Het securitybedrijf Qihoo 360 meldde vorig jaar een omvangrijke ransomware aanval met als doelwit de Zuid-Koreaanse overheid en verschillende bedrijven.

Nu blijkt echter dat de cyberaanval een geplande oefening was van het Zuid-Koreaanse leger in samenwerking met het Amerikaanse leger. De malware aanval werd door het bedrijf toegeschreven aan de groep OnionDog, die zich al sinds 2013 bezig hield met ransomware aanvallen en in verband daarmee al bijna 100 verschillende malafide programma’s gebruikt had om hun besmetting te bewerkstelligen.

De oefening had zich gericht op het infiltreren van zogenoemde HWP-documenten in Zuid-Korea. Deze bestanden van Hangul Word Processor (HWP) zijn overal te vinden in het Zuid-Koreaanse kantoorleven, waar het genoemde programma een standaard is. Na onderzoek bleek dat de gebruikte domeinen bijna allemaal terug te leiden waren naar het Zuid-Koreaanse National Cyber Security Center (NCSC).

De onderzoekers hadden al een vermoeden dat het hier om een oefening ging, aangezien de links met officiële instanties vrij snel gelegd waren. De gebruikte malwareprogramma’s gedroegen zich verder als echte malware, maar brachten geen schade aan bij hun doelwitten. De oefening was juist gericht op de werking en verspreiding via infectie van de programma’s. Daarnaast konden ‘slachtoffers’ een verwijzing vinden naar een zogeheten Ulchi-cyberoefening, wat waarschijnlijk een soortgelijke term moest zijn als de jaarlijkse Ulchi-Freedom oefening tussen de Verenigde Staten en Zuid-Korea, die sinds 1974 georganiseerd wordt.

Onderzoekers waarschuwen echter wel voor een groeiend risico van deze oefeningen, omdat hackers de omstandigheden zouden kunnen nabootsen en met behulp van de uitgebrachte malware mensen om de tuin kunnen leiden om hun aanval te maskeren als een officiële oefening van de overheid.