'Malware-aanval Bondsdag-hack richtte zich op meer internationale organisaties'

De omvangrijke malwarebesmetting waar het netwerk van het Duitse parlement afgelopen zomer mee kampte, vond zijn oorsprong in een mail die afkomstig leek van de Verenigde Naties. Ook andere internationale organisaties kregen deze mail.

BundestagDe mail die voor de besmetting zorgde had als onderwerp 'Ukraine conflict with Russia leaves economy in ruins' en leek afkomstig van een adres met un.org als domeinnaam. In de mail zat een link naar een 'UN News Bulletin', maar in werkelijkheid verwees deze naar een pagina met malware. De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung. De pagina waar de malware op staat of stond is wel geblokkeerd.

De krant meldt ook dat meerdere internationale organisaties de mail kregen, al is niet bekend welke en ook niet of dat tot infecties heeft geleid. Een medewerker van de Duitse inlichtingendienst liet een onderzoekscommissie in Duitsland de nieuwe details afgelopen week weten. Het netwerk van de Bondsdag werd in de zomer door een omvangrijke aanval lamgelegd en beheerders kregen de besmetting niet onder controle. Ook na maanden onderzoek is er nog veel onduidelijk over de aanval.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 13-09-2015 09:12 17

13-09-2015 • 09:12

17

Lees meer

Onderzoekers vinden lekken in Duits systeem voor overheidscommunicatie
Onderzoekers vinden lekken in Duits systeem voor overheidscommunicatie Nieuws van 3 juli 2017
'Aantal Russische internetaanvallen op Duitse politieke partijen neemt toe'
'Aantal Russische internetaanvallen op Duitse politieke partijen neemt toe' Nieuws van 9 december 2016
Duits industriebedrijf ThyssenKrupp was doelwit van hackers
Duits industriebedrijf ThyssenKrupp was doelwit van hackers Nieuws van 8 december 2016
Hacker zet honderden documenten Amerikaanse Democratische partij online
Hacker zet honderden documenten Amerikaanse Democratische partij online Nieuws van 16 juni 2016
Duitsland schrijft malware-aanval op Bondsdag aan Rusland toe
Duitsland schrijft malware-aanval op Bondsdag aan Rusland toe Nieuws van 13 mei 2016
VN wil ict-beveiligingstak opzetten met 'digitale blauwhelmen'
VN wil ict-beveiligingstak opzetten met 'digitale blauwhelmen' Nieuws van 17 december 2015
G Data: hackers Duits parlement maakten gebruik van banktrojan
G Data: hackers Duits parlement maakten gebruik van banktrojan Nieuws van 16 juni 2015
'Duits parlement krijgt malware al maand niet verwijderd'
'Duits parlement krijgt malware al maand niet verwijderd' Nieuws van 10 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (17)

-Moderatie-faq
17
15
11
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
gamezfreak 13 september 2015 09:23
Ik vraag mij echter toch af of de security niet hoog genoeg staat. Voor hetzelfde geval hebben diegenen achter de malware nu gevoelige informatie waarmee zij kunnen dreigen.

Tegenwoordig weet je het maar ook nooit met al die e-mails waarvan het oorspronkelijke adres wordt gebruikt om jou te misleiden. Zo is het zelfs mogelijk om een e-mail adres van één van je contacten te gebruiken om vervolgens de malware door te sturen zonder dat je dat doorhebt.
Blokker_1999
@gamezfreak13 september 2015 12:07
Hoe wil je de security nog verhogen? Mail gaan verbieden? Het maakt niet uit hoe goed je beveiliging is, de zwakste schakel kan je niet elimineren. Die zwakste schakel is nog altijd de eindgebruiker.

En tuurlijk kan je de beveiliging nog sterk gaan verhogen, maar dan ga je diezelfde eindgebruiker ook zo dwars gaan zitten dat die zijn/haar werk niet meer goed kan doen en ga je niets dan klachten krijgen.
Tribits @Blokker_199913 september 2015 15:25
In zijn algemeenheid mag de eindgebruiker dan de zwakste schakel zijn, maar dit klinkt mij toch als een geval waar voornamelijk de techniek tekort geschoten is. Het enige dat je de gebruikers kan verwijten is dat ze op een link geklikt hebben waarvan ze hadden kunnen zien dat die niet te vertrouwen was. Het is echter twijfelachtig of de link inderdaad als dusdanig te herkennen was, de VN bestaat uit een groot aantal organisaties die gebruik maken van tal van domeinen die niet altijd even herkenbaar zijn. Ecosoc.com is bijvoorbeeld van een domain trader (linkje staat naar Ecosoc zelf) terwijl een ogenschijnlijk vreemd domain als unssr.unlb.org dan wel weer een echt VN domain is.

