Kaspersky: hackers drongen mogelijk Witte Huis binnen met apenfilmpje

Hackers zijn mogelijk binnengedrongen in de computersystemen van het Witte Huis door malware te verspreiden via een mail met een filmpje van apen in een kantoor. Het apenfilmpje is een onderdeel van de malware die hackers gebruikten.

De onderzoekers van Kaspersky hebben de malware in een posting op SecureList CozyDuke genoemd. Als begin van de aanval sturen de hackers een zip-bestand naar medewerkers met daarin een Flash-video van apen in een kantoor. Bij het openen komen er twee bestanden in een tijdelijke map: Monkeys.exe die het videobestand afspeelt en Player.exe, de daadwerkelijke malware.

Terwijl gebruikers het filmpje aan het kijken zijn, detecteert de malware welk antiviruspakket op de pc staat en omzeilt dit vervolgens. Als de malware op de pc staat, gebruiken de hackers een command&control-server om opdrachten te sturen.

De malware verspreidt zich doordat collega's elkaar de filmpjes doorsturen. Hoewel de malware geavanceerd is, zou het bij gebruikers wel achterdocht moeten wekken dat een collega een filmpje stuurt in een zip-bestand. De hack in het Witte Huis raakte in oktober bekend. Hoewel Kaspersky zegt te weten dat het gaat om CozyDuke-malware bij die hack, kent die ook andere verschijningsvormen. Zo kunnen hackers ook proberen om gebruikers te verleiden op een link te klikken van een vertrouwde site, waarna daarop de malware blijkt te staan die zichzelf vervolgens installeert.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-04-2015 15:03 79

22-04-2015 • 15:03

79

Lees meer

'Britse geheime dienst paste reverse engineering toe op Kaspersky-antivirus'
'Britse geheime dienst paste reverse engineering toe op Kaspersky-antivirus' Nieuws van 22 juni 2015
WikiLeaks publiceert e-mails en documenten afkomstig van Sony Pictures-hack
WikiLeaks publiceert e-mails en documenten afkomstig van Sony Pictures-hack Nieuws van 17 april 2015
Hackers breken in bij Witte Huis
Hackers breken in bij Witte Huis Nieuws van 2 oktober 2012
Netwerk en systeembeheer

Reacties (78)

-Moderatie-faq
78
76
47
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
philotra 22 april 2015 15:07
Voor de geïnteresseerden, hier het filmpje: https://www.youtube.com/watch?v=vdWHucg900U
Verwijderd @philotra22 april 2015 15:24
Het hele filmpje is best amusant als je je zwaar verveelt, of grote noodzaak hebt tot ontspanning!

Wat ik wel bijzonder vind, is dat uit de hack een beetje het beeld naar voren komt alsof het witte huis nauwelijks anti-Skimming maatregelen had. Dat een nieuw technologisch virus nog door een virusscanner komt kan ik mij voorstellen maar E-mails filteren op *.exe bestanden, of vreemde *.exe bestanden onuitvoerbaar maken werd schijnbaar niet gedaan.

Wat opvallend is aan de hacks van
  • Het Witte Huis
  • De koreaanse kerncentrales
  • Sony
Dat men in alle drie de gevallen in belangrijke systemen kon en schade kon aanrichten, maar dat men bij alle drie niet in de qnx backbone konden van de organisatie. Bij de kerncentrales kwam men niet in die vitale systemen, in het witte huis bleef de mobiele infrastructuur net als het meest geheime pc systeem overeind. Ook bij sony kon men terugvallen op qnx toen alle systemen in puin lagen.

Het is een appart verband tussen die drie hacks. Toch blijft bij mij de vraag waarom men in het Witte huis zo makkelijk een *.exe kon laten draaien. Dat hoort niet te kunnen.
Sphinix @Verwijderd22 april 2015 15:45
Niet een *.exe, maar een *.zip met daarin een *.swf. Dan is er toch iets serieus mis met je beveiliging: mensen niet goed opgeleid over "internetveiligheid" en domme mensen die teveel rechten hebben lijkt me zo.
Verwijderd @Sphinix22 april 2015 16:03
Als begin van de aanval sturen de hackers een zip-bestand naar medewerkers met daarin een Flash-video van apen in een kantoor. Bij het openen komen er twee bestanden in een tijdelijke map: Monkeys.exe die het videobestand afspeelt en Player.exe, de daadwerkelijke malware.
Zoals ik lees, is het bestand dat de schade toebrengt een gewoon *.exe bestandje, dat verpakt zat in een zip-file. Dat die *.exe naast het virus installeren en de data verzameling ook een *.swf afspeelt ter afleiding is slim. Maar volgens het bronartikel is het component dat de schade aanbrengt is toch de *.exe die de WIN32 api aanspreekt, en op zoek gaat naar de virusscanners om die te neutraliseren.
Fabbie @Sphinix22 april 2015 20:20
Om heel flauw te zijn, wat jij nu doet is precies de reden dat er nog steeds virussen succesvol verspreid kunnen worden.
Jij hebt het artikel niet goed gelezen en zo lezen andere mensen hun email niet goed en klikken overal op.

Het komt op hetzelfde neer :) Niet goed opletten / lezen.
tilburgs82 @Sphinix22 april 2015 20:41
Dom? Nee.
Onwetend? Ja. ;)
Wild Chocolate @Sphinix22 april 2015 19:52
Het filmpje met apen in een kantoor is wat dat betreft ook wel toepasselijk gekozen door die hackers :+
Blijkt toch weer dat het grootste gat in de beveiliging voor het toetsenbord zit.
crazylemon @Verwijderd22 april 2015 15:43
Je verwacht inderdaad dat er bij .zip files automatisch al een melding moet komen. Van het Witte Huis had je toch anti-virusmeuk mogen verwachten die ook in de .zip files scant en test in een zandbakje o.i.d.
Fluttershy @crazylemon22 april 2015 16:40
Mwoah, ik neem aan de het publieke kantoornetwerk van het Witte Huis niet , bijvoorbeeld, de lanceercodes van alle VS nukes bevat. Op z'n best de interne agenda van Obama.
crazylemon @Fluttershy23 april 2015 10:29
Informatie kan voor sommige mensen erg waardevol zijn.
3raser @philotra22 april 2015 15:51
Hier het filmpje in HD: https://www.youtube.com/watch?v=M0jRTkXz4hw

Ik probeer hier iets duidelijk te maken. Niet alleen in het Witte Huis klikken mensen zonder te kijken.

[Reactie gewijzigd door 3raser op 22 juli 2024 15:27]

raro007 @3raser22 april 2015 16:48
je vergelijking is best wel krom want
1 het is een zip bestand
2 het is de witte huis dus verwacht je dat je bestanden niet zomaar mag openen.

en om te vertellen dat elke link een malware kan zijn dan kunnen we gelijk het héle internet gaan blocken....
Verwijderd @raro00723 april 2015 13:41
De vergelijking is nog krommer want je kan niet zomaar bestanden onder valse namen aanbieden.
Rexus @philotra22 april 2015 15:18
Nice try comrad! ;)
Olaf van der Spek @philotra22 april 2015 16:40
Met of zonder malware? :D
Marcjeno1 22 april 2015 15:07
Blijf het toch raar vinden dat mensen nog steeds zonder denken .exe bestanden openen.
Anonymoussaurus @Marcjeno122 april 2015 15:12
Vind ik ook. Als je van een onbekend email adres iets krijgt dan open je dat niet. Als het onderwerp van het mailtje zou zijn "video". Dan ben je toch slim genoeg om te weten dat een filmpje nooit een .exe bestand kan zijn..
Onno ! @Anonymoussaurus22 april 2015 15:22
Een tweaker wel ja. Een gemiddelde office gebruiker werkt op een systeem waar bestandextenties standaard niet zichtbaar zijn en deze mensen hebben daardoor geen idee wat voor extentie bij een bepaald bestandstype hoort.

