Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Geavanceerde hackersgroep heeft mogelijk banden met NSA'

Door , 119 reacties

Beveiligingsbedrijf Kaspersky heeft het bestaan van een hackersgroep ontdekt die mogelijk achter tienduizenden infecties zit en die groep kan worden gelinkt aan de Amerikaanse inlichtingendienst NSA. De hackersgroep maakte gebruik van command-and-control-servers in onder meer Nederland.

Kaspersky noemt de hackersgroep, die in ieder geval sinds 2001 actief zou zijn, een van de meest geavanceerde ooit. Het Russische beveiligingsbedrijf heeft vijfhonderd infecties van de groep weten te achterhalen, maar denkt dat het daadwerkelijke aantal infecties in de tienduizenden loopt. Niet alle infecties konden worden achterhaald, omdat de malware van de groep zichzelf kan vernietigen. Vooral instellingen in Iran, Rusland en Pakistan zouden het doelwit zijn geweest, evenals Afghanistan, India en China. Daarbij werden onder meer overheden en militaire instellingen aangevallen, maar ook providers, universiteiten en onderzoeksinstellingen.

Het bedrijf heeft de hackersgroep de Equation Group gedoopt, vanwege de voorliefde van de aanvallers voor encryptie en methoden om hun sporen te wissen. Hoewel Kaspersky met geen woord rept over betrokkenheid van de Amerikaanse inlichtingendienst NSA, zijn er meerdere aanwijzingen voor verbanden tussen die twee, tekent Ars Technica aan. Zo komen sommige codenamen in de broncode van de door de groep gebruikte malware overeen met codenamen die voorkwamen in Snowden-documenten. Ook de naam van een keylogger kwam overeen.

Bovendien kwamen twee van de zero day-kwetsbaarheden die de groep gebruikte overeen met kwetsbaarheden die de NSA zou hebben gebruikt in Stuxnet, malware waarmee Iraanse nucleaire installaties werden aangevallen. Ook bepaalde technieken die de hackers gebruikten, bijvoorbeeld om hun sporen te wissen, kwamen overeen. Het is dan ook mogelijk dat de malware van de groep is gebruikt in de Stuxnet-aanval, aldus Kaspersky.

Kaspersky rept niet over infecties in Nederland, hoewel dat niet wil zeggen dat die er niet zijn geweest. Zeker is wel dat ook Europese instellingen het doelwit waren: onder meer in België, maar ook in het Verenigd Koninkrijk, Frankrijk en Zwitserland, vond Kaspersky infecties. Kaspersky vond wel minstens één command-and-control-server op Nederlandse bodem.

De groep beschikte onder meer over malware met een eigen virtueel bestandssysteem, zodat bestanden van de malware niet op het normale bestandssysteem hoeven te worden ondergebracht en dus minder makkelijk te vinden zijn door virusscanners. Die techniek zou ook zijn gebruikt bij aanvallen van de NSA op de Duitse overheid en een Britse aanval op de Belgische provider Belgacom.

Ook bracht malware van de groep bestanden onder in het register van Windows, eveneens met als doel om de sporen te wissen. Daarnaast beschikte de groep over malware die zich verspreidt via usb-sticks, om zo airgapped-computers die niet aan internet zijn geknoopt te kunnen infecteren. Hoewel Kaspersky enkel Windows-infecties aantrof, zijn er aanwijzingen dat de groep ook op iOS- en OS X-apparatuur wist binnen te dringen.

De groep zou ook in staat zijn om malware onder te brengen in firmware, bijvoorbeeld in die van de harde schijf. Daarbij wist de groep onder meer schijven van Western Digital, Seagate en Toshiba te kraken. Daardoor krijgt de malware volledige controle over de computer; zelfs herinstallatie van het besturingssysteem of het wipen van de schijf zorgt er dan niet meer voor dat de malware verdwijnt. Ook is het daardoor vrijwel onmogelijk om malware te detecteren.

Slachtoffers kregen de malware onder meer via cd's die de groep onderschepte en voorzag van malware. Het onderscheppen van pakketten om malware toe te voegen is een techniek waarvan eerder al bleek dat de Amerikaanse NSA die toepast.

Door Joost Schellevis

Redacteur

17-02-2015 • 08:17

119 Linkedin Google+

Reacties (119)

Wijzig sortering
Om de ťťn of andere reden toch in een ander topic geraakt! Zal mijn fout zijn.... het ging in de eerste plaats om iets compleet anders.... toch bedankt om te reageren......
en nog anderen mensen veroordelen voor hacken... daar in Amerika, snap dus echt niet wat ze daar allemaal aan het doen zijn...

en over de titel, ik zie nederland nergens tussen staan in het plaatje? die is niet rood gekleurd maar groen/blauw wat betekend dat er toch geen slachtoffers zijn gevallen?

[Reactie gewijzigd door erwinwernars op 17 februari 2015 08:33]

Klopt, ik vroeg me net af of ik de enige ben die dit opvalt?

Over het algemeen opereren slimme criminelen niet in hun eigen achtertuin, dat zou je aan het denken kunnen zetten over mogelijke deelname vanuit ons kikkerlandje.
Het woord Iran komt sterk in mij bovendrijven als ik het zo lees.

Er zijn fiks wat iraniers die in Nederland en Duitsland en soortgelijke landen dagelijks bezig zijn met servers en vanalles en nog wat op te zetten teineinde het thuisland te faciliteren.

Nederland is erg slap daar. Die Duitsers ook (ofschoon minder dan hier). Dat verklaart het grote aantal servers waarmee gehackt wordt vanuit ons landje.
In NL gaat het via GCHQ naar USA. ;)
Dus ja, in DIT plaatje zien ze er "goed" uit.
Een Russisch beveiligingsbedrijf zegt dat ? 😊
Ja wie het zegt maakt niet uit. Die harddisks worden geproduceerd in China en Thailand met name (Seagate en WD). Vraag 1 is waarom je 't flashen van de firmware niet kunt disablen op die harddisks.
De NSA zelf zal het niet zeggen.
Blijkbaar is het al langer bekend: https://www.youtube.com/watch?v=b0w36GAyZIA#t=45m58s

[Reactie gewijzigd door Zaggy op 17 februari 2015 09:59]

Nederlandse Vereniging van Makelaars?
Alsof die te vertrouwen zijn .. ;)
Exact! Voor het zelfde geld heeft die dan weer banden met de Russische overheid.
nee, die zeggen het dus niet.

tenminste die zeggen niks over mogelijke banden met de NSA.
Een niet-Amerikaans bedrijf zoals Kaspersky kan deze informatie waarschijnlijk makkelijker naar buiten brengen dan Amerikaanse beveiligingsbedrijven als McAfee en Symantec. ;)

[Reactie gewijzigd door twilex op 17 februari 2015 11:08]

Dit groepje zal sony films ook wel gehacked hebben }>
Het is onwaarschijnlijk dat het 1 groep is zoals Kaspersky het beschrijft.

Eerder verschillende hackers uit verschllende naties die zich cloaken als dezelfde.
Toch interessant wat die Snowden documenten allemaal zichbaar maken. Deze documenten op deze manier gebruiken geeft ineens heel veel toepassingen. Denk dat ik maar even mijn kernel-code ga crosschecken ;)
Allemaal terug naar de pen en het papier!
Spioneren is vrijwel zo oud als de mensheid zelf... Niks nieuws op zich toch?
Omdat hooguit 10% van de bevolking ueberhaupt zin heeft om ergens over na te denken.

Dus de grijze massa van 90%+ die interesseert toch al niets ene lor. Ook in een dictatuur kan gros van die grijze massa goed uit de voeten. Sterker nog in Nederland ben je helemaal niks zonder academische achtergrond - dus als laagopgeleide waarom zou je niet ervoor zijn dat het een dictatuur van het proletariaat hier wordt? Kun je als laagopgeleide die toevallig wel bij die overheidsinstantie werkt die de lakens uitdeelt ook eens lekker de baas spelen over al die academici!

Zo werkt dat.
Behalve als een gewapende inbreker dus wollen handschoenen gebruikt om in te breken, zo kwamen wij er hier achter, dan kan de Nederlandse versie van CSI niet veel voor je betekenen :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*