Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties, 19.220 views •

Beveiligingsbedrijf Kaspersky heeft een variant op het Flame-virus ontdekt die zich richt op financiŽle transacties. Net als Flame zou de variant, Gauss genoemd, zich richten op het Midden-Oosten. Gauss heeft vooral systemen in Libanon besmet.

Kaspersky heeft Gauss ontdekt toen het op zoek was naar varianten van het Flame-virus. Gauss zou grotendeels dezelfde methoden als Flame gebruiken, blijkt uit een analyse van Kaspersky. Het virus zou code aan boord hebben om via de pc van gebruikers in te breken op rekeningen van een groot aantal Libanese banken. Er is echter ook ondersteuning voor het inbreken in PayPal en Citibank aan boord.

Met het in mei ontdekte Flame-virus zou een overheid hebben gespioneerd op pc's in het Midden-Oosten. Eerder ontdekte Kaspersky dat Flame overeenkomsten vertoont met virussen die door de Amerikaanse overheid zouden zijn ontwikkeld om het Iraanse nucleaire programma te saboteren. Omdat Gauss overeenkomsten met Flame vertoont en Flame met Stuxnet, is het mogelijk dat de Verenigde Staten ook iets met Gauss te maken hebben.

Het beveiligingsbedrijf heeft 2500 infecties kunnen vaststellen, maar denkt dat het werkelijke aantal infecties veel hoger ligt; mogelijk in de tienduizenden. Het grootste aantal infecties vond plaats in Iran, maar ook in Israël en de Palestijnse Gebieden zijn honderden infecties aangetroffen. Enkele infecties werden aangetroffen in Duitsland. Dat is pikant, aangezien Duitsland en Israël bondgenoten van de Verenigde Staten zijn.

Het beveiligingsbedrijf is er nog niet in geslaagd om de trojan volledig te decrypten. Wat het precieze doel van de malware is, is daardoor onduidelijk; volgens Kaspersky ligt het niet voor de hand dat de trojan is ontwikkeld om geld van bankrekeningen te stelen, aangezien het virus zou zijn ontwikkeld door een overheid. Misschien is het virus verspreid om transacties via verdachte bankrekeningen te kunnen traceren.

Kort nadat Kaspersky het virus ontdekte, zijn de command-and-control-servers offline gehaald; onduidelijk is wie dat heeft gedaan. Misschien was het de beheerder van de servers, om het onderzoek naar het virus te bemoeilijken. Command-and-control-servers worden gebruikt om trojans op afstand te besturen en nieuwe opdrachten toe te sturen.

Het eerder ontdekte Flame zou onder andere microfoons en webcams kunnen activeren, als keylogger functioneren, screenshots kunnen nemen en via bluetooth commando's krijgen. In tegenstelling tot Flame werd Stuxnet ingezet om het Iraanse nucleaire programma daadwerkelijk te saboteren, door centrifuges in nucleaire installaties te ontregelen. Kaspersky ontdekte eerder al een verband tussen de twee trojans.

Het bestaan van het Flame-virus kwam eerder deze zomer aan het licht, nadat ict-beveiliger Kaspersky het virus had geanalyseerd. Misschien is het bedrijf daarbij door Iran benaderd. Het Flame-virus, dat sinds 2010 zou zijn ingezet, zou zijn bestaan verraden hebben toen het door Israël werd ingezet bij het Iraanse ministerie van olie. De Verenigde Staten zouden hier niet van op de hoogte zijn geweest, schrijft The Washington Post.

Reacties (18)

Wel bijzonder dat Gauss complete delen van Flame heeft hergebruikt en tůch niet eerder is ontdekt. Wellicht hŤt bewijs dat moderne virus- en malware pakketten niet op kunnen tegen het repacken van malware?
Verder ben ik benieuwd wie er uiteindelijk achter deze reeks malware zit. De VS en IsraŽl zijn voor de hand liggende candidaten, maar ik vraag me toch af of de Byzantine Candor groep niet ook dergelijke malware maakt of heeft gemaakt. Of Rusland. Maar wellicht zijn het gewoon criminelen die de bestaande Flame malware hebben aangepast (zou niet de eerste keer zijn).
Edit: Iran heeft ook al eigen malware ontwikkeld (Mahdi).

[Reactie gewijzigd door Rick2910 op 10 augustus 2012 14:06]

Is voor dit repacken van code niet de gedecrypte code nodig?

Mocht dit het geval zijn dan lijkt mij de relatie met VS makkelijk te leggen.
Hangt dat niet af van de programmeer taal?? In java bijvoorbeeld kun je gecompilede code gewoon toevoegen aan je jar file. Of heb je het echt over decryptie???
De code is destijds (deels?) gedecrypt toen bleek dat LUA de gebruikte programmeertaal was.
Maar niet alles is dus decrypt zoals je aangaf....dus "zomaar" een stukje code toevoegen zonder dat je weet wat het doet, doet men niet. M.a.w. de relatie legging naar de VS lijkt vooralsnog correct.
Ik vind dat de conclusie erg snel is getrokken; de gebruikte code zijn modulaire delen van eerder ontdekte en vrij verkrijgbare virussen; de aanname dat Gauss dan ook state sponsored is, gaat een beetje ver. Het kan net zo goed zijn dat het gewoon crimeware is die code geleend heeft van flame/duqu/etc. Vooral het feit dat Gauss zich richt op libanese bankrekeningen vind ik een goede aanwijzing dat het hier niet een state sponsored virus betreft.
Ik kan me goed voorstellen dat Amerika bijzonder geinteresseerd is in het hebben van toegang tot zoveel mogelijk financiele transacties om geldstromen van terroristen te kunnen volgen.
Onder die vlag krijgen ze wel overal inzage en (teveel) macht. Terroristen komen toch wel aan hun middelen en geld, dat inzage in banktransacties de wereld veiliger maakt is een illusie.
Het jammere van de VS is, dat het grootste gevaar van binnenlandse veiligheid tegenwoordig de eigen burger is. Zie de schietpartijen van de afgelopen tijd.
Onder die vlag krijgen ze wel overal inzage en (teveel) macht. Terroristen komen toch wel aan hun middelen en geld, dat inzage in banktransacties de wereld veiliger maakt is een illusie.
Het jammere van de VS is, dat het grootste gevaar van binnenlandse veiligheid tegenwoordig de eigen burger is. Zie de schietpartijen van de afgelopen tijd.
En daarom moeten ze eerst dat oplossen voordat ze achter terroristen aangaan :? Een non-argument in mijn ogen.
Ter herinnering aanslag 9/11 3000 doden en 20 miljard schade
http://nl.wikipedia.org/w...1_september_2001#Gevolgen

Dus laten ze die gasten, die terroristen maar zoveel mogelijk de pas afsnijden. Schietgrage psychos blijven er ook wel.
Welke terroristen? Ik geloof niet in terroristen. Ik geloof ook niet in god. Je gaat er te gemakkelijk van uit dat 'zij iets weten wat jij niet weet'. EN dat daarom terrorisme een groot gevaar is.
Misschien is het een gevaar als je als land de wereld dusdanig bejegent dat het extreme reacties oproept. Ik laat me niets meer wijsmaken sinds 11-9-01.
als US dit zo gebruikt heeft en een andere kandidaat kan dit ontcijferen dan kan men dit hergebruiken (aanpassen etc) dus wat je zaait ......... }:O
Precies daarom zijn exploits ook zo duur (in de trand van tonnen): je kunt ze maar ťťn keer verkopen en als ze veel gebruikt - en vervolgens ontdekt - worden is je investering weg.
Wat dus wel spannend is, is dat een deel van de malware nog gecodeerd is. De sleutel is een---onbekende---combinatie van o.a. de path omgevingsvariabele, en dat veel keer gehasht. Op een bepaald systeem dat de correcte path heeft wordt de payload dus ontsleuteld en gebruikt, en niemand weet nog wat dat inhoudt. Ben erg benieuwd of dat ooit nog gekraakt wordt.
Volgens mij komt dit allemaal omdat er vorige week nationale aandacht en blootstelling was in en aan het nieuws dat Nederland slecht beveiligd is tegen cyberaanvallen. De verkeerde persoon leest dat en denkt "oh dat wil ik wel eens zien", diegene doet dit omdat hij weet dat er zwaktes zijn. Dat is precies wat er gebeurd als je de zwaktes van nationale veiligheid gewoon doodleuk in de krant zet(OV chipkaart). Dus ik vind dit niet zozeer een gevalletje "suprhacker" als dat ik het een gevalletje "TMI"(too much information) vind.
Wow al die complot theorieŽn meteen.
Maarja kapersky gaat gewoon een paar van die besmete pc's in een beveiligde omgeving zetten en zodra er dan opnieuw naar die pc's gestuurd word proberen ze het te traceren als ik het goed begrijp.
Niet heel professioneel je zou denken dat wat het virus moet doen al voorgeprogrammeerd is en alleen voor de gestolen data een uplink hoeft te hebben.
...en hoe krijg je er dan nieuwe commando's in (command & control servers)?
Zijn er nog steeds mensen die graag een Google TV willen met geintegreerde webcam en mic... ? :X
Zijn er nog steeds mensen die graag een Google TV willen met geintegreerde webcam en mic... ? :X
die zitten ook in laptops voor het geval je dat niet wist :Y)

[Reactie gewijzigd door Nozem1959 op 10 augustus 2012 08:22]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True