Symantec ontdekt spionage via malware in Nederland en België

Symantec heeft een 0day-exploit in vrijwel alle Windows-versies ontdekt dat werd misbruikt door de malware Duqu. Deze Stuxnet-achtige trojan is mogelijk ingezet om te spioneren bij een toeleverancier van het leger die ook actief is in Nederland.

De trojan blijkt misbruik te maken van een nog niet eerder ontdekt lek in Windows dat nagenoeg alle versies van het besturingssysteem treft. Microsoft bevestigt het probleem en zegt binnenkort met een oplossing te komen, die wellicht nog voor de maandelijkse patchronde wordt verspreid. Die patchronde vindt aanstaande dinsdag al plaats, wat aangeeft hoe serieus het beveiligingslek in Windows wordt geacht. In de tussentijd is er een tijdelijke workaround.

Volgens Symantec is het aantal bevestigde besmettingen met Duqu-malware nog beperkt, maar hebben de onderzoekers wel besmettingen in een aantal landen waargenomen, waaronder Nederland. In totaal heeft Symantec bevestigde infecties in acht landen ontdekt. Naast Nederland zijn er ook bevestigde besmettingen gevonden in Frankrijk, Zwitserland, Oekraïne, Iran, Sudan en Vietnam.

Tevens zijn er meldingen van infecties in Hongarije, Indonesië en het Verenigd Koninkrijk. Opvallend is dat deze besmettingen zich lijken te beperken tot zes bedrijfsnetwerken, waarbij Symantec aangeeft dat het niet om zes aparte bedrijven hoeft te gaan. De onderzoekers zeggen niet op basis van de ontdekte ip-adressen te kunnen vaststellen om welk bedrijf of welke bedrijven het gaat.

Saillant detail is dat Symantec zijn ontdekking bekendmaakt nog geen week na een aanval op het bedrijf Acal BFI, een grote Europese toeleverancier van het leger. Acal BFi is actief in veel van de door Symantec bevestigde landen. Eerder al berichtte Tweakers.net over dit bedrijf toen bleek dat hackers eerder mogelijk een succesvolle aanval hebben uitgevoerd op dit bedrijf. De aanvallers verkregen toegang tot het extranet en stuurden mails naar medewerkers, die mogelijk malware bevatten.

Deze werkwijze lijkt aan te sluiten bij de manier hoe de Duqu-malware is verspreid. Symantec zegt te hebben ontdekt hoe de Duqu-malware in één geval is verspreid: aanvallers verspreidden een Word-document waarin malafide code zat verstopt.

Deze code maakt gebruik van een tot nu toe onbekend beveiligingslek in de manier waarop Windows TrueType-fonts verwerkt, dat een aanvaller in staat stelt code op kernel-niveau uit te voeren. De kwetsbaarheid kan waarschijnlijk ook in andere programma’s dan Word worden misbruikt; mogelijk zelfs op websites. Het is niet duidelijk of de Word-methode ook in andere gevallen is toegepast. De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.

Als slachtoffers via het Word-document waren besmet, communiceerde de besmette computer via peer-to-peer met commandoservers van de aanvallers. In ieder geval een van die servers zou in België hebben gestaan. De Duqu-malware werd medio oktober al door Symantec ontdekt, maar de malware lijkt hiermee geavanceerder dan bij de ontdekking werd aangenomen.

Duqu

Overzicht van landen met Duqu-besmettingen. Rood is bevestigd, oranje is onbevestigd.

IT-banen

Reacties (56)

Sniffert 4 november 2011 10:27

Dit soort malware is echt gecreeerd door mensen met zeer veel verstand van zaken. De bot maakt verbinding met het bijhorende command and control centre (C&C) en verzameld gevoelige gegevens m.b.v. JPG images om zo niet door netwerkprotocol analyzers als verdacht te worden gezien.

Hierbij een interessentant artikel over Duqu van F-Secure: Questions and Answers. http://www.f-secure.com/weblog/archives/00002264.html

kipjr 4 november 2011 09:27

Is er niet een mogelijkheid dat dat iets sneller gaat. Sommige bedrijven staan namelijk te springen om die update. Is er iets wat wij zelf kunnen doen? Eventueel tijdelijk? Ik vermoed namelijk dat dit best ernstig is, deze vorm van bedrijfsspionage.

cyberstalker @kipjr • 4 november 2011 09:32

Er is al een workaround beschikbaar: http://support.microsoft.com/kb/2639658

coolkil 4 november 2011 09:27

wat is nu eigenlijk het doel van deze malware?
het lijkt me dat dit voor "gewone" mensen heel vervelend is maar wat valt er nu te bespioneren bij "gewone" mensen?

is bedoelt om leger systemen aan te vallen?

[Reactie gewijzigd door coolkil op 23 juli 2024 05:58]

Garyu @coolkil • 4 november 2011 10:01

Deze / dit soort malware zorgt in ieder geval voor serieuze onrust in de toeleverindustrie. Dit soort spionage is juist door het ingenieuze systeem dat erachter zit ten eerste heel moeilijk te ontdekken (wie weet wie er nog meer geinfecteerd is) en daarna heel moeilijk om uit de betroffen systemen te krijgen.

De malware zelf is misschien wel te verwijderen, maar je weet nooit wat een aanvaller allemaal in handen heeft gekregen of eventueel nog steeds bij kan komen.

Denk even aan wat Stuxnet deed: met een "normale" trojan werden bedrijven geinfecteerd, waarna stap voor stap uiteindelijk code op embedded systemen werd veranderd om in specifieke installaties specifieke problemen te laten optreden(!). Zulke aanvallen moeten met veel kennis en doorzettingsvermogen worden ontwikkeld en uitgevoerd en zijn daarom ook zo gevaarlijk. Dit gaat niet om de kwetsbare Windows-systemen, dat er in end-user-OSes bugs is een logisch gevolg van de complexiteit in de ontwikkeling. Maar dat zulke bugs uiteindelijk gebruikt worden om in kritische systemen te gaan lopen prutsen, dat is wat het geheel zo verontrustend maakt. En dat soort cyber-spionage en -sabotage is echt gevaarlijk.

[Reactie gewijzigd door Garyu op 23 juli 2024 05:58]

agravain 4 november 2011 09:35

Als ik het bericht goed lees is Symantec niet de eerste die het lek heeft ontdekt (dat heeft de malware maker gedaan), maar is het de eerste die er mee naar buiten komt.

Ook apart dat ze er na ruim twee weken pas achter komen dat het om een nog niet bekende exploit gaat? Of wist Symantec het al wel (en dan neem ik aan dat Microsoft ook wordt ingelicht) en wordt het nu pas een prio voor Microsoft om het te patchen?

CMG @agravain • 4 november 2011 09:39

Het probleem is dat je ASM zal moeten ontcijferen; dit is niet heel eenvoudig te lezen en kost dan ook gedegen analyse, daarnaast is dit soort malware altijd gecrypt/packed/anderszins obfuscated, dus het is niet alsof er staat

// Exploit TTF 0-day
Boom();

Men zal echt wel wat meer speurwerk moeten doen om dit soort zaken op te sporen.

Henkenator68NL 4 november 2011 09:37

Dit lijkt mij een zeer serieuze zaak. Toeleveranciers van defentie die doelbewust getarget worden ... Hmmm ik vertrouw dat niets. Waar je namelijk niet aan voorbij moet gaan is dat er in de defensiehoek "the warmachine" enorme bedragen worden gegoten van een ieders belastingcenten.

De belangen zijn vaak zo groot dat het loont via alle mogelijke technieken je concurrenten informatie te ontfrutselen. Grote aankopen worden via aanbestedingen gedaan. Daarvoor kan je je inschrijven. Naast allerlei kwaliteitseisen is de prijs toch ook vaak een beslissingsfactor... Als je dan weet wat je concurrent heeft aangeboden qua prijs ... Dit soort tactieken hebben we vaker gezien.

Daarnaast vind ik het wel verontrustend dat Acal getarget is, ze maken tenslotte chips en moederborden. Stel je voor dat je als grootmacht (potentiele vijand) de middelen hebt om op belangrijke strategische momenten het IT systeem van de tegenpartij lam te leggen .. dan is de grootste stap naar overwinning gezet..

Of ben ik nu teveel aan het doemdenken??

Jarrean @Henkenator68NL • 4 november 2011 09:40

Zou zomaar kunnen, ook lijkt het mij dat Defensie liever geen leverancier kiest met beveiligingslekken.

The Zep Man

Netwerk en systeembeheer
Nederland
België
Malware

4 november 2011 11:10

Uit het artikel:

Microsoft bevestigt het probleem en zegt binnenkort met een oplossing te komen, die wellicht nog voor de maandelijkse patchronde wordt verspreid. Die patchronde vindt aanstaande dinsdag al plaats, wat aangeeft hoe serieus het beveiligingslek in Windows wordt geacht.

De reguliere patchronde van Microsoft vindt plaats op de tweede dinsdag van de maand. Als de oplossing in de reguliere patchronde wordt gestopt, is dat niet perse een indicator dat aangeeft hoe serieus het beveiligingslek in Windows wordt geacht. Je weet namelijk niet hoe lang Microsoft in een 'minder serieuze'-situatie doet over het ontwikkelen van een patch (of die wel of niet de patchronde zou kunnen halen). Hierom geeft dit niet aan hoe serieus het beveiligingslek in Windows wordt geacht.

Waarschijnlijk zal Microsoft dit wel serieus en vlot aanpakken, maar dit kan niet herleid worden uit het feit dat het in de gewone reguliere patchronde meegenomen zal worden. Microsoft kan bijvoorbeeld intern al twee maanden zonder haast ermee bezig zijn terwijl nu toevallig het lek wordt misbruikt en de oplossing in de volgende patchronde meegenomen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:58]

sambalbaj @The Zep Man • 4 november 2011 12:09

aan de andere kant wordt het nu als Microsoft Fix it workaround, een tijdelijke oplossing, gebracht.

Als ze er al lang en breed klaar mee waren en puur op het nieuws zouden reageren dan hadden ze wel een update buiten de maandelijkse cyclus uitgebracht. De Fix it duidt er eigenlijk juist op dat ze er ook nog niet helemaal klaar mee zijn en voor dinsdag nog een hoop te doen hebben.

Verwijderd @sambalbaj • 4 november 2011 15:04

Nee.... Fix it geeft aan dat ze wél klaar zijn met de oplossing, maar dat ze nog verder moeten testen of dat geen andere problemen oplevert. Niet noodzakelijk anders bugs, maar gewoon incompatibiliteiten.

CMG 4 november 2011 09:27

Dit soort specifieke aanvallen zijn toch een stuk interessanter dan weer eens een nieuwe worm. We zullen dit in de toekomst steeds vaker gaan zien; een gericht schot is zoveel meer waard dan met hagel schieten (in de meeste gevallen).

louis9999 4 november 2011 10:08

Als de 'Source' Open is dan wil het nog niet zeggen dat de assembly code waterdicht is.
Goede open source code is dus geen garantie voor waterdicht sortware

Verwijderd 4 november 2011 12:06

http://www.waarschuwingsd...sbaarheid+in+Windows.html

Bericht staat nu ook op de waarschuwingsdienst van de overheid,.

castertje 4 november 2011 09:48

Mijns inziens pleit dit nogmaals voor open source. Meer ogen moeten de code
kunnen zien, daarmee wordt dit soort van verborgen gebreken sneller gevonden.
En nee, het argument van, "geheimhouding en daarmee kunnen ze niks
slechts doen", klopt niet.

Verwijderd @castertje • 4 november 2011 09:56

Das mooi, schakel ik over naar linux, want in de linux kernel zitten 0 exploitable fouten want dat is open source! Bedankt voor de tip!

Verwijderd @castertje • 4 november 2011 10:15

Als of dit in een opensource pakket niet zou gebeuren?
neem nu bv joomla, volledig open source en toch worden er gaten in gevonden.

Doordat het open source is kan je natuurlijk beter en sneller zoeken op fouten. je hoeft minder te proberen.

Verwijderd @castertje • 4 november 2011 15:02

Schijnveiligheid. Ook bij open source is er maar een handvol programmeurs die daadwerkelijk met de code werken. Een simpele gebruiker kan 'm weliswaar inzien als hij dat wil, maar daar maakt hij helemaal niets van. Ieder enigszins serieus programma is véél te ingewikkeld dat je daar 'eventjes' naar kunt kijken, om te zien of er bugs in zitten.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: