'Cybercriminelen richten zich op productielijnen van computers'

Cybercriminelen richten zich op slecht beveiligde productielijnen in China om zo hun malware op gloednieuwe pc's te plaatsen. Dat stelt Microsoft in een onderzoek naar het Nitol-botnet. De Nitol-malware zou inmiddels onschadelijk zijn gemaakt.

Onderzoekers van Microsoft kochten in verschillende Chinese steden in totaal twintig nieuwe computers: tien desktopmodellen en tien laptops. Uit inspectie van de machines bleken vier daarvan al uit de doos besmet te zijn met diverse soorten malware. De kwaadaardige software zou al in de fabriek op de computers zijn geïnstalleerd. Volgens Microsoft hebben cybercriminelen op de een of andere manier toegang tot de productielijnen van de niet nader genoemde fabrikanten waardoor de malware op gloednieuwe systemen geïnstalleerd kan worden.

Microsoft heeft zich in zijn onderzoek, dat uitgevoerd werd door het Operation b70-team, gericht op het uitschakelen van de Nitol-malware. Deze is uit op het kapen van gevoelige inloggegevens en wordt beheerd via een botnet. Nitol legde vanaf besmette computers contact met servers op het domein 3322.org.

Achter dit domein, dat in handen is van een Chinees hostingbedrijf dat gratis webspace aanbiedt, zouden 70.000 subdomeinen schuilgaan. In deze subdomeinen zouden circa vijfhonderd verschillende soorten malware zijn aangetroffen. De eigenaar van 3322.org laat aan de BBC weten dat het voor zijn gebruikers streng verboden is om malware te verspreiden, maar dat het door de 2,8 miljoen subdomeinen die het in beheer heeft misbruik niet kan uitsluiten.

De softwaregigant heeft in de VS inmiddels een gerechtelijk bevel verkregen waarmee de registrar Public Interest Registry werd verplicht om al het verkeer naar de domeinnaam 3322.org naar servers van Microsoft te routeren. Microsoft heeft naar eigen zeggen een filtersysteem opgezet waarmee normaal verkeer nog wel wordt gerouteerd naar 3322.org, maar malware, waaronder Nitol, wordt geblokkeerd.

IT-banen

Reacties (62)

Muta 13 september 2012 17:53

Fijne ontwikkeling...... wie weet in hoeverre dit al op huidige desktops van toepassing is.... Cyber-spionage begint toch wel ernstige vormen aan te nemen.

Triblade_8472 @Muta • 13 september 2012 17:59

Cyberspionage heeft al ernstige vormen. Het wordt alleen nóg erger.

Kijk bijvoorbeeld eens naar die uitbraak onlangs van XDocCrypt/Dorifel in Nederland. Als dit wereldwijd was....

Klojum @Triblade_8472 • 13 september 2012 18:59

Kijk ook eens naar deze TED-speech van Marc Goodman. Daar word je ook niet blij van.

Damic @Klojum • 13 september 2012 20:20

Deze is ook goed: http://www.ted.com/talks/...evices_can_be_hacked.html

codebeat @Klojum • 15 september 2012 04:29

@klojum en @damic: Het klinkt gek om te zeggen maar in feite zijn het open deuren waar deze mannen het over hebben. Bij alles wat ontwikkeld wordt GAAN WE er altijd vanuit dat het niet misbruikt wordt, dat is het moraal van het verhaal. Wat wij kunnen, kunnen zij ook en het voordeel voor criminelen is dat er makkelijk aan te komen is.

Het is net als bij een gevaarlijke kruising. Ook al hebben diverse mensen geroepen dat de kruising niet veilig is moet er altijd iets gebeuren/voorvallen. Inmiddels is er een dode gevallen en dan komt er nog 1 etc. Misschien is het toch wel een gevaarlijke kruising, dat moeten we veranderen, dat is wel te laat natuurlijk want er zijn al doden gevallen. Maar als daarna er weer een hele tijd niets gebeurd, dan verslapt de aandacht voor het probleem en dan kan er weer wat gebeuren. En zo gaan die dingen keer op keer.

In feite wat criminelen betreft lopen we altijd achter de feiten aan een belangrijk onderdeel daarin is "vertrouwen". Alle communicatie die we hebben is gebaseerd op vertrouwen. Je gaat er vanuit dat er niet zal gebeuren en dat moet in zekere zin ook wel omdat we anders niet kunnen functioneren. Stel dat je alles wat je doet continue zou moeten controleren, dan kom je niet toe aan functioneren, een paranoia. Iemand die gefixeerd is op schoonmaken kan bijvoorbeeld de deur niet uit voordat alles schoon is en de handdoeken in het gareel liggen. Bij een geringe twijfel gaat die persoon niet eens de deur uit (er gebeurd dus niets). Deze mensen kunnen niet functioneren omdat hun gedrag dat niet toestaat, zijn niet sociaal en raken in een isolement.

Als je een crimineel bent, denk je anders dan "normaal" denkende en kun je jezelf niet 100% verplaatsen in wat een crimineel "normaal" vind. Stukje fatsoen speelt eveneens een rol. Een crimineel is onberekenbaar maar wordt ook steeds slimmer, in die zin, dat het wacht om toe te slaan (er gaat tijd overheen, je moet er in investeren (niet te gretig), dan is de 'buit' groter). Snel 'scoren' maakt de pakkans alleen maar groter.

Een "goede" crimineel wacht op een zwak moment. Kijk alleen maar naar zo'n programma als "opgelicht" (van de Tros). Daar heb je het weer, wanneer vertrouwen is gewekt dan slaan ze toe en dan ook meteen goed. Daar gaat de nodige tijd overheen. Zag je ook bij de piloten van 9-11 (pilotencursus gevolgd, op zich niets om op aan te merken). Zie je ook terug bij de aanslag van Pim Fortuijn (beveiliging afgezwakt op het media park). Niemand was erop berekend want volgens onze fatsoensnormen is dat onvoorstelbaar. Het is geen wilde westen waar de bandieten ter paard en pistool hun 'werk' doen. Het is niet meer zo primitief als toen, in die tijd maakte ze ook gebruik van de middelen die er waren, bijvoorbeeld een snel vervoermiddel als bijvoorbeeld een paard, een paard om te ontkomen.

Zo kan dat dus ook op de productielijn zijn. Een medewerker die jaren lang goed zijn werkt doet stopt een virus in de productielijn. Verwacht je niet maar gebeurd dus wel. Hoe kun je jezelf daartegen wapenen, het moet immers wel werkbaar blijven.

Alles wat ontwikkeld wordt kan ook tegen je gebruikt worden met bijkomend voordeel van deze tijd: Annoniem of op afstand (slechter te traceren). Wat kunnen we daar nu echt aan veranderen? Niet in de sluimerstand geraken, stoppen met verder ontwikkelen..... dat is onwerkelijk.

Dus TED kan zich beter richten op de preventie en waar op te letten dan verhalen te verspreiden "Wat er allemaal kan gebeuren". Dat is paniekzaaierij en maakt het alleen maar onprettiger wanneer er iets gebeurd (zo van: "Zie je wel, hij had gelijk"), dat lijkt mij niet een juiste manier van informatie verstrekken.

[Reactie gewijzigd door codebeat op 23 juli 2024 20:51]

CMD-Snake @Muta • 13 september 2012 18:02

Het is geen spionage, maar misdaad door criminelen. Voor de criminelen zal dit een goudmijn zijn. Praktisch elke fabrikant van computers laat de boel in China maken wegens de lage kosten.

Op deze manier wordt een schoon systeem hebben echt moeilijk als je machine vanuit de fabriek niet deugd. Weer een reden erbij om bij een kant-en-klare computer te formatteren bij eerste gebruik.

Olaf van der Spek @CMD-Snake • 13 september 2012 18:32

Weer een reden erbij om bij een kant-en-klare computer te formatteren bij eerste gebruik.

En dan maar hopen dat je BIOS / UEFI wel clean is.

Verwijderd @Muta • 14 september 2012 12:24

Fijne ontwikkeling...... wie weet in hoeverre dit al op huidige desktops van toepassing is.... Cyber-spionage begint toch wel ernstige vormen aan te nemen.