Of de security verhoogd kan worden is een vraag die je niet kan beantwoorden zonder te weten hoe die nu geregeld is. Het kan zijn dat de systemen niet volledig gepatched waren maar een hacker met voldoende middelen kan tegenwoordig ook probleemloos aan een echte zero day exploit komen. Malware en virusscanners hecht ik verder helemaal weinig waarde aan, leuk voor het standaard werk maar vrijwel zeker nutteloos bij gerichte aanvallen zoals deze.

Whitelisten van executables kan in bepaalde gevallen misschien nog helpen maar eist relatief veel inspanning en zal zeker de eerste tijd de gebruikers nog wel eens dwarszitten. Een maatregel als het whitelisten van URLs blijkt in de praktijk eigenlijk niet te handhaven, zeker niet voor een organisatie waar mensen zelf onderzoek moeten doen en ook in staat moeten zijn controversiële websites te bezoeken.
TryOG @Tribits14 september 2015 10:00
Misschien kunnen ze een interne sandbox software gebruiken waarbij runtime executables geen "gescheiden" data laden/opslaan (gewoon in een sandbox werken) totdat de gebruiker hier expliciet voor kiest. Ik denk dat eindgebruikers dit wel met open armen zullen verwelkomen (alleen als het gebruiksvriendelijk is).

Als de software intern is, kun je er dus ook moeilijker een sandbox bypass exploit voor maken. Zo voorkom je zulke zero-day scenario's (voor wanneer de anti-virus het nog niet detecteert).

Dan kun je de beperkende/vertragende toestanden die je met real-time heuristics, no-scripting regels, etc. krijgt ook best wel voorkomen lijkt mij.

Al met al denk ik dat het probleem fundamenteel ligt bij de algemene manier waarop wij zelf met software omgaan en dat dit softwarematig beter gemaakt kan worden voor de eindgebruiker.

[Reactie gewijzigd door TryOG op 27 juli 2024 00:23]

mar-10 @gamezfreak13 september 2015 10:50
Ik vraag mij echter toch af of de security niet hoog genoeg staat. Voor hetzelfde geval hebben diegenen achter de malware nu gevoelige informatie waarmee zij kunnen dreigen.
Enkel het netwerk van het parlament was gekraakt, niet van de overheid. Zaken die het parlament behandeld zijn in beginsel altijd openbaar (behalve commissie-stiekem-dingen).

De onafhankelijkheid van het parlament is in Duitsland zo belangrijk dat zij alles zelf onderhoud: een eigen politie, een eigen IT-infra, etc. De vraag is dan hoe men met berichten van de regering over de eigen beveiliging omgaat. Duitsers zijn soms heel erg koppig...
CAPSLOCK2000
@gamezfreak13 september 2015 14:28
Ik vraag mij echter toch af of de security niet hoog genoeg staat.
Nee, het is duidelijk niet goed genoeg maar de vraag is hoe het beter moet. We weten domweg niet hoe we (efficient) veilige computersystemen moeten maken, zeker niet als die ook nog gebruikersvriendelijk moeten zijn.

Je kan je afvragen of de IT niet te hard is gegaan. We weten allemaal wat de voordelen zijn, ik ben absoluut niet tegen IT, maar je kan je afvragen of we niet te veel risico nemen.

De stand van zaken in de IT doet me denken aan de bouwkunsten van de Romijnen. De Romijnen bouwden flats van soms wel 10 verdiepingen hoog maar ze misten het bouwkundig inzicht om dat echt goed te doen. Een constructie op de computer doorrekenen was er natuurlijk niet bij, het was vooral een kwestie van ervaring en grote veiligheidsmarges. Als je er maar genoeg geld en moeite tegen aan gooit kun je een Colosseum bouwen dat 2000 jaar later nog staat.

Helaas werden die flats vooral voor de armen gebouwd. Die hadden geen geld voor ervaren architecten en grote veiligheidsmarges. Mensen hebben een woning nodig en een gevaarlijke maar goedkope woning is beter dan geen woning.

De IT heeft daar wel wat trekjes van. Iedereen heeft tegenwoordig een computer nodig en als bedrijf moet je bijna een website hebben. Geen enkele bakker kan echter miljoenen euro's betalen om een écht goede website te laten ontwikkelen. Daarom koopt iedereen maar de software die ze wel kunnen betalen, ook al zit die vol gaten. Problemen worden over het algemeen niet opgelost door slimmer te bouwen maar door nog meer beton en bakstenen te gebruiken.

Eigenlijk zouden we pas op de plaats maken en 25 jaar lang al onze energie steken in het verbeteren van onze ontwikkelmethodes en het vervangen van alle rotte funderingen die we de afgelopen 50 jaar hebben gelegd. Maar ja, zo werkt het natuurlijk niet.


PS. De Romijnen hadden wel degelijk een hoop kennis van bouwkunde, ze konden bv meesterlijk goed koepels bouwen, maar ze misten de modellen en berekeningen om van te voren uit te rekenen of een constructie veilig is.

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 00:23]

The Zep Man
13 september 2015 09:25
De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung.
Hoe moeilijk is het om met een regular expression alle berichten in alle mailboxen af te gaan? Maak een (voor de gebruiker niet toegankelijke) backup van het bericht en verwijder het daarna. Zo kunnen gebruikers een lijstje krijgen met mail die verwijderd is, met de mogelijkheid om contact met support op te nemen indien een bericht onterecht is verwijderd. Tevens hoeven admins zo niet handmatig door mailboxen te snuffelen.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 00:23]

Onbekend @The Zep Man13 september 2015 09:37
Er zijn ook mailprogramma's die de mail gewoon downloaden en lokaal opslaan (en soms archiveren). Op de server is de mail dan wel verwijderd, maar bij de eindgebruiker is deze mail nog gewoon beschikbaar.
Squ1zZy 13 september 2015 09:46
Lijkt op een 0-day exploit? Of waren de machines niet gepatched?

Hoe werkt het eigenlijk? Hebben de leden hun eigen machine en loggen ze in via webmail? Of wordt deze uitgegeven en beheerd door een administrator? Dat links uberhaupt worden toegestaan vind ik wel apart. Bij deze functie zou je zeggen dat links niet zijn toegestaan.

Ben ook wel benieuwd hoe het verkrijgen van de mailadressen is gekomen. Of zou er een distributielijst zijn die makkelijk tegokken was 'parlement.de@un.org' b.v.
Blokker_1999
@Squ1zZy13 september 2015 12:09
hoe ga jij voorkomen dat links niet zijn toegestaan? Binnen de kortste keren vinden de gebruikers dan toch weer manieren om links naar elkaar door te sturen. Ook heel leuk als je informatie van externen krijgt en je de links waar zij naar verwijzen voor extra informatie niet eens kunt terugvinden in je mail.
Bor Coördinator Frontpage Admins / FP Powermod 14 september 2015 12:01
De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung.
Bijzonder, heeft men er dan niet voor gekozen om de mail centraal te verwijderen uit de datastores van de mailservers of is er iets anders aan de hand en ontvangt men de mail nog steeds / is er een spambot actief?
Verwijderd 13 september 2015 15:01
Misschien is het beter dat ze het personeel wat bijscholen over zulke gevaren ipv peperdure telefoons te kopen met "speciale beveiliging en encryptie" en weet ik wat nog allemaal.
kritischelezer 13 september 2015 18:16
Werken met een whitelist, alleen whitelisted sites mogen door op het netwerk... Dan hou je heel veel ellende buiten de deur.

[Reactie gewijzigd door kritischelezer op 27 juli 2024 00:23]

JasperDre 13 september 2015 20:12
Kerel, als ze nou een waarschuwings pop-up krijgen wanneer er een e-mail in een link zit en de content wordt gefilterd scheelt dat ook weer een hack.
Moob 14 september 2015 00:06
Of gewoon alleen tekst gebaseerde email toestaan, dus geen html of andere vormen van opmaak maar gewoon plain tekst. Dan is ook alles direct zichtbaar voor de ontvanger. Je gaat dan wel weer terug in de tijd maar zolang de gebruikers overal op klikken en scanners niet alles kunnen vinden moet je toch wat.

Maar goed, dan begint gelijk het management waarschijnlijk te zeuren dat de icoontjes in hun handtekening het niet meer doen. Ik denk ook niet dat er organisaties zullen zijn die zullen terug gaan naar alleen 'platte tekst' in de email, die schok is gewoon te groot.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq