Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties

De geavanceerde malware die beveiligingsbedrijf Kaspersky Labs dit jaar trof, en waar het bedrijf onder de noemer Duqu 2.0 naar verwijst, maakte gebruik van een gestolen digitaal certificaat van Foxconn bij de infectie.

Kaspersky heeft meer details gepubliceerd over de werking van Duqu 2.0, de geraffineerde malware waarmee het bedrijf besmet bleek. Ook de ict-infrastructuur van hotels waar westerse landen met Iran diplomatieke onderhandelingen voerde, werd getroffen, waardoor gedacht wordt aan een spionagetool van staatshackers.

De 64bit-driver die Duqu 2.0 gebruikte voor de heimelijke installatie maakte gebruik van een geldig digitaal certificaat dat in februari 2015 ondertekend was door Hon Hai Precision Industry. Een geldig certificaat is verplicht voor drivers op de 64bit-versies van Windows. Hon Hai is het bedrijf dat onder de naam Foxconn hardware maakt voor tal van grote computer-, tablet- en smartphonefabrikanten als Apple, Microsoft, Dell en HP. Eerder gebruikten de aan Duqu 2.0 verwante malware Stuxnet- en Duqu 1.0-certificaten van de Taiwanese bedrijven Jmicron en Realtek voor infecties.

Kaspersky tekent aan dat de aanvallers tot nu toe nog geen certificaten twee keer gebruikt hebben, waardoor de vrees bestaat dat ze genoeg alternatieven hebben. Digitale certificaten worden als handtekening gebruikt om de authenticiteit van software te bevestigen en diefstal en misbruik ervan ondermijnt het vertrouwen in de authenticatiemethode.

De Duqu-malware wist ervoor te zorgen dat drivers zich op firewalls, gateways en servers die bedrijfsnetwerken met internet verbonden, konden nestelen. Na invoering van een geheim codewoord, 'romanian.antihacker', konden de drivers remotedesktop- en smb-verkeer doorsluizen en dit er als https-verkeer uit laten zien. Ook maakte Duqu 2.0 gebruik van poort 47012, waarvan bij Kaspersky geen eerdere voorbeelden bekend zijn.

Kapsersky Duqu 2 Hon Hai

Moderatie-faq Wijzig weergave

Reacties (18)

Tsja, dit soort aanvallen, daar kun je slechts bij stil staan en naar kijken.

Als een bedrijf als Kaspersky - waar de grootste experten zitten wat betreft malware - een hele tijd ge´nfecteerd kan zijn met een virus (lees: geavanceerd spionagetool), dan moeten we ons niet teveel illusies maken.

Vermoedelijk is bedrijfsspionage door overheden op deze manier ook schering en inslag vandaag de dag. Als de belangen maar groot genoeg zijn, en technische expertise dit mogelijk maakt, dan mag je ervanopaan dat het realiteit is. Daar is een beveiligingsafdeling van om het even welk bedrijf niet tegen opgewassen (tenzij Kaspersky en aanverwanten, na een paar maanden/jaren ge´nfecteerd te zijn).

[Reactie gewijzigd door TheBlackbird op 16 juni 2015 14:37]

En dan zijn er mensen die denken dat ze veilig zitten omdat ze een virusscanner hebben en die "alles ok" rapporteert...
Of tweakers die geen AV scanner hebben. Want zij weten ze doen...
Een AV is als een waterfilter dat een onbekend en potentieel significant deel van de vervuilende deeltjes simpelweg in het water laat zitten, en dat is voordat we het hebben gehad over stuxnet/duqu/flame etc of over het feit dat zo'n filter nogal wat recources opeist.
In die zin is het beter dan niets (al helemaal voor Windows gebruikers en in toenemende mate OS X gebruikers) maar ook als je het wel gebruikt moet je niet de illusie hebben dat je water dan per definitie schoon genoeg is om te drinken.
Dit soort malware is enkel bedoeld voor bedrijven of overheidsinstellingen. Op je PC thuis komt dit nooit terecht. Dus als je antivirus rapporteert dat alles ok is mag je relatief gerust zijn dat dat zo is.
Dit soort malware is enkel bedoeld voor bedrijven of overheidsinstellingen. Op je PC thuis komt dit nooit terecht. Dus als je antivirus rapporteert dat alles ok is mag je relatief gerust zijn dat dat zo is.
Zo begint ieder botnet.
Botnets bestaan bij gratie van ongepatchte Windows-installaties zonder (een geupdatete) antivirus. De kans is zeer klein dat je deel gaat uitmaken van een botnet met een up-to-date Windows en recente antivirus ala Kaspersky/Bitdefender/Avira/etc.

Geavanceerde virussen als Duqu worden bewust niet op grote schaal ingezet om detectie te voorkomen. Dus als er een op een consumenten PC terecht komt is dat per toeval en zal het zich ook niet verder verspreiden.

[Reactie gewijzigd door TheBlackbird op 16 juni 2015 20:42]

Botnets bestaan bij gratie van ongepatchte Windows-installaties zonder (een geupdatete) antivirus. De kans is zeer klein dat je deel gaat uitmaken van een botnet met een up-to-date Windows en recente antivirus ala Kaspersky/Bitdefender/Avira/etc.
Middels Zero Day Exploits is ieder systeem vatbaar, ongeacht of je up-to-date bent of niet. Als het een nieuw virus betreft waarvoor geen definitie bestaat (of heuristics overeenkomen), dan maakt het zelfs vrij weinig uit of je een virusscanner hebt. Daarnaast is ook Kaspersky niet waterdicht, getuige de maandenlange infectie.
Dat dit specifieke virus zeer geavanceerd is en beperkt wordt ingezet betekent uiteraard niet dat soortgelijke exploits niet door andere virussen of rootkits worden misbruikt. Waarbij je als gebruiker het nadeel hebt dat virusscanners niet altijd rootkit-ondersteuning ingebakken hebben...
Geavanceerde virussen als Duqu worden bewust niet op grote schaal ingezet om detectie te voorkomen. Dus als er een op een consumenten PC terecht komt is dat per toeval en zal het zich ook niet verder verspreiden.
Zoals ook Stuxnet vrij weinig doet op het moment dat het systeem niet aan de requirements voldoet? Dan nog kan het zichzelf doorsturen om een ander doelwit te vinden welke wel voldoet aan de requirements. Dat je geen nadelen ervaart betekent niet dat je niet ge´nfecteerd bent.

Het lijkt mij in ieder geval niet geheel verkeerd om iets meer parano´de te zijn dan 'A/V zegt OK, dan zal het wel zo zijn'. Computers zijn vaak iets minder magisch dan dat men vaak denkt of graag zou willen.
Ik doelde eigenlijk op bedrijven.
Ik ken veel managers die geloven dat antivirus programma's (alle) virussen tegen houden, net zoals er al van collega's zijn die niet snappen hoe het in z'n werk gaat...

Een antivirus programma is schijn. Ik wil jou gerust eens een *.exe sturen als je er toch zo in gelooft ;-)
Dit ziet er niet naar uit dat dit op een zolderkamertje is gemaakt maar in teamverband om echt ergens achter te komen.
Zo zie je maar weer: een certificaat is geen garantie voor veiligheid.

Ik meen me iemand hier op T.net te herinneren die van de week nog vol overgave probeerde te concluderen dat https ook voor encryptie zorgt en 'dus' veilig is. Mja. Dat dat maar ten dele waar is, was natuurlijk al bekend, en dit is een lichtend voorbeeld.
Het probleem is m.i. dat de geldigheid van een certificaat niet beperkt wordt tot een bepaald domein of tot bepaalde hashes van uitvoerbare bestanden, maar dat elk certificaat door de meeste systemen geaccepteerd wordt voor elk willekeurig domein of hash.

Zo dachten onze browsers bij de Diginotar-hack dat het wel prima was als Google.com een certificaat van een klein Nederlands bedrijf gebruikte, terwijl dat natuurlijk niet zou moeten kunnen; ze zouden slechts ÚÚn certificaat voor dat domein moeten accepteren, en wel een dat specifiek voor dat domein uitgegeven is door Google Inc, zoals het echte certificaat voor Google.com (kijk maar in je browser).

Gelukkig zijn browsers nu eindelijk bezig om certificaten aan specifieke domeinen te koppelen, maar dat had veel eerder gemoeten. En ook moet er eens werk gemaakt worden van een soortgelijk systeem voor uitvoerbare bestanden.
Even voor mijn beeldvorming, maar hoe steel je een certificaat en hoe kan het dat er geen alarmbel gaat rinkelen bij HonHai//Foxconn?
Het is niet de eerste keer dat een bedrijf uit Taiwan hier voor is misbruikt.
Het is Realtek / JMicron ook overkomen met het Stuxnet virus.
Dat staat er ook letterlijk in het artikel.
En de origine maakt niet zo veel uit, aangezien er gewoon relatief gezien veel bedrijven 'daar ergens' gevestigd zijn.
Dat zie ik nu ook ja, ik ging even op de titel af.
En ze hebben nog steeds ruzie met dat stuk vaste land dat ook China heet.

Heb een vergelijkbaar stuk op Wired gelezen:
http://www.wired.com/2015/06/foxconn-hack-kaspersky-duqu-2/
Surinaamse hacker? Doekoe 2.0 ? :+
Of een rappert.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True