Wat mij meer verbaast is dat op het witte huis blijkbaar geen mailscanner gebruikt wordt om .exe bestanden in mails (danwel verstopt in .zip bestanden) te blokkeren.
fevenhuis @Onno !22 april 2015 15:40
Wellicht was men van mening dat de Anti-virus gewoon zou werken, maar wat dus bliijkbaar eenvoudig te omzeilen valt.
Tittah @fevenhuis22 april 2015 16:14
Inderdaad, die reactie krijg ik ook vaak wanneer ik een PC binnen krijg waar een virus op zit. Er zijn mensen die op alles klikken, want ze hebben toch een virusscanner...
Anonymoussaurus @Onno !22 april 2015 15:29
Een gemiddelde office gebruiker werkt op een systeem waar bestandextenties standaard niet zichtbaar zijn en deze mensen hebben daardoor geen idee wat voor extentie bij een bepaald bestandstype hoort.
Hier geef ik je gelijk in, maar als je in Windows Verkenner bent, kan je zien bij "type" zien wat voor soort bestand het is. Dit staat standaard aan bij elke Windows (in ieder geval wel bij 8.1) die je installeert :).
Wat mij meer verbaast is dat op het witte huis blijkbaar geen mailscanner gebruikt wordt om .exe bestanden in mails (danwel verstopt in .zip bestanden) te blokkeren.
Dit vind ik ook erg raar. Ik had een wel wat betere beveiliging verwacht van het witte huis. Hopelijk hebben ze er van geleerd ;).
innerchild @Anonymoussaurus22 april 2015 15:18
Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?

Dat als je je computer laat inloggen op een bekabeld of draadloos netwerk dat je vanaf die laptop/desktop geen internet connectie kan opzetten en alleen maar toegang hebt tot die virtuele desktop omgeving ?

Misschien iets te kort door de bocht aangezien er nogal wat variabelen mee spelen maar hiermee kan je toch redelijk veiliger werken ? Zeker bij overheidsinstanties en plekken waar gevoelige data ligt en word bewerkt ?
Anonymoussaurus @innerchild22 april 2015 15:24
Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?
Dat kan, dan kan je net zo goed Deepfreeze installeren op de pc's :). Werkt ook goed.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 15:27]

walteij @innerchild22 april 2015 15:47
Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?
Dat bestaat gelukkig al en heet VDI, VMware Horizon doet daar erg leuke dingen mee. Fijn een stateless virtual desktop aanmaken die na uitloggen zichzelf uitschakelen en verwijderen.
Bij het inloggen wordt er keurig een nieuwe VM voor je gestart op basis van de master image.
Als je dit nog een s combineert met applicatie virtualisatie (APP-V of ThinApp) en je andere applicaties zoveel mogelijk via een browser laten werken heb je een erg prachige oplossing en voorkom je dat je al je machines moet opschonen bij een virus uitbraak.
Heeft iemand iets fout gedaan, geen problem, uitloggen en opnieuw inloggen, krijg je een nieuwe VM en je kunt weer zonder gegevens of dataverlies aan de slag.

[Reactie gewijzigd door walteij op 22 juli 2024 15:27]

SunnieNL @walteij22 april 2015 19:27
De gemiddelde gebruiker logt 1x per dag in. De vm zal dus makkelijk 8 uur lopen. Dat is genoeg tijd om andere systemen te besmetten.
Daarnaast verwacht ik dat bij het witte huis wel een soort ploegendienst is met een overlap van starten. Dus kan zo'n virus gewoon continue online blijven in het systeem.
Met een beetje pech springt het over naar de backend systemen die continue aan staan...

Bij het witte huis verwacht je workspace control, waarbij je alleen whitelisted applicaties kan starten.
The Zep Man
@Marcjeno122 april 2015 15:13
Blijf het toch raar vinden dat mensen nog steeds zonder denken .exe bestanden openen.
Vertrouw altijd op de onwetendheid van een grote groep mensen. De kans op teleurstelling is nihil. ;)

Wat mij ook verbaasd (net als wat Quilt aangeeft) is dat executables in ZIP bestanden gemaild kunnen worden. Voor kantoorwerk is hier geen business case voor, en het verbaasd mij dat mails met een ZIP (met daarin een executable) niet meteen stilletjes naar /dev/null of NUL worden doorgestuurd.
Amped @The Zep Man22 april 2015 15:19
Wie verstuurd er uberhaupt nog .mov,.wmv of .avi via de email. Vreemd.
Youtube links zijn toch reeds normaal in gebruik op menig kantoorgebouw. Hier in ieder geval..
Blokker_1999
@Marcjeno122 april 2015 15:10
Als de bron vertrouwt lijkt dan klikt men al zeer snel iets open. Recent nog een collega gehad, die echt wel weet wat hij doet, die zonder nadenken een attachment in een e-mail had open gedaan met een besmetting tot gevolg. Het kan echt iedereen overkomen. Dat is net de kracht van social engineering en dat toont net aan dat wij zelf de zwakste schakel zijn en blijven in de beveiligingsketen.
kingpol @Marcjeno122 april 2015 15:17
problem is between keyboard and chair


tja ik kan eender welk bedrijf opbellen en zeggen van "hi ik ben jef van IT, we zijn een aantal updates van u pc aan het installeren, kan ik even uw wachtwoord?"
MsG @Marcjeno122 april 2015 15:17
Ik blijf het eerder gek vinden dat het de hele tijd technisch mogelijk is dat dit soort dingen kunnen. Personeel is voor een bepaalde functie aangenomen, niet om een ICT-er te spelen. Als je bedrijf om zeep kan liggen door een medewerker, dan is er iets niet goed genoeg afgebakend imo.
t_o_c @MsG22 april 2015 17:00
Het zal je verbazen hoe brak de beveiliging bij sommige bedrijven is.

Ik werk bij een groot bedrijf en hIer kregen we laatst te horen dat we toch echt een sterk passwoord moesten bedenken. Alleen is er geen passwoord policy ingesteld dus je kan gewoon 123456 oid als passwoord gebruiken...
batjes @Marcjeno122 april 2015 15:18
Dat een onbekende .exe uitgevoerd kan worden is nog erger.
Johan9711 @Marcjeno122 april 2015 15:22
In windows staat standard het weergeven van bestandsextenties uit.
Douweegbertje @Marcjeno122 april 2015 17:23
Waarom is dat raar. Alsof een gebruiker weet dat het een executable is. Honderden, al dan niet duizenden mensen tanken zelfs diesel in plaats van benzine of visa-versa. Dus tja, zo raar is het dan niet dat iemand in feite zelfstandig malware installeert.
PilatuS 22 april 2015 15:06
Een filmpje met een .exe extentie zegt al genoeg. Helaas zegt dit voor een hoop mensen natuurlijk niets.
ApexAlpha @PilatuS22 april 2015 15:14
Een filmpje met een .exe extentie zegt al genoeg. Helaas zegt dit voor een hoop mensen natuurlijk niets.
Het merendeel ziet het .exe deel niet eens van de bestandsnaam.
Zeror @ApexAlpha22 april 2015 16:07
Het merendeel ziet de extensie wellicht wel, maar weet niet eens wat het betekent. Ik denk dat datgene het probleem is.
ApexAlpha @Zeror22 april 2015 17:16
Ik bedoel meer dat vaak 'bekende extenties' verbergen opties aanstaat. Hierdoor zie je 'setup.exe' gewoon als 'setup' en 'bloem.jpg.exe' als 'bloem.jpg'.
Zeror @ApexAlpha22 april 2015 18:13
Ja, dat begrijp ik. Maar een hoop mensen weten nog geen eens wat die extensies betekenen al zouden ze die al zien. Die mensen komen meestal niet verder dan dat ze weten dat een jpg een foto is en doc een word bestand.
kritischelezer @Zeror22 april 2015 18:23
Is op 2 manier triest.

Dat de medewerkers dit soort fimpjes willen bekijken (in werktijd).
Dat de medewerkers niet weten dat dit niet kan ivm veiligheid.... 8)7
thefal @PilatuS22 april 2015 15:18
Standaard laat Windows bekende extenties niet eens zien. Aangezien veel mensen oko niet de gedetailleerde view gebruiken van Explorer, ziet men dan enkel "het bestand "Monkeys", eventueel zelfs met een screenshot uit de video zoals zou gebeuren bij videobestanden.

Mag zoiets basaals alsnog niet fout gaan natuurlijk, maar dat terzijde.
PilatuS @thefal22 april 2015 15:23
In de mailbox kan je de extentie wel zien staan. Als je daar kijkt welke bestanden er in de zip file zitten zie je de .exe wel staan.
jimmy_dg @PilatuS22 april 2015 16:25
Als je het verbergen van extensies aan hebt staan, wat standaard gebeurt in Windows, is het echt onmogelijk om het verschil te zien tussen een .exe en een legitiem .avi/.mp4 bestand.
Zelfs al heb je extensies tonen aan staan, en de bestandsnaam is nogal lang dan is de kans dat je het bestand alsnog opent vrij groot.
xFeverr @jimmy_dg22 april 2015 16:37
Nee hoor... Er staat 'Toepassing' naast of onder, afhankelijk van de weergave.

Bovendien wordt er in een zip file niet het icoon geladen, maar het standaard .exe icoontje weergegeven

[Reactie gewijzigd door xFeverr op 22 juli 2024 15:27]

THA_ErAsEr @PilatuS23 april 2015 10:49
LMAO, mensen die in het witte huis werken zouden hier toch iets van moeten kennen... Wie opent er nu een zip en exe om een filmpje te bekijken...
bArAbAtsbB 22 april 2015 15:20
ik vind t ongelofelijk....wat mensen allemaal wel niet gewoon klikken.....de regels zijn heel simpel...als je mail krijgt van iemand die je niet kent...en er zit een zipje in of je moet een link klikken om iets te zien....WEGGOOIEN! klaar geen enkel probleem meer!
.
99% van alle computerproblemen wordt veroorzaakt tussen het toetsenbord en de grond! ;)
Greendike @bArAbAtsbB23 april 2015 09:00
Totdat ze de mail van een vriend/kennis etc hebben gehacked en via dat adres een bestand naar je mailen..
Quilt 22 april 2015 15:06
Het lijkt me sterk dat je zomaar executables (zelf in een .zip) kan mailen naar het witte huis, en dat die dan nog -zonder screening - uitgevoerd kunnen worden.
Veel organisaties met lagere beveiligingsnoden staan zo'n dingen al lang niet meer toe.
Zeror @Quilt22 april 2015 16:10
Wellicht opende iemand de mail vanuit zijn/haar eigen laptop welke op dat moment verbinding had via de wifi van het Witte Huis.
smiba @Zeror22 april 2015 17:58
En op die manier inbreken? Lijkt me dan weer slecht dat er überhaupt onbeveiligde systemen op het netwerk mogen.
Verkleiner 22 april 2015 15:07
Mocht dit gelukt zijn dan zie je maar weer dat het grootste lek in een systeem niet het systeem zelf is maar de gebruiker. :P
Verwijderd 22 april 2015 15:09
.exe bestanden openen uit onbekende bron in het witte huis? dit geloof je toch niet. Zijn mensen die bij het witte huis werken dan zo slecht ingelicht over beveiliging? En dan hem ook nog doorsturen naar andere medewerkers. Dit klinkt als een late 1 april grap. Dit is het filmpje: https://www.youtube.com/watch?v=ywL-NhLQUP4

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:27]

houseparty 22 april 2015 15:11
Hoewel de malware geavanceerd is, zou het bij gebruikers wel achterdocht moeten wekken dat een collega een filmpje stuurt in een zip-bestand.
Dat niet alleen. Maar ook omdat de zip twee .exe bestanden bevat?

Een filmpje is geen .exe bestand. Nu zal de gemiddelde ambtenaar in het Witte Huis wellicht te weinig kennis hebben van de doos met beeldscherm, muis/touchpad en keyboard waar hij achter zit om dat te kunnen bedenken. Maar het laat wel weer zien dat de zwakste schakel in elke beveiliging meestal de gebruiker is.

[edit]
typo

[Reactie gewijzigd door houseparty op 22 juli 2024 15:27]

Punica- 22 april 2015 15:11
Wat een retard van een mail/security admin hebben ze daar. Zet OF een knappe virusscanner voor alle inkomende email., of drop .zip's / .exe's als attachment sowieso.
LopendeVogel @Punica-22 april 2015 16:34
Naar mijn weten is er niet echt belangrijke info gejat, mij lijkt dus dat ze een bepaald netwerk hebben voor hun gebruikers die dit soort zaken wel toelaat. Het klinkt alleen extreem ernstig omdat het om het Witte Huis gaat. Maar ik kan me goed indenken dat elk ander systeem waar wel belangrijke info op staat, dit niet zo 1,2,3 krijgen.
GORby 22 april 2015 15:16
Ik zou het sowieso al raar vinden moest je in een dergelijke omgeving zomaar untrusted executables kunnen opstarten. Ik zou eerder verwachten dat alleen whitelisted apps opgestart kunnen worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq