Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Kwaadwillenden hebben een kwetsbaarheid in Adobe Reader gebruikt om verschillende overheden aan te vallen, waaronder een Belgische overheidsinstelling of ambassade. Ook een onderzoeksinstituut en een zorgverlener zouden met succes zijn aangevallen.

MalwareIn totaal zijn 59 unieke slachtoffers in 23 landen aangevallen, waaronder in België maar ook in de Verenigde Staten, Duitsland en Ierland, blijkt uit het onderzoeksrapport van Kaspersky. Of het daarbij gaat om unieke geïnfecteerde pc's of om geïnfecteerde instellingen, is niet duidelijk. Zeker is wel dat er naast overheden ook denktanks, een onderzoeksinstituut, een 'sociale instelling' en een zorgverlener met succes zijn aangevallen. De getroffen instellingen worden niet bij naam genoemd.

De aanval, door Kaspersky 'MiniDuke' genoemd, zou in de afgelopen week hebben plaatsgevonden, waarbij de aanvallers een recent ontdekt lek in versies 9, 10 en 11 van Adobe Reader gebruikten. Dat lek, waarvan al bekend was dat het actief werd misbruikt, maakt het mogelijk om de sandbox te omzeilen. De sandbox moet juist voorkomen dat beveiligingsproblemen in software gevolgen kunnen hebben voor de rest van het besturingssysteem. Op dit moment duurt de aanval nog steeds voort; volgens Kaspersky hebben de cybercriminelen op 20 februari nog nieuwe malware uitgebracht. Om de malware te verspreiden, gebruikten de aanvallers social engineering, waarbij ze hun doelwitten ertoe verleidden om een e-mailbijlage met een besmet pdf-bestand te openen.

Welk doel de malware dient en of deze wordt gebruikt om bijvoorbeeld documenten te stelen, is onduidelijk. Wat wel duidelijk is, is dat het gaat om een gerichte aanval, die volgens Kaspersky-ceo Eugene Kaspersky bovendien 'erg ongebruikelijk' is. "Ik herken deze stijl van programmeren uit het eind van de jaren negentig en het begin van dit millennium", zegt hij in een verklaring. Hij spreekt van een groep 'elite-, oldschool-malwareschrijvers' die in het verleden 'zeer effectief' waren in het ontwerpen van complexe virussen.

Na infectie wordt in assembly geschreven malware op de computer geplaatst, die al zijn communicatie met de buitenwereld versleutelt met een voor die machine unieke code. Opvallend is dat de malware zichzelf uitschakelt wanneer deze detecteert dat deze in een virtuele omgeving wordt gedraaid. Beveiligingsonderzoekers gebruiken virtuele machines juist om malware in een beveiligde omgeving te kunnen onderzoeken.

Draait de malware niet in een virtuele machine, dan wordt Twitter gebruikt om nieuwe instructies te downloaden. Die instructies worden geplaatst op speciaal aangemaakte accounts. Is Twitter niet beschikbaar, of zijn die accounts verwijderd, dan wordt de Google-zoekmachine gebruikt, maar hoe dat precies werkt, is onduidelijk. Als de malware nieuwe instructies heeft ontvangen, wordt een als een .gif vermomde backdoor op de computer geplaatst. Die is op zijn beurt weer in staat om nieuwe malware te downloaden. De backdoor maakt verbinding met twee command-and-control-servers, in Turkije en Panama.

Virustweet

Twitterberichten als deze werden gebruikt om - versleutelde - instructies te versturen.

Reacties (31)

Reactiefilter:-131027+116+23+30
Moderatie-faq Wijzig weergave
http://en.wikipedia.org/wiki/List_of_PDF_software#Viewers gewoon adobe reader eraf gooien een eentje uit dat lijstje, of eentje die OSspecifiek is erop gooien, ben je waarschijnlijk van het gedonder af.
Leuk ook dat soort tweets. Mensen die zeggen dat het lekker weer is of dat ze in de file staan. Ik heb meestal de neiging om na een aantal strafkaarten (voor zulke tweets) dergelijke mensen te unfollowen. Dan houd ik alleen followees (is dat een woord?) over die iets te melden hebben.

Als ik dit bericht lees, doe ik daar goed aan.

"Nou dat wordt weer laat vandaag, file op de A12"
"Shiiiit, wat een regen, toch maar de bus pakken"
"Lekker biertje erbij pakkuh... werkze verder"

Okay, 3x is genoeg. *Ploop* unfollow.
Mocht je net in een bedrijfsnetwerk zitten waar ze alles gevirtualiseerd hebben en zero clients gebruiken, dan heb je geen last van de malware :P
Als je geen clients heb, heb je ook niet zoveel aan je netwerk :P
Dit is wel een sterk staaltje malware als ik dat zo lees. Zeker dat uitschakelen bij het detecteren van een virtuele omgeving is geniaal.
Logisch Adobe Reader is vaker lek dan niet. Adobe heeft zelfs eens geadviseerd om Micrososft EMET (http://support.microsoft.com/kb/2458544/nl) te installeren voor extra bescherming tegen lekken in Reader.
Best geniaal gemaakte malware.
Wie man in den wald hineinruft so schallt es heraus

Des te meer overheden internet willen controleren des te meer zullen overheden het slachtoffer worden van cyber attacks. Overheden zullen altijd achterlopen op de feiten. Personen met veel kennis en talent om zero day attacks te ontwikkelen zullen nooit voor een overheid willen werken, het verdient niet genoeg en de hiŰrarchische verhoudingen staan hun tegen.

Voor overheden zullen alleen mensen werken die second best zijn.
Mensen die virussen kunnen schrijven, zijn niet per definitie slimmer dan mensen die een virusscanner kunnen schrijven.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True