Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties

Hackers zijn mogelijk binnengedrongen in de computersystemen van het Witte Huis door malware te verspreiden via een mail met een filmpje van apen in een kantoor. Het apenfilmpje is een onderdeel van de malware die hackers gebruikten.

De onderzoekers van Kaspersky hebben de malware in een posting op SecureList CozyDuke genoemd. Als begin van de aanval sturen de hackers een zip-bestand naar medewerkers met daarin een Flash-video van apen in een kantoor. Bij het openen komen er twee bestanden in een tijdelijke map: Monkeys.exe die het videobestand afspeelt en Player.exe, de daadwerkelijke malware.

Terwijl gebruikers het filmpje aan het kijken zijn, detecteert de malware welk antiviruspakket op de pc staat en omzeilt dit vervolgens. Als de malware op de pc staat, gebruiken de hackers een command&control-server om opdrachten te sturen.

De malware verspreidt zich doordat collega's elkaar de filmpjes doorsturen. Hoewel de malware geavanceerd is, zou het bij gebruikers wel achterdocht moeten wekken dat een collega een filmpje stuurt in een zip-bestand. De hack in het Witte Huis raakte in oktober bekend. Hoewel Kaspersky zegt te weten dat het gaat om CozyDuke-malware bij die hack, kent die ook andere verschijningsvormen. Zo kunnen hackers ook proberen om gebruikers te verleiden op een link te klikken van een vertrouwde site, waarna daarop de malware blijkt te staan die zichzelf vervolgens installeert.

Moderatie-faq Wijzig weergave

Reacties (79)

Voor de geÔnteresseerden, hier het filmpje: https://www.youtube.com/watch?v=vdWHucg900U
Het hele filmpje is best amusant als je je zwaar verveelt, of grote noodzaak hebt tot ontspanning!

Wat ik wel bijzonder vind, is dat uit de hack een beetje het beeld naar voren komt alsof het witte huis nauwelijks anti-Skimming maatregelen had. Dat een nieuw technologisch virus nog door een virusscanner komt kan ik mij voorstellen maar E-mails filteren op *.exe bestanden, of vreemde *.exe bestanden onuitvoerbaar maken werd schijnbaar niet gedaan.

Wat opvallend is aan de hacks van
  • Het Witte Huis
  • De koreaanse kerncentrales
  • Sony
Dat men in alle drie de gevallen in belangrijke systemen kon en schade kon aanrichten, maar dat men bij alle drie niet in de qnx backbone konden van de organisatie. Bij de kerncentrales kwam men niet in die vitale systemen, in het witte huis bleef de mobiele infrastructuur net als het meest geheime pc systeem overeind. Ook bij sony kon men terugvallen op qnx toen alle systemen in puin lagen.

Het is een appart verband tussen die drie hacks. Toch blijft bij mij de vraag waarom men in het Witte huis zo makkelijk een *.exe kon laten draaien. Dat hoort niet te kunnen.
Niet een *.exe, maar een *.zip met daarin een *.swf. Dan is er toch iets serieus mis met je beveiliging: mensen niet goed opgeleid over "internetveiligheid" en domme mensen die teveel rechten hebben lijkt me zo.
Als begin van de aanval sturen de hackers een zip-bestand naar medewerkers met daarin een Flash-video van apen in een kantoor. Bij het openen komen er twee bestanden in een tijdelijke map: Monkeys.exe die het videobestand afspeelt en Player.exe, de daadwerkelijke malware.
Zoals ik lees, is het bestand dat de schade toebrengt een gewoon *.exe bestandje, dat verpakt zat in een zip-file. Dat die *.exe naast het virus installeren en de data verzameling ook een *.swf afspeelt ter afleiding is slim. Maar volgens het bronartikel is het component dat de schade aanbrengt is toch de *.exe die de WIN32 api aanspreekt, en op zoek gaat naar de virusscanners om die te neutraliseren.
Om heel flauw te zijn, wat jij nu doet is precies de reden dat er nog steeds virussen succesvol verspreid kunnen worden.
Jij hebt het artikel niet goed gelezen en zo lezen andere mensen hun email niet goed en klikken overal op.

Het komt op hetzelfde neer :) Niet goed opletten / lezen.
Dom? Nee.
Onwetend? Ja. ;)
Het filmpje met apen in een kantoor is wat dat betreft ook wel toepasselijk gekozen door die hackers :+
Blijkt toch weer dat het grootste gat in de beveiliging voor het toetsenbord zit.
Je verwacht inderdaad dat er bij .zip files automatisch al een melding moet komen. Van het Witte Huis had je toch anti-virusmeuk mogen verwachten die ook in de .zip files scant en test in een zandbakje o.i.d.
Mwoah, ik neem aan de het publieke kantoornetwerk van het Witte Huis niet , bijvoorbeeld, de lanceercodes van alle VS nukes bevat. Op z'n best de interne agenda van Obama.
Informatie kan voor sommige mensen erg waardevol zijn.
Hier het filmpje in HD: https://www.youtube.com/watch?v=M0jRTkXz4hw

Ik probeer hier iets duidelijk te maken. Niet alleen in het Witte Huis klikken mensen zonder te kijken.

[Reactie gewijzigd door 3raser op 22 april 2015 16:01]

je vergelijking is best wel krom want
1 het is een zip bestand
2 het is de witte huis dus verwacht je dat je bestanden niet zomaar mag openen.

en om te vertellen dat elke link een malware kan zijn dan kunnen we gelijk het hťle internet gaan blocken....
De vergelijking is nog krommer want je kan niet zomaar bestanden onder valse namen aanbieden.
Nice try comrad! ;)
Met of zonder malware? :D
Blijf het toch raar vinden dat mensen nog steeds zonder denken .exe bestanden openen.
Vind ik ook. Als je van een onbekend email adres iets krijgt dan open je dat niet. Als het onderwerp van het mailtje zou zijn "video". Dan ben je toch slim genoeg om te weten dat een filmpje nooit een .exe bestand kan zijn..
Een tweaker wel ja. Een gemiddelde office gebruiker werkt op een systeem waar bestandextenties standaard niet zichtbaar zijn en deze mensen hebben daardoor geen idee wat voor extentie bij een bepaald bestandstype hoort.

Wat mij meer verbaast is dat op het witte huis blijkbaar geen mailscanner gebruikt wordt om .exe bestanden in mails (danwel verstopt in .zip bestanden) te blokkeren.
Wellicht was men van mening dat de Anti-virus gewoon zou werken, maar wat dus bliijkbaar eenvoudig te omzeilen valt.
Inderdaad, die reactie krijg ik ook vaak wanneer ik een PC binnen krijg waar een virus op zit. Er zijn mensen die op alles klikken, want ze hebben toch een virusscanner...
Een gemiddelde office gebruiker werkt op een systeem waar bestandextenties standaard niet zichtbaar zijn en deze mensen hebben daardoor geen idee wat voor extentie bij een bepaald bestandstype hoort.
Hier geef ik je gelijk in, maar als je in Windows Verkenner bent, kan je zien bij "type" zien wat voor soort bestand het is. Dit staat standaard aan bij elke Windows (in ieder geval wel bij 8.1) die je installeert :).
Wat mij meer verbaast is dat op het witte huis blijkbaar geen mailscanner gebruikt wordt om .exe bestanden in mails (danwel verstopt in .zip bestanden) te blokkeren.
Dit vind ik ook erg raar. Ik had een wel wat betere beveiliging verwacht van het witte huis. Hopelijk hebben ze er van geleerd ;).
Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?

Dat als je je computer laat inloggen op een bekabeld of draadloos netwerk dat je vanaf die laptop/desktop geen internet connectie kan opzetten en alleen maar toegang hebt tot die virtuele desktop omgeving ?

Misschien iets te kort door de bocht aangezien er nogal wat variabelen mee spelen maar hiermee kan je toch redelijk veiliger werken ? Zeker bij overheidsinstanties en plekken waar gevoelige data ligt en word bewerkt ?
Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?
Dat kan, dan kan je net zo goed Deepfreeze installeren op de pc's :). Werkt ook goed.

[Reactie gewijzigd door AnonymousWP op 22 april 2015 15:36]

Zou het niet handig zijn voor zulke organisaties om gebruikers verplicht te laten gebruik maken van een virtuele windows/linux omgeving ? En deze iedere nacht te laten vervangen van een nieuwe image ?
Dat bestaat gelukkig al en heet VDI, VMware Horizon doet daar erg leuke dingen mee. Fijn een stateless virtual desktop aanmaken die na uitloggen zichzelf uitschakelen en verwijderen.
Bij het inloggen wordt er keurig een nieuwe VM voor je gestart op basis van de master image.
Als je dit nog een s combineert met applicatie virtualisatie (APP-V of ThinApp) en je andere applicaties zoveel mogelijk via een browser laten werken heb je een erg prachige oplossing en voorkom je dat je al je machines moet opschonen bij een virus uitbraak.
Heeft iemand iets fout gedaan, geen problem, uitloggen en opnieuw inloggen, krijg je een nieuwe VM en je kunt weer zonder gegevens of dataverlies aan de slag.

[Reactie gewijzigd door walteij op 22 april 2015 15:52]

De gemiddelde gebruiker logt 1x per dag in. De vm zal dus makkelijk 8 uur lopen. Dat is genoeg tijd om andere systemen te besmetten.
Daarnaast verwacht ik dat bij het witte huis wel een soort ploegendienst is met een overlap van starten. Dus kan zo'n virus gewoon continue online blijven in het systeem.
Met een beetje pech springt het over naar de backend systemen die continue aan staan...

Bij het witte huis verwacht je workspace control, waarbij je alleen whitelisted applicaties kan starten.
Blijf het toch raar vinden dat mensen nog steeds zonder denken .exe bestanden openen.
Vertrouw altijd op de onwetendheid van een grote groep mensen. De kans op teleurstelling is nihil. ;)

Wat mij ook verbaasd (net als wat Quilt aangeeft) is dat executables in ZIP bestanden gemaild kunnen worden. Voor kantoorwerk is hier geen business case voor, en het verbaasd mij dat mails met een ZIP (met daarin een executable) niet meteen stilletjes naar /dev/null of NUL worden doorgestuurd.
Wie verstuurd er uberhaupt nog .mov,.wmv of .avi via de email. Vreemd.
Youtube links zijn toch reeds normaal in gebruik op menig kantoorgebouw. Hier in ieder geval..
Als de bron vertrouwt lijkt dan klikt men al zeer snel iets open. Recent nog een collega gehad, die echt wel weet wat hij doet, die zonder nadenken een attachment in een e-mail had open gedaan met een besmetting tot gevolg. Het kan echt iedereen overkomen. Dat is net de kracht van social engineering en dat toont net aan dat wij zelf de zwakste schakel zijn en blijven in de beveiligingsketen.
problem is between keyboard and chair


tja ik kan eender welk bedrijf opbellen en zeggen van "hi ik ben jef van IT, we zijn een aantal updates van u pc aan het installeren, kan ik even uw wachtwoord?"
Ik blijf het eerder gek vinden dat het de hele tijd technisch mogelijk is dat dit soort dingen kunnen. Personeel is voor een bepaalde functie aangenomen, niet om een ICT-er te spelen. Als je bedrijf om zeep kan liggen door een medewerker, dan is er iets niet goed genoeg afgebakend imo.
Het zal je verbazen hoe brak de beveiliging bij sommige bedrijven is.

Ik werk bij een groot bedrijf en hIer kregen we laatst te horen dat we toch echt een sterk passwoord moesten bedenken. Alleen is er geen passwoord policy ingesteld dus je kan gewoon 123456 oid als passwoord gebruiken...
Dat een onbekende .exe uitgevoerd kan worden is nog erger.
In windows staat standard het weergeven van bestandsextenties uit.
Waarom is dat raar. Alsof een gebruiker weet dat het een executable is. Honderden, al dan niet duizenden mensen tanken zelfs diesel in plaats van benzine of visa-versa. Dus tja, zo raar is het dan niet dat iemand in feite zelfstandig malware installeert.
Een filmpje met een .exe extentie zegt al genoeg. Helaas zegt dit voor een hoop mensen natuurlijk niets.
Een filmpje met een .exe extentie zegt al genoeg. Helaas zegt dit voor een hoop mensen natuurlijk niets.
Het merendeel ziet het .exe deel niet eens van de bestandsnaam.
Het merendeel ziet de extensie wellicht wel, maar weet niet eens wat het betekent. Ik denk dat datgene het probleem is.
Ik bedoel meer dat vaak 'bekende extenties' verbergen opties aanstaat. Hierdoor zie je 'setup.exe' gewoon als 'setup' en 'bloem.jpg.exe' als 'bloem.jpg'.
Ja, dat begrijp ik. Maar een hoop mensen weten nog geen eens wat die extensies betekenen al zouden ze die al zien. Die mensen komen meestal niet verder dan dat ze weten dat een jpg een foto is en doc een word bestand.
Is op 2 manier triest.

Dat de medewerkers dit soort fimpjes willen bekijken (in werktijd).
Dat de medewerkers niet weten dat dit niet kan ivm veiligheid.... 8)7
Standaard laat Windows bekende extenties niet eens zien. Aangezien veel mensen oko niet de gedetailleerde view gebruiken van Explorer, ziet men dan enkel "het bestand "Monkeys", eventueel zelfs met een screenshot uit de video zoals zou gebeuren bij videobestanden.

Mag zoiets basaals alsnog niet fout gaan natuurlijk, maar dat terzijde.
In de mailbox kan je de extentie wel zien staan. Als je daar kijkt welke bestanden er in de zip file zitten zie je de .exe wel staan.
Als je het verbergen van extensies aan hebt staan, wat standaard gebeurt in Windows, is het echt onmogelijk om het verschil te zien tussen een .exe en een legitiem .avi/.mp4 bestand.
Zelfs al heb je extensies tonen aan staan, en de bestandsnaam is nogal lang dan is de kans dat je het bestand alsnog opent vrij groot.
Nee hoor... Er staat 'Toepassing' naast of onder, afhankelijk van de weergave.

Bovendien wordt er in een zip file niet het icoon geladen, maar het standaard .exe icoontje weergegeven

[Reactie gewijzigd door xFeverr op 22 april 2015 16:38]

LMAO, mensen die in het witte huis werken zouden hier toch iets van moeten kennen... Wie opent er nu een zip en exe om een filmpje te bekijken...
ik vind t ongelofelijk....wat mensen allemaal wel niet gewoon klikken.....de regels zijn heel simpel...als je mail krijgt van iemand die je niet kent...en er zit een zipje in of je moet een link klikken om iets te zien....WEGGOOIEN! klaar geen enkel probleem meer!
.
99% van alle computerproblemen wordt veroorzaakt tussen het toetsenbord en de grond! ;)
Totdat ze de mail van een vriend/kennis etc hebben gehacked en via dat adres een bestand naar je mailen..
Het lijkt me sterk dat je zomaar executables (zelf in een .zip) kan mailen naar het witte huis, en dat die dan nog -zonder screening - uitgevoerd kunnen worden.
Veel organisaties met lagere beveiligingsnoden staan zo'n dingen al lang niet meer toe.
Wellicht opende iemand de mail vanuit zijn/haar eigen laptop welke op dat moment verbinding had via de wifi van het Witte Huis.
En op die manier inbreken? Lijkt me dan weer slecht dat er Łberhaupt onbeveiligde systemen op het netwerk mogen.
Mocht dit gelukt zijn dan zie je maar weer dat het grootste lek in een systeem niet het systeem zelf is maar de gebruiker. :P
.exe bestanden openen uit onbekende bron in het witte huis? dit geloof je toch niet. Zijn mensen die bij het witte huis werken dan zo slecht ingelicht over beveiliging? En dan hem ook nog doorsturen naar andere medewerkers. Dit klinkt als een late 1 april grap. Dit is het filmpje: https://www.youtube.com/watch?v=ywL-NhLQUP4

[Reactie gewijzigd door Darkno1 op 22 april 2015 15:12]

Hoewel de malware geavanceerd is, zou het bij gebruikers wel achterdocht moeten wekken dat een collega een filmpje stuurt in een zip-bestand.
Dat niet alleen. Maar ook omdat de zip twee .exe bestanden bevat?

Een filmpje is geen .exe bestand. Nu zal de gemiddelde ambtenaar in het Witte Huis wellicht te weinig kennis hebben van de doos met beeldscherm, muis/touchpad en keyboard waar hij achter zit om dat te kunnen bedenken. Maar het laat wel weer zien dat de zwakste schakel in elke beveiliging meestal de gebruiker is.

[edit]
typo

[Reactie gewijzigd door houseparty op 22 april 2015 15:14]

Wat een retard van een mail/security admin hebben ze daar. Zet OF een knappe virusscanner voor alle inkomende email., of drop .zip's / .exe's als attachment sowieso.
Naar mijn weten is er niet echt belangrijke info gejat, mij lijkt dus dat ze een bepaald netwerk hebben voor hun gebruikers die dit soort zaken wel toelaat. Het klinkt alleen extreem ernstig omdat het om het Witte Huis gaat. Maar ik kan me goed indenken dat elk ander systeem waar wel belangrijke info op staat, dit niet zo 1,2,3 krijgen.
Ik zou het sowieso al raar vinden moest je in een dergelijke omgeving zomaar untrusted executables kunnen opstarten. Ik zou eerder verwachten dat alleen whitelisted apps opgestart kunnen worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True