Dit is geen cyberspionage. Maar cybercrime. Het gaat hier om dieven, en oplichters.En niet om inlichtingendiensten.

Metallize 13 september 2012 18:06

Daarom is het altijd een goed idee om een herinstallatie te doen , als je een nieuwe laptop of pc koopt.
De Meeste bedrijven doen dit ook, hopelijk ook de computershops

Beunhaas91 @Metallize • 13 september 2012 18:13

Dat is altijd het beste, maar bedenk niet dat maar weinig bedrijven dit echt doen. Computershops laten we maar even buiten beschouwing, die gaan echt geen herinstallatie doen, dat kost alleen maar tijd (lees: geld).

arjankoole

Beveiliging

@Beunhaas91 • 14 september 2012 07:42

Bedrijven gooien er toch in de regel hun eigen custom image overheen waar 99% is geregeld. Je hoeft het ding alleen nog maar aan te melden op het domein daarna.

gjmi @arjankoole • 14 september 2012 08:29

edit: misverstand over "bedrijf" zie onder

??
Die custom image er op zetten, dat gebeurt dus al in die fabrieken waar de computers gemaakt worden. Die hardeschijven zijn voordat ze in de computer komen al voorzien van data. Het is voor bedrijven niet te doen om in elke computer een DVD'tje te stoppen om een image te installeren.

Die harde schijven worden voordat ze de computer in gaan met veel tegelijk op een speciaal apparaat aangesloten die er de data op zet vanaf een image. Waarschijnlijk is deze 'costum' image als voorzien van malware, wel zo makkelijk.

Aan melden op het domein??? wat bedoel je daarmee? volgens mij vergis je je ergens mee.

[Reactie gewijzigd door gjmi op 23 juli 2024 20:51]

arjankoole

Beveiliging

@gjmi • 14 september 2012 08:46

Het is voor bedrijven niet te doen om in elke computer een DVD'tje te stoppen om een image te installeren.

het is verdorie 15 - 30 minuten werk. Als je een nieuwe computer binnenkrijgt, even vanaf het netwerk booten (iets wat iedere zakelijke computer ondersteund), en via het netwerk de image er op blazen. Ik heb ze dat zo vaak zien doen, dat ik de tel kwijt ben geraakt.

En even die computer aansluiten, alle serienummers en tags registeren is sowieso iets wat je IT club moet doen.

Aan melden op het domein??? wat bedoel je daarmee? volgens mij vergis je je ergens mee.

nog nooit van windows gehoord, zeker?

Je moet iedere windows computer individueel aanmelden op het AD domein, omdat je anders nergens bij kan. Er zijn wel bedrijven die volledig zonder Microsoft oplossingen werken (bless them), en die hebben daar dus geen last van.

[Reactie gewijzigd door arjankoole op 23 juli 2024 20:51]

gjmi @arjankoole • 14 september 2012 09:28

Ah, misverstand.

Ik dacht dat je met bedrijf een fabrikant bedoelde (zoals HP, packard bell) dat computers liet maken in chinese fabrieken.

Je hebt het over een bijvoorbeeld een kantoor bedrijf die die computers binnen krijgt en in een netwerk hangt.

Synthiman @Metallize • 13 september 2012 18:35

Tegenwoordig is de nieuwste trend, dat je geen windows installatie dvd meer geleverd krijgt. Je mag zelf even een herstel-dvd branden. Zelf een herinstallatie doen kun je dus vergeten. Computershops kunnen en zullen zeker geen herinstallatie doen..........

Microsoft zou ervoor moeten zorgen dat er weer netjes een installatie-dvd geleverd wordt. Hoe het nu gaat is waardeloos en vragen om dit soort problemen.

Atomsk @Metallize • 13 september 2012 18:40

Het zou alleen wel akelig zijn wanneer de bijgeleverde installatiemedia óók besmet zijn, zodat je vrolijk de malware weer herinstalleerd.

Als ze het echt moeilijk willen maken, zouden ze de malware zelf als een loader op je HD of in je bios kunnen zetten en zo je hele OS in een virtuele machine laden (virtualisatie zit tegenwoordig ingebakken in de cpu). Resultaat is malware die makkelijk alles kan bespioneren op je pc, terwijl het zelf onmogelijk te detecteren is.

Gatygun @Metallize • 13 september 2012 20:23

Ik ben het hier helemaal mee eens, dit doe ik altijd. De hoeveelheid troep dat op de laptop's / pc's gezet wordt is extreem tegenwoordig.

Heb je een beetje gelimiteerde laptop zoals een mini laptop met starter windows, dan kan je helemaal je lol op.

Had er laatst eentje van sony die was niet vooruit te porren al uit de doos, na installatie van een nieuwe schone windows kon die eindelijk fatsoenlijk draaien.

"misschien had deze die troep er ook wel op staan?"

wie weet.

scsirob @Metallize • 14 september 2012 10:48

Als de cybercrimineel de fabriek heeft, hoe moeilijk zou het dan zijn om de malware in de BIOS van een moederbord te zetten, of de firmware van een harddisk zodanig te veranderen dat een bootsector permanent geinfecteerd is? Je kan dan herinstalleren tot je een ons weegt..

defixje @Metallize • 14 september 2012 12:53

Je kan wel merken dat je geen verstand heb van wat je zegt. Je BIOS, bijvoorbeeld, kan ook gewoon besmet zijn. Dan kun je 10000~ andere schijven in je PC stoppen of 1000~ keer je HDD formatteren. Dan nog zul je besmet blijven.

GeoBeo 13 september 2012 18:10

Heel knap opgelost van Microsoft moet ik zeggen (kost ook flink wat moeite).

Ben benieuwd hoe een open source (en/of gratis) linux distributie met zo'n probleem om zou gaan in het geval een bot geschreven wordt voor zo'n OS.

Beunhaas91 @GeoBeo • 13 september 2012 18:12

De kans dat een bepaalde Linux distributie, of beter gezegd, Linux in het algemeen besmet wordt is bijzonder klein. De criminele azen op zoveel mogelijk gebruikers en dat is nu eenmaal het Windows-platform.

GeoBeo @Beunhaas91 • 13 september 2012 18:15

Voor computers van eindgebruikers klopt dat, maar voor servers?

Ik weet niet precies hoe de distributie van linux servers gaat, maar ik neem aan dat ook die in China geproduceerd worden en voor-geinstalleerd worden met een distributie in veel gevallen?

Beunhaas91 @GeoBeo • 13 september 2012 18:17

Kijk, dat is een heel ander verhaal. Maar ook die markt is klein en zal derhalve niet zo snel geïnfecteerd raken, al is de kans natuurlijk altijd aanwezig.

arjankoole

Beveiliging

@GeoBeo • 14 september 2012 07:45

Ik weet niet precies hoe de distributie van linux servers gaat, maar ik neem aan dat ook die in China geproduceerd worden en voor-geinstalleerd worden met een distributie in veel gevallen?

Ik bestelde mijn servers altijd kaal. De eerste actie op zo'n ding was een boot disk er in en freebsd of Linux er op installeren. Als we Linux deden met support contracten dan hadden we die licenties zelf, en lieten we dat ook niet vanuit de fabriek doen.

Verwijderd @GeoBeo • 13 september 2012 23:46

Ik vind het niet alleen knap, ik vind het heel doordacht en zelfs aardig.

Het is microsoft als softwareleverancier hun taak niet om systemen geassembleerd door derden te kopen en te kijken of hun productielijnen wel "goed" zijn. Erg netjes dat ze het deden, dat wel.

spaceboy 13 september 2012 18:07

Maar wat infecteren ze? De software? Dus als je een nieuwe pc formatteert en voorziet van een nieuw OS: geen probleem?

Verwijderd @spaceboy • 13 september 2012 18:23

En als ze uw bios infecteren, dat iedere keer als je er een nieuw systeem op plaatst, terug uw systeem besmet ?

Beunhaas91 @Verwijderd • 13 september 2012 18:28

Dat is op te lossen door een schone firmware in de BIOS te flashen.

Olaf van der Spek @Beunhaas91 • 13 september 2012 18:33

Denk jij

Beunhaas91 @Olaf van der Spek • 13 september 2012 18:35

Bewijs jij het tegendeel? Een schone BIOS/UEFI flashen is wel degelijk mogelijk!

Olaf van der Spek @Beunhaas91 • 13 september 2012 18:42

Dat is lekker makkelijk, iets roepen en dan mij vragen te bewijzen dat het niet waar is.

Heb je bijvoorbeeld gedacht aan firmware van je videokaart? Van je HDD/ODD/SSD?
Misschien wordt je nieuwe firmware wel geinfecteerd tijdens het flashen, de malware heeft op dat moment immers volledige controle over de PC.

gjmi @Olaf van der Spek • 14 september 2012 08:36

Inderdaad, er zitten op meer plekken firmware. Denk aan je RAID Chip, soms ook je ethernet kaart. Dat kun je zelf allemaal niet fixen.

Verwijderd @Beunhaas91 • 13 september 2012 19:08

betwijfel ik, in iedere bios zitten tegenwoordig systemen, dat het niet kan fout gaan met het flashen. Dat als bvb de stroom uitvalt, tijdens het flashen, dat je toch nog een 2e maal kunt proberen. Dus je start op met die bios, alvorens je een nieuwe schrijft. Dus je mag flashen met een nieuwe bios, maar de malware gaat daarom niet weg zijn

(ga terug mijn alu hoedje uit de kast halen)

Beunhaas91 @spaceboy • 13 september 2012 18:11

Juist. De malware wordt ingeladen zodra het besturingssysteem voor de eerste keer wordt gestart.

Ik heb ooit eens stage gelopen bij een groothandel in kantoorartikelen en we kregen daar opeens klachten van klanten die een besmette (huismerk) USB-stick hadden, zo out-of-the-box. Uiteindelijk bleek het probleem te liggen bij de productie in China, daar werd de boel al geïnfecteerd voordat het in de verpakking ging.

Humma Kavula 13 september 2012 18:30

Hmm, vraag mij nu gelijk af hoe veilig die china tablets eigenlijk zijn.

Wel goed van microsoft dat ze dit onderzoeken maar zou bijvoorbeeld een android hier ook last van kunnen hebben?

[Reactie gewijzigd door Humma Kavula op 23 juli 2024 20:51]

Tazzios @Humma Kavula • 13 september 2012 18:49

Welke tablet`s worden NIET in oosterse landen geproduceerd?

SamPatterson @Tazzios • 14 september 2012 00:04

Sams... Huaw... Asu...iPa..... euh..... laat maar

Beunhaas91 @Humma Kavula • 13 september 2012 18:32

Die markt begint steeds interessanter te worden voor de criminelen en om eerlijk te zijn, ik vertrouw een Chinese tablet van $80 met een aparte look and feel Android-firmware ook niet helemaal.

lulkoekje 13 september 2012 20:42

_{'De softwaregigant heeft in de VS inmiddels een gerechtelijk bevel verkregen waarmee de registrar Public Interest Registry werd verplicht om al het verkeer naar de domeinnaam 3322.org naar servers van Microsoft te routeren. Microsoft heeft naar eigen zeggen een filtersysteem opgezet waarmee normaal verkeer nog wel wordt gerouteerd naar 3322.org, maar malware, waaronder Nitol, wordt geblokkeerd.'}

Leest iedereen hier overheen?
Ja microsoft is goed bezig om dergelijke botnets / malware aan te pakken en te verwijderen.

Maar een corporatie die een gerechtelijk bevel vraagt/krijgt om al het netwerkverkeer van een ander bedrijf via hun servers te laten routeren. Daarbij mogen zij blijkgelijk zelf bepalen wat legitiem verkeer en wat frauduleus verkeer is.

Deze medaille heeft duidelijk 2 kanten.

Marc050 @lulkoekje • 13 september 2012 20:52

Als microsoft het hoe en waarom goed heeft, zal de rechter/justitie wel toezicht houden. Veel mensen gaan dit natuurlijk controleren. Iedere fout: ms 'blame'. Ze zullen opletten denk ik.

Verwijderd @Marc050 • 13 september 2012 21:50

Ik vraag me ten zeerste af of er actief toezicht wordt gehouden. Sterker, het zou mij hogelijk verbazen. Het was precies waar ik ook over viel: deze servers zitten nu achter een ms-filter, who's next?

SG @Verwijderd • 14 september 2012 07:03

Nou als MS dit kan dan dan had die toko dat intern ook al kunnen doen maar die wordt betaald door hostende cybercrimenelen dus easy smeasy het is te veel werk om elke host te controleren. MS doet dat dus even.

scsirob @Marc050 • 14 september 2012 11:06

Volgens het artikel zijn er 2,8 miljoen sub-domeinen onder gehost. Zo'n 50.000 bevatten malware. Is het bekijken/inspecteren/filteren van 2,75 miljoen onschuldige Chinese domeinen dan niet een uitnodiging om te spioneren?

Volgens mij is Nederland nog steeds een koploper op het versturen van spam en andere rommel. Zouden wij het accepteren als China alle .nl verkeer naar hen laat sturen voor 'inspectie'??

Triblade_8472 13 september 2012 17:57

Goed van Microsoft dat ze ook hier naar kijken!

Ben benieuwd wanneer de hardware/appliances uit China aan de beurt zijn. Er was toch ook ooit een Amerikaans onderzoek over deze hardware?

Ah, hier is een artikel over wat ik bedoel:
http://www.theepochtimes....to-us-systems-244137.html

SkyStreaker 13 september 2012 18:14

Kortom: wie is d'r omgekocht/wordt onder druk gezet bij die productielijnen?

Amanoo 13 september 2012 18:39

Ik vind het maar raar dat een Chinese webhost al zijn verkeer langs een Amerikaans bedrijf moet loodsen. Zo zie je toch weer de Amerikaanse mentaliteit tegenover het internet terug : "het internet is van ons en iedere gebruiker valt onder onze jurisdictie".

SG @Amanoo • 14 september 2012 06:52

Is dit gewoon het in dozijn USA bashen. Want ik denk dat China en dat land met die KGB president dat ook wel willen. Maar internet is ontstaan vanuit de USA. Politie of algehele autoriteit moet men ook maar afschaven. Want 350+ Km/u wat sommige auto kan halen heb je ook de vrijheid voor nodig.
Het internet is van ieder slaat op iedere goede ziel maar ook elke pedofiel en iedere cyber crim die van zoon cybercrime oostlok accademie van afkomt en ook Elquada die ermee hun terreur cellen mee communiseren.
Vrijheid blijheid is dan gewoon het wilde westennonline. Anarchie.

Tja en dan moet jan met de pet maar ook elke 55++ ook internetbankieren.
Via dat cybercrime infested internet.

Ik vind direct inbellen met een modem bij een bank via eigen directe telefoon lijntje toch fijner. Waarmee je bankzaken als je wilt compleet kan afschermen van dat internet.

Er is een groot proleem van cybercrime waar westerse mogendheden toch enige controle willen uitvoeren. Dat is toch logisch. Ook al is dat dweilen met de kraan open. Iran doet dit ook alleen duidelijk niet tegen cybercrime alleen eerder met nadruk op censuur ter ondersteuning van de sharia wetgeving daar.

Alex3 @SG • 14 september 2012 19:37

55+'ers die willen internetbankieren? Over bashen gesproken...

SCS2 13 september 2012 19:27

Ooit, lang, lang geleden zat er een virus op originele MS Dos diskettes, v4.0 ofzo.
Antivirus programma's waren zeldzaam, maar had er gelukkig één.

Ik was stom verbaast dat uit gesealde enveloppe al virus zat.
Maanden later in de krant artikel, dat kopieer bedrijf besmet was geraakt.

SCS

Op dit item kan niet meer gereageerd worden.

'Cybercriminelen richten zich op productielijnen van computers'

Lees meer

IT-banen

Reacties (62)

Sorteer op:

Weergave: