Kyberšpionážní skupina využívá pokročilých spear-phishingových technik k získání přístupových údajů k emailovým účtům zaměstnanců zmíněných organizací. Podle výzkumníků z Trend Micro, kteří dali útokům název Operation Pawn Storm, skupina takto funguje již od roku 2007.
Za sedm let útočníci vyzkoušeli několik různých technik. Jednou z nich byly právě spear-phishingové emaily obsahující škodlivé přílohy ve formátech Microsoft Office. Když si uživatel tuto přílohu stáhl, dostal se mu do počítače i malware zvaný SEDNIT či Sofacy. Kromě toho útočníci využívali i vkládání škodlivého kódu do legitimních webů.
Pro každý phishingový útok na uživatele produktu Outlook Web App, který je součástí služby Office 365 od Microsoftu, skupina vytvořila dvě falešné domény. Jednu velmi podobnou té, který používal obětem dobře známý web. Druhá se podobala doméně, na které běžel Outlook Web App nasazený konkrétní organizací.
Útočníci poté do phishingových emailů vložili odkaz na první falešnou webovou stránku, kde byl uložen neškodlivý kód napsaný v JavaScriptu, jehož účelem bylo otevřít skutečný legitimní web na nové kartě a přesměrovat již otevřenou kartu Outlook Web App na phishingový web. „Javascriptový kód měl oběť přesvědčit, že byl odhlášen z Outlook Web App a tak znovu zadal přístupové údaje,“ píše ve své zprávě Trend Micro.
Útok nevyužívá žádných zranitelností a funguje ve všech nejpoužívanějších prohlížečích. V bezpečí tedy nejsou ani uživatelé Internet Exploreru, Firefoxu, Chromu nebo Safari.
Mezi napadené organizace patří americká soukromá armádní společnost ACADEMI, (dříve známá jako Blackwater), OSCE, Ministerstvo zahraničí Spojených států amerických, společnost SAIC, vatikánské velvyslanectví v Iráku, televizní společnosti z několika zemí, francouzské a maďarské ministerstvo obrany. Na seznamu jsou dále pákistánští vojenští činitelé nebo zaměstnanci polské vlády.