Kaspersky Lab’s geeft in een persbericht aan een nieuwe zero day-exploit in Adobe Flash gevonden te hebben. De bedreiging werd op 10 oktober gebruikt door de cybergroep BlackOasis, waarbij ook Nederlandse slachtoffers waren. De cybercriminelen gebruikten een Microsoft Word-document en implementeren de commerciële malware FinSpy.
Na ontdekking stelde Kaspersky Lab Adobe op de hoogte, zodat de softwareleverancier een patch uit kon brengen. Toch is het pijnlijk dat Adobe-software negatief in het nieuws komt. Het bedrijf kent namelijk vaker problemen rondom cyberbeveiliging. Onlangs verscheen bijvoorbeeld het bericht dat er per ongeluk een eigen, geheime PGP-sleutel gelekt is.
Kaspersky Lab geeft aan dat onderzoekers de zero day, CVE-2017-11292, ontdekten tijdens een aanval. Het beveiligingsbedrijf adviseert bedrijven en overheidsorganisaties dan ook om de update van Adobe onmiddellijk te installeren. Analyse wijst namelijk uit dat FinSpy (ook wel FinFisher) na succesvolle exploitatie van het beveiligingslek op de doelcomputer geïnstalleerd is.
Doelwitten
Na de installatie nestelt de malware zich in de aangevallen computer en stelt zich in verbinding met zijn command & control servers in Zwitserland, Bulgarije en Nederland om verdere instructies af te wachten. De belangstelling van BlackOasis zou zich uitstrekken tot een grote groep betrokkenen bij de politiek in het Midden-Oosten. Daaronder vallen prominente figuren binnen de Verenigde Naties, oppositiebloggers, activisten en regionale nieuwscorrespondenten.
Er zou bovendien toegenomen belangstelling voor Angola zijn, wat blijkt uit documenten die duiden op doelen met vermoedelijke banden met olie, witwasoperaties en andere activiteiten. Internationale activisten en denktanks zijn ze eveneens geïnteresseerd in. Er zijn slachtoffers van BlackOasis waargenomen in Rusland, Nigeria, Libië, Jordanië, Tunesië, Saoedi-Arabië, Iran, Bahrein, het Verenigd Koninkrijk, Angola en dus ook Nederland.
Meestal wordt de commerciële malware verkocht aan soevereine staten en wetshandhavingsinstanties om toezicht te houden. De malware is veelal op nationaal niveau door ordehandhavers toegepast om lokale doelen te monitoren. BlackOasis zet de zero day dus in tegen een breed scala aan doelen over de hele wereld en vormt hiermee een belangrijke uitzondering. Dit suggereert dat FinSpy nu wereldwijde operaties voedt, waarbij het ene land het tegen het andere gebruikt.