Een feature binnen het IPv6-netwerkprotocol is al jaren misbruikt door een Chinese hackersgroep genaamd “TheWizards”. ESET ontrafelde hun werkwijze.
De groep richt zich op potentiële slachtoffers in verschillende Zuidoost-Aziatische landen, de Verenigde Arabische Emiraten en ook China zelf. ESET noemt de tool van deze cyberaanvallers “Spellbinder”.
SLACC-aanval
De tool maakt het voor TheWizards mogelijk om de Stateless Adress Autoconfiguration (SLAAC)-feature te exploiteren. Via SLAAC kunnen apparaten hun IP-adres en gateway definiëren zonder op een DHCP-server te vertrouwen. Echter is deze flexibiliteit ook gevaarlijk, want Router Advertisement (RA)-berichten kunnen afkomstig zijn van onbetrouwbare bronnen. Hierdoor wordt het internetverkeer omgeleid naar een malafide IPv6-gateway.
Spellbinder belandt in de IT-omgevingen van organisaties via een archief dat legitiem oogt. Zodra Spellbinder in het systeemgeheugen zit, scant het voor domeinen van legitieme Chinese software-updates. Maar in plaats van een reguliere update wordt een malafide variant gedownload, waarna er een backdoor genaamd “WizardNet” op het apparaat van het slachtoffer eindigt.
Vanaf dat moment is het mogelijk voor de aanvallers om te zoeken naar laterale bewegingen voor datadiefstal of de inzet van andere malware.
IPv6 nodig?
Wie IPv6 niet nodig heeft voor de eigen IT-omgeving, kan aanvallen als deze weren door enkel te vertrouwen op IPv4-traffic. Wie dit protocol wel nodig heeft, wordt door ESET aangeraden om dit in de gaten te houden.
Het is opvallend dat deze Chinese hackersgroep langdurig deze Adversary-in-the-Middle (AitM)-aanval buiten de aandacht van securityonderzoekers heeft gehouden. Nu dit gevaar bekend is, zullen mogelijk getroffen organisaties naar deze nieuwe informatie moeten handelen.
Lees ook: MITRE-hack bleef onopgemerkt door rogue virtual machines