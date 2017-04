De aanvallen zijn in januari begonnen en bestaan uit kwaadaardige e-mails die specifiek zijn gemodelleerd om de aandacht van ontwikkelaars te trekken, zoals hulpvragen voor ontwikkelprojecten en het aanbieden van betaalde banen en taken aan programmeurs.

De e-mails hebben .gz-attachments die Word-documenten bevatten met een macrocode erin. Als die actief wordt, zal de macrocode een PowerShell-script uitvoeren die contact zoekt met een server en een malwareprogramma downloadt met de naam Dimnie.

Volgens onderzoekers bij Palo Alto Networks bestaat Dimnie sinds 2014, maar bleef het een beetje onder de radar tot nu toe omdat meestal Russen het doelwit waren.

De malware gebruikt enkele verbergingstechnieken waardoor zijn activiteiten meedeinen met het normale gebruikersverkeer. Het genereert requests die lijken gericht te zijn op domeinnamen van Google, maar die in werkelijkheid verzonden worden naar IP-adressen van de aanvallers.

Dimnie kan additionele schadelijke modules downloaden die direct worden geïnjecteerd in het geheugen van legitieme Windows-processen. Deze modules laten geen sporen na op de schijf, wat hun ontdekking en analyse meer gecompliceerd maakt, schrijven de onderzoekers in een blogpost.

Er zijn verschillende modules voor keylogging, screen grabbing, het interacteren met smartcards die aan de computer hangen en meer. Er is zelfs een module voor zelfvernietiging die alle bestanden van de systeemschijf wist om zo sporen van de aanwezigheid van de malware te vernietigen.

Data die wordt gestolen van een geïnfecteerde computer wordt versleuteld en aan image headers gehangen in een poging om ontdekking door intrusion prevention-systemen te vermijden.

Ondanks dat Palo Alto Networks deze aanvallen niet kan herleiden tot een bepaalde groep is de gelijkenis van de aanval groot met eerdere aanvallen die vermoedelijk door door de staat gesteunde aanvallers werden gedaan: het gebruik van documenten met kwaadaardige macro's, het gebruik van PowerShell, het laden van kwaadaardige code direct in geheugen, het gebruik van verborgen C&C-kanalen en de manier waarop data wordt weggesluisd.

Ontwikkelaars kunnen waardevolle doelwitten zijn voor cyberspionage. Hun computers hebben vaak IP-informatie en toegangscredentials voor het netwerk en de systemen van hun werkgever.

De Dimnie-aanvalscampagne lijkt specifiek gericht op aanvallers die aanwezig zijn op GitHub, een gratis dienst om broncode te hosten. Die categorie bevat ook ontwikkelaars die werkzaam zijn bij grote bedrijven en die op persoonlijke titel open source-projecten publiceren.

In een reactie op een bericht over die e-mails zei Gervase Markham van Mozilla in januari dat hij diverse van zulke mails had gekregen op een e-mailadres die hij alleen gebruikt voor GitHub. Hij denkt daarom dat de aanval mogelijk is geautomatiseerd.

Met de toegang tot broncode-repositories en distributieservers kunnen aanvallers backdoors injecteren in softwareprojecten of de gecompileerde binaries veranderen in trojans. Dat is in het verleden meerdere malen gebeurd. Zo werd in de macOS-versie van de Transmission BitTorrentclient die op de officiële webpagina van het project stond in twee losstaande gevallen malware gevonden.