'Flame-virus trof ook Nederlandse computers'

Het spionagevirus Flame blijkt ook in Nederland slachtoffers te hebben gemaakt. Vanaf acht verschillende ip-adressen in Nederland is contact gezocht met een command-and-control-server die met de malware is verbonden.

Uit onderzoek van onder meer Kaspersky en Symantec blijkt dat de Flame-trojan, die zich naar verluidt richt op het Iraanse nucleaire programma, ook in Nederland computers heeft besmet. De onderzoekers bemachtigden naar eigen zeggen een server-image van een command-and-control-server waarmee de malware contact zocht.

De serverlogs zouden nog in dat server-image te vinden zijn geweest, waardoor de onderzoekers te weten konden komen vanaf welke ip-adressen in een bepaalde week contact is gezocht met de server. Daaronder zijn acht Nederlandse ip-adressen. Het werkelijke aantal besmettingen kan veel hoger liggen, aangezien het slechts de statistieken van één bepaalde week, tussen 25 maart en 2 april, zijn die worden getoond.

Opmerkelijk is dat ook de nodige besmettingen in de Verenigde Staten zijn waargenomen. Over het algemeen wordt juist aangenomen dat de Verenigde Staten de malware hebben ontwikkeld, om het Iraanse nucleaire programma te kunnen belemmeren. Misschien zijn de besmettingen buiten Iran dan ook collateral damage. Verder zijn computers in onder meer Soedan, Duitsland, het Verenigd Koninkrijk en Syrië getroffen.

Volgens de onderzoekers was Flame al sinds 2006 in ontwikkeling en heeft de malware nog drie 'broertjes', die ook in staat zijn om met de c&c-server te communiceren. Een daarvan zou nog steeds actief zijn. Hoewel het controlepaneel van de server qua uiterlijk amateuristisch aandoet, blijven de onderzoekers ervan overtuigd dat een overheid achter de malware zit, onder meer omdat deze over sterke cryptografie zou beschikken.

Eerder ontdekte Kaspersky al een verband tussen de Flame- en Stuxnet-malware. Beide gebruikten precies dezelfde exploit voor de besmetting van pc's. Ze zouden zijn bedoeld om informatie over het Iraanse nucleaire programma te vergaren, respectievelijk dat programma te saboteren.

Flame-besmettingen per land

IT-banen

Reacties (24)

uip 17 september 2012 16:51

Het hoge aandeel in Soedan is toch opmerkelijk. Niet eens een buurland. En zoveel computers zijn daar niet, dus zijn er relatief veel besmettingen.

(tenzij Flame ook bedoeld was om de piraten in dat land een hak te zetten)

pietje63 @uip • 17 september 2012 16:59

Wat is opmerkelijk?

In 2010, the Sudanese government announced its intentions to pursue a nuclear power program and requested assistance from the International Atomic Energy Agency (IAEA). Sudan’s program calls for a four reactor nuclear power plant by 2030 to address energy concerns. In late August 2010, a delegation from the IAEA met with Sudanese officials and recommended that Sudan obtain two research reactors. One research reactor would be for training nuclear technicians while the other would be put to use producing isotopes for medical, industrial, and agricultural purposes.

http://www.fas.org/nuke/guide/sudan/nuke/index.html

Verwijderd @uip • 18 september 2012 09:24

Waar ik stiekem wel heel benieuwd naar ben. Is of die infecties in Nederland of bijv. USA bij random mensen was, of toevallig Iraniërs die daar wonen.

Weet iemand dat misschien?

Vinitio 17 september 2012 16:41

Is zo'n virus op een normale computer dan in principe nutteloos? Of verzamelt hij ook daar info?

the-dark-force @Vinitio • 17 september 2012 18:00

op een gewoon systeem zal het flame virus ook gewoon nut kunnen hebben, hier een stukje van wikipedia:
Flame beschikt over allerlei modules, die in werking treden volgens de wensen van de ontwikkelaars. Eénmaal een computer met flame besmet is, treedt het virus in werking. Flame kan computerschermafbeeldingen doorsturen, onthoudt wat de gebruiker op zijn klavier intikt en kan het netwerkverkeer afluisteren. Indien de computer voorzien is van een microfoon, kan het virus, gesprekken opnemen en deze doorsturen naar zijn ontwikkelaars. Wat uniek is voor het flame virus is zijn capaciteit om gebruik te maken van Bluetoothverbindingen om het adressenboekje te kopiëren van iemand met een gsm, die in de buurt staat van de besmette computer. De gegevens worden doorgestuurd via control and command servers, die verspreidt staan over gans de wereld. De kwantiteit van de gestolen informatie en hun bestemming is tot nu toe nog onbekend.

(bijvoorbeeld door de commando's om te leiden via deze systemen, tijdelijke data opslag of als file server voor de malware)

YopY @the-dark-force • 18 september 2012 09:21

Wie heeft dat artikel / stukje geschreven? Die moet zich schamen,

Anoniem: 470360 17 september 2012 16:41

Wat betekent "Anonymous_Proxy" in het grafiekje? Mensen die met een VPN/Proxy verbinden?

Weyland @Anoniem: 470360 • 17 september 2012 16:46

Het zijn eerder computers waarvan het ip-adres niet aan een land gekoppeld kan worden. De GeoIP databases hebben niet altijd gegevens over een bepaald ip-adres in zijn database. Om hier rekening mee te houden hebben ze waarschijnlijk 'Anonymous_Proxy' gebruikt om dit aan te duiden.

Verwijderd @Weyland • 17 september 2012 18:56

Ik werk vrij veel met GeoIP databases, althans, ik zoek vaak adressen op. Anonymous_Proxy bedoeld echt dat, via een onbekende proxy host binnengekomen. Spammers maken daar graag gebruik van.

Mr_gadget 17 september 2012 17:32

Maar dan zouden ze ook kunnen zien wie de command & control servers beheerd? Dat zou wel interessant zijn om uit te vinden wie er achter zit

Hoewel ze dan waarschijnlijk al de CIA of een andere veiligheidsdienst over de vloer hebben gehad die "in het belang van de nationale veiligheid" o.i.d. dat image hebben opgeëist.

Biersteker @Mr_gadget • 18 september 2012 01:56

Dat staat in het andere artikel. Valse identiteit op niet bestaande adressen, of hotels. GoDaddy en nog wat andere partijen zijn ook betrokken bij het doorlussen van de domeinnamen (60+80+) naar sinkholes, waardoor ze fatsoenlijke analyze kunnen doen. (Beetje kort door de bocht, eigenlijk zou je dat artikel moeten lezen, werkelijk leip)

https://www.securelist.co...ckling_Flames_C_C_Servers

[Reactie gewijzigd door Biersteker op 25 juli 2024 14:57]

Lorem_Ipsum 17 september 2012 17:01

Hoe hebben ze die server image eigenlijk gemaakt? Zou kaspersky zelf dan over 0day exploits beschikken?

CMG 18 september 2012 09:06

Zucht, daar gaan we weer. Deze cijfers zijn niet betrouwbaar, want toen de C&C Servers nog up waren waren er al samples beschikbaar + instructies hoe je flame kon triggeren op je eigen PC; dit kunnen dus ook gewoon researchers zijn.

Verwijderd 17 september 2012 16:30

De kans dat er een asteroide op je huis valt in Nederland lijkt me groter...

MrBreaker @Verwijderd • 17 september 2012 16:32

Lijkt me niet, dan zouden er 8 in Nederland op een huis vallen, die kans is op zeker kleiner!

Verwijderd @MrBreaker • 17 september 2012 16:42

Onderschat het niet:

2) "Astronomer Alan Harris has made that calculation. Allowing for the number of Earth-crossing asteroids — the kind that can hit us because their orbits around the Sun intersect ours — as well as how much damage they can do (which depends on their size), he calculated that any person’s lifetime odds of being killed by an asteroid impact are about 1 in 700,000.

Wolfos @Verwijderd • 17 september 2012 16:46

Er worden iedere dag ongeveer 350,000 mensen geboren. Dus dan zou er iedere 2 dagen iemand getroffen worden door een asteroïde. Dat lijkt me bijzonder sterk.

Anoniem: 394438 @Wolfos • 17 september 2012 17:10

Er staat echter

any person’s lifetime odds

Dat zou betekenen dat als er iemand geraakt word, dat dat in leeftijd word uitgedrukt, ofwel in 1 leven. Dat zouden geen 700,000 mensen zijn, maar 700,000 jaar.

Giga_ @Anoniem: 394438 • 17 september 2012 19:17

Dat slaat nergens op. wat je nu zegt

SKiLLa @Wolfos • 17 september 2012 16:56

Nee, de kans dat het tijdens je gehele leven plaatsvindt, is 1:700 000. Ofwel verspreid over zeg 80 jaar.

Om het bij de babies te houden: van alle babies die de komende 48u geboren worden, zal er statistisch gezien mogelijk 1 tijdens zijn/haar leven omkomen door een meteoriet inslag (direct of indirect).

Giga_ @SKiLLa • 17 september 2012 17:02

Je moet het wel relatief zien. Of het virus een ip-adres treft is geen vraag, dat doet ie. De vraag is alleen waar, van de 202 landen is Nederland er 1. Dan zijn er ook nog landen die geen IP-Adressen hebben of zo gefirewallt zijn dat ze er echt niet doorkomen. Dus nog 130 landen over. Dan is de kans op Nederland 1 op 130. Nu heeft nederland relatief gezien veel ipadressen dus is de kans iets aannemenlijker. iets van 1 op 80? Praten we over je eigen ip-adres dan heb je gelijk, maar daar gaat het onderzoek niet over.

Dan nu als een asteroïde in Nederland valt hoeft ie niet op een huis te vallen! We hebben ook water en weiland. Ongeveer 13% is bebouwd. De kans dat ie op jouw huis valt is dus beduidend kleiner dan de kans dat jij het virus krijg. Maar daar komt weer bij dat de astroide nederland helemaal niet hoeft te treffen. Nu mogen we dit namenlijk ook nog verdelen over het water op aarde. De kans dat de astroide in nederland valt is dus al kleiner. (Combinatie van 4 boven 2 en dit keer de kans op land 1.3* kans op nederland *0.12 (klein land) .

Nee, het virus heb je eerder

siepeltjuh @Wolfos • 17 september 2012 18:13

Je probeert nu te middelen, elke 2 dagen 1 persoon. Terwilj potentieel bij een inslag miljoenen / miljarden mensen in 1x foetsie zijn.

Op dit item kan niet meer gereageerd worden.

'Flame-virus trof ook Nederlandse computers'

Lees meer

IT-banen

Reacties (24)

Sorteer op:

Weergave: