Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties

In een onderzoek wijst het beveiligingsbedrijf BAE Systems op verschillende overeenkomsten tussen de internetaanval op twee banken en de aanval op Sony in november 2014. De aanvallen zijn mogelijk door dezelfde partij uitgevoerd.

Swift-logoVrijdag kwam betalingsorganisatie Swift met het nieuws dat een tweede bank naast de centrale bank van Bangladesh slachtoffer was geworden van een malware-aanval, maar noemde niet welke bank. Het onderzoek van BAE Systems noemt een bank in Vietnam, het is mogelijk dat dit de tweede getroffen bank betreft. Dit is echter niet bevestigd en Reuters was niet in staat om een antwoord te krijgen van de Vietnamese overheid. Vrijdag kwamen ook berichten naar buiten dat de aanvallers nog steeds aanwezig zijn in het netwerk van de centrale bank van Bangladesh, zo zou blijken uit onderzoek. Het zou gaan om drie groepen, waarvan één 'nation-state actor', bericht Reuters.

BAE Systems laat tegenover het persbureau weten dat zijn onderzoek is gericht op het verkrijgen van technisch bewijs en niet op het vaststellen van de identiteit van de aanvallers. Toch wijst het bedrijf in zijn bericht op een aantal opvallende overeenkomsten met de Sony-hack. Zo trok de opmerkelijke functionaliteit voor het verwijderen van bestanden als eerste de aandacht van de onderzoekers. Door het genereren van digitale handtekeningen van het bestand waren zij in staat om deze te vergelijken met items uit een grote malwaredatabase.

Uit deze vergelijking bleek dat het bestand in kwestie, msoutc.exe, eerder door een gebruiker in de VS naar de database was geüpload, namelijk op 24 oktober 2014. Dit is een maand voordat de hack op Sony bekend werd. Het bestand maakt een wederzijdse uitsluiting, oftwewel mutex, aan om na te gaan of de malware al aanwezig is op het systeem. Ook installeert het zich als een proces met de naam 'Indexing Manager'. Daarnaast houdt het logbestanden bij, die versleuteld zijn met een bepaalde sleutel.

De gevonden mutex kwam in combinatie met dezelfde encryptiesleutel voor in een analyse van PwC in 2015. Beide overeenkomsten zijn ook beschreven in een waarschuwing van het US-CERT van eind 2014, waarin het een tool beschrijft die is ingezet bij de hack op een 'groot entertainmentbedrijf'. Daarmee wordt hoogstwaarschijnlijk de Sony-hack bedoeld. Nadere details over de tool kwamen aan het licht in februari 2016, zo schrijft BAE Systems. Een belangrijke overeenkomst tussen de aanvallen op de banken en op Sony is ook dat de manier om bestanden te verwijderen ongewoon is, doordat een bestand eerst verplaatst en hernoemd wordt, voordat verwijdering plaatsvindt, vermoedelijk om herstel te bemoeilijken.

Andere overeenkomsten tussen de aanval op de banken en die op Sony zijn spelfouten, zoals 'Mozillar' in plaats van 'Mozilla' bij de Sony-aanval. Uit de beschrijving van BAE Systems lijkt het er niet op dat dezelfde spelfouten bij de verschillende hacks zijn vastgesteld, maar dat de bij elke hack gebruikte software verschillende spelfouten bevatte. Een andere overeenkomst is dat de software in alle gevallen in de Visual C++ 6.0-omgeving geschreven lijkt te zijn. BAE Systems geeft zelf al aan dat ook de mogelijkheid bestaat dat verschillende partijen dezelfde software hebben gebruikt, maar dat dit niet voor de hand ligt, omdat de code niet publiek beschikbaar is en niet voorkomt in andere software.

De hack op Sony werd door de VS toegeschreven aan Noord-Korea. Dat land ontkende echter elke betrokkenheid.

Moderatie-faq Wijzig weergave

Reacties (25)

Waarom moet er altijd zoveel gis en conclusiewerk gedaan worden bij zulke hacks? Een goed uitgevoerde hack zal ooit op dezelfde methode nog een keer geprobeerd worden elders, snap niet waarom er dan maar meteen weer wijzende vingertjes komen naar landen of groeperingen.

Ik mag aannemen dat een persoon (of groep) die zo'n hack kan uitvoeren, toch ook enige vorm van kennis heeft om z'n afkomst/motief enigszins te maskeren.
Ik mag aannemen dat een persoon (of groep) die zo'n hack kan uitvoeren, toch ook enige vorm van kennis heeft om z'n afkomst/motief enigszins te maskeren.
Je kan niet de afkomst spoofen van een vorige hack die je niet kent, dus als 2 hacks dezelfde kenmerken hebben dan mag je aannemen dat ze dezelfde oorsprong hebben.
Inderdaad! Of juist om het het werk te laten lijken van een ander....
Als jij als onderzoeker dit soort dingen onderzoekt dan kan je met je gut feeling en "fingerspitzengefühl" wel ongeveer zien welke patroon er in zit.

Als buitenstaander weet jij de details niet en weet je niet met welke dingen je te maken hebt om tot die conclusie te komen.
...Een andere overeenkomst is dat de software in alle gevallen in Visual C++ 6.0 geschreven lijkt te zijn...
Nou heb ik in het achterhoofd dat de signatuur van het gecompileerde resultaat tussen compiler versies niet veel hoeft te verschillen, maar waarom een IDE/compiler gebruiken die zo goed als 18 jaar oud is?
Ik was laatst bezig met het schrijven van een PHP Extensie en daarbij moest ik ook compilen in vs11, ook alweer 6 jaar oud geloof ik. Waarschijnlijk is er een framework waar gebruik van wordt gemaakt, al dan niet zelf geschreven, die wordt uitgebreid of aangepast naar wens. Zo'n framework, dat best ingewikkeld kan zijn, kan dus zomaar een aantal jaar ontwikkeling hebben gekost en die zet je niet zomaar over naar een nieuwere compilerversie.
er zijn scenarios waarbij je geen optimalisaties maar voorspelbare output/resultaten wilt.....
denk dan ook bijvoorbeeld aan veiligheidzaken die voor een hacker juist niet praktisch zijn

bovendien werken sommigen nog met echt oude projecten die weinig tot geen update nodig hebben en door nieuwe versies lastig of misschien zelfs helemaal niet te 'porten'/compileren zijn :)

[Reactie gewijzigd door t.vlinders op 13 mei 2016 20:45]

Noord Korea loopt een beetje achter ;)
Wat vraag ik me toch ontzettend af hoe de vormgeving en functies van zo een stuk software werken. Heeft iemand iets wat mij een beeld kan geven wat de persoon achter de controls doet ?
Alvast erg bedankt! Ben erg nieuwsgierig naar dit onderwerp. (zero days etc)
Een responsive interface @ http://localhost/ met 5 grote buttons:
<button id="enter">START</button>
<div id="counter">{DISPLAY_MONEY_TRANSFER_STATUS}</div>
<button id="vanish">ERASE</button>

Zo'n script met wat C++ en PHP aan de basis maakt hij in een paar dagen en gaat lekker even cashen met z'n Notebook, mits hij vrij is van zijn dagelijkse verplichtingen.
Dank u, maar nu ben ik nog nieuwsgieriger geworden xD.
is het te vergelijken met darkcomet ofzoiets?
begin met het downloaden van een file/process debugger ie ollydbg en ida
en begin met het uit pluizen van windiws

als je ervaring met bijvoorbeeld het maken van gamehacks hebt,
dan begrijp je dat een applicatie het geheugen in geladen word en volgens een bekende structuur
ie
https://i.imgur.com/k4ftobP.png

als je uitzoekt waar functies, objecten en andere datz zich bevinden dan kun je dit geheugen zo wijzigen dat het doet wat de hacker zelf wilt
ook files kunnen zo vanzelfsprekend aangepast worden

dus met grenoeg inzicht en begrip van een besturingssysteem en het uitpluizen van hardware en software is het dan de kunst om gebruik te maken van nuttige functionaliteit in hardware en software om als het ware jezelf tussen de normake gangen van zaken te zetten dior 'malafide' handelingen

een uitgebreid begrip van de cpu en zijn instructieset en nuttige api en lower level functionaliteit is dus een goed begin

zo kun je met het uitvoeren van relatief weinig 'shellcode' een 'callback shell' maken of andere leuke hackery
het is een kunst en een interessante 'scene'

[Reactie gewijzigd door t.vlinders op 13 mei 2016 20:23]

Vandaar dat je in het eerste jaar aan de TU Delft leert in assambler je eigen OS te schrijven.

[Reactie gewijzigd door djwice op 14 mei 2016 23:14]

de meest kunstige en kundige hackers die ik ken zijn autodidact
heheh, maar het blijven systemen van lagen die meer abstract worden
daar zijn wij mensen goed in, de oorsprong ontspringen om systematisch in totale chaos te eindigen 8)7 :*)
over het algemeen zinnig om aan de basis te beginnen als tijd het praktisch toelaat
toch zijn veel mensen over het algemeen vaak te begoocheld dicht aan de oppervlakte
anderen gaan diep maar hebben dan weer tunnelvisie

}:O

[Reactie gewijzigd door t.vlinders op 14 mei 2016 18:07]

Klopt, hacken begint veel eerder, eerst de copyright notice van software aanpassen, propriatary file formaten interpreteren en met jouw software de files wijzigen. Dan zelf muis en printer drivers maken, elke toetsaanslag ook direct naar de printer sturen, maakt niet uit welk programma er draait, computers op school op afstand gaan bedienen, en doe je dingen met zelf lerende systemen.

Als je geluk hebt snappen ze waar je mee bezig bent als je gaat studeren, de kans is echter groot dat je sommige docenten zal frustreren (ze houden je niet bij), maar soms krijg je de ruimte om je ding te doen, en dan maak je in een paar dagen dingen waar anderen al jaren op studeerden.

Echte hackers hebben maar een kleine groep mensen bij wie ze hun ei kwijt kunnen, Helaas.

[Reactie gewijzigd door djwice op 14 mei 2016 23:32]

Awh, ik wou even op de website van DarkComet kijken, krijg ik een AD wall te zien...

[Reactie gewijzigd door maplebananas op 13 mei 2016 15:50]

Die MONEY_TRANSFER_STATUS is natuurlijk ook een mooi progress-balkje met een doortikkende miljoenen-teller aan de zijkant. ;)
Wellicht had korea wat extra geld nodig voor de kern productie :)
Denk niet dat de Noord-koreaanse bank onderdeel is van Swift
Ik denk het wel; zie hier de SWIