Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 31, views: 14.141 •

Kwaadwillenden hebben een kwetsbaarheid in Adobe Reader gebruikt om verschillende overheden aan te vallen, waaronder een Belgische overheidsinstelling of ambassade. Ook een onderzoeksinstituut en een zorgverlener zouden met succes zijn aangevallen.

MalwareIn totaal zijn 59 unieke slachtoffers in 23 landen aangevallen, waaronder in België maar ook in de Verenigde Staten, Duitsland en Ierland, blijkt uit het onderzoeksrapport van Kaspersky. Of het daarbij gaat om unieke geïnfecteerde pc's of om geïnfecteerde instellingen, is niet duidelijk. Zeker is wel dat er naast overheden ook denktanks, een onderzoeksinstituut, een 'sociale instelling' en een zorgverlener met succes zijn aangevallen. De getroffen instellingen worden niet bij naam genoemd.

De aanval, door Kaspersky 'MiniDuke' genoemd, zou in de afgelopen week hebben plaatsgevonden, waarbij de aanvallers een recent ontdekt lek in versies 9, 10 en 11 van Adobe Reader gebruikten. Dat lek, waarvan al bekend was dat het actief werd misbruikt, maakt het mogelijk om de sandbox te omzeilen. De sandbox moet juist voorkomen dat beveiligingsproblemen in software gevolgen kunnen hebben voor de rest van het besturingssysteem. Op dit moment duurt de aanval nog steeds voort; volgens Kaspersky hebben de cybercriminelen op 20 februari nog nieuwe malware uitgebracht. Om de malware te verspreiden, gebruikten de aanvallers social engineering, waarbij ze hun doelwitten ertoe verleidden om een e-mailbijlage met een besmet pdf-bestand te openen.

Welk doel de malware dient en of deze wordt gebruikt om bijvoorbeeld documenten te stelen, is onduidelijk. Wat wel duidelijk is, is dat het gaat om een gerichte aanval, die volgens Kaspersky-ceo Eugene Kaspersky bovendien 'erg ongebruikelijk' is. "Ik herken deze stijl van programmeren uit het eind van de jaren negentig en het begin van dit millennium", zegt hij in een verklaring. Hij spreekt van een groep 'elite-, oldschool-malwareschrijvers' die in het verleden 'zeer effectief' waren in het ontwerpen van complexe virussen.

Na infectie wordt in assembly geschreven malware op de computer geplaatst, die al zijn communicatie met de buitenwereld versleutelt met een voor die machine unieke code. Opvallend is dat de malware zichzelf uitschakelt wanneer deze detecteert dat deze in een virtuele omgeving wordt gedraaid. Beveiligingsonderzoekers gebruiken virtuele machines juist om malware in een beveiligde omgeving te kunnen onderzoeken.

Draait de malware niet in een virtuele machine, dan wordt Twitter gebruikt om nieuwe instructies te downloaden. Die instructies worden geplaatst op speciaal aangemaakte accounts. Is Twitter niet beschikbaar, of zijn die accounts verwijderd, dan wordt de Google-zoekmachine gebruikt, maar hoe dat precies werkt, is onduidelijk. Als de malware nieuwe instructies heeft ontvangen, wordt een als een .gif vermomde backdoor op de computer geplaatst. Die is op zijn beurt weer in staat om nieuwe malware te downloaden. De backdoor maakt verbinding met twee command-and-control-servers, in Turkije en Panama.

Virustweet

Twitterberichten als deze werden gebruikt om - versleutelde - instructies te versturen.

Reacties (31)

Het gebruik van bekende websites zoals Twitter, Facebook en (zo blijkt) zoekmachines is niet volledig nieuw maar zullen we in de toekomst vaker gaan zien. Het zijn immers sites die grote bekendheid hebben en nauwelijks worden geblokkeerd (zeker bekende niet-social media sites maar ook social media sites worden steeds minder vaak geblokkeerd ten faveure van een social media policy).

Op het eerste oog zullen accounts / berichten ook nog eens vaak niet opvallen omdat ze opgaan in de massa. Dit maakt dat de beheerders van de sites lastiger automatisch blokkades kunnen toepassen. Daarnaast is het vrij lastig te detecteren voor bedrijfsbeheerders: als je immerseen bot hebt die weet welke accounts hij moet volgen / pagina's hij moet bezoeken, worden daar gratis en voor niets de nieuwe instructies opgehaald. Tenzij dit echt opvallend verkeer is op een IDS (want op zich zijn er wel patroonherkenningsmogelijkheden op mogelijk), zal dit vaak onopgemerkt blijven.

De accounts/websites worden random aangemaakt en zijn binnen no-time weer offline. De bots in het netwerk zelf kennen het algoritme waarmee accounts/websites worden gegenereerd en weten hun C&C-server te vinden voor nieuwe commando's. Het is daarbij al lang niet meer nodig om een fixed IP of server te gebruiken. En Twitter offline halen met een takedown notice gaat niet gebeuren. Het is dus een doordachte en slimme tactiek om bestaande legitieme middelen in te zetten voor malafide praktijken. Een duidelijk "als het niet linksom, dan rechtsom" :).

Dat criminelen zich steeds verder ontwikkelen is geen geheim, noch een verassing. Wel worden technieken steeds geraffineerder, wat maakt dat het wapenen ertegen ook steeds lastiger zal blijken..

[Reactie gewijzigd door Eagle Creek op 27 februari 2013 16:03]

(als voorbeeld: het flame virus: kaspersky sprak van een uitzondering taal en absurte hoge intelligentie en modulatie etc en vroeg toen of mensen de programmeertaal voor hun konden indentificeren, bleek het gewoon objective-c te zijn..)
Ten eerste ging dat om het Duqu virus en ten tweede bleek het om OO variant van C te gaan (dmv macro extensies), wat zeker niet hetzelfde is als objective-c.
http://www.securelist.com..._of_Duqu_Framework_solved

Een van de redenen dat Kaspersky nu aangeeft dat het wellicht om "old-school" programmeurs gaat is dat de gehele backdoor in assembly is geschreven. Uiteraard hoeft dat niet perse te betekenen dat ze inderdaad old-school zijn, maar het ligt wel voor de hand.

[Reactie gewijzigd door narotic op 27 februari 2013 16:43]

Het probleem is de Acrobar Reader plugin, niet Acrobat Reader zelf.

Zonder de plugin, krijg je een 'download of open' popup bij zo'n PDF. En zelfs behoorlijk onervaren gebruikers voelen dan nattigheid. En zo niet, maakt dit nep-PDF bestand meestal gebruik van een specifiek lek in de browser-plugin, welke mogelijk niet aanwezig is (of in ieder geval niet compatible) met de gewone reader applicatie zelf.

En persoonlijk vind ik het altijd irritant om die PDF's in de browser te lezen, omdat een groot deel van de zoom en aanverwante opties altijd verborgen worden.

Dus deactiveer de browser plugin en je bent veilig voor dit soort aanvallen.

Deactiveer verder de Java plugin en je hebt er nog meer uitgesloten.

En ikzelf zou ook overwegen Flash de deur uit te doen. Dat is meer problematisch, maar ik heb Flash helemaal de deur uit gedaan op al mijn PC's. Ik kijk YouTube wel op mijn telefoon en verder is Flash in mijn beleving toch vooral een platform voor adds.

=> Met het afscheid van de Java plugin, Reader plugin en Flash plugin heb je aldus de meeste statistieken tevens meer dan 90% van alle exploits en malware aanvallen van de laatste paar jaar afgeweerd!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013