Cyble – Genoemd cybersecuritybedrijf in het artikel
GitHub – Ontwikkelingsplatform waar de Go Stealer-malware publiekelijk beschikbaar was
F5 – Amerikaans technologiebedrijf dat cyberaanvallen monitort en rapporteert
The source of the article is from the blog portaldoriograndense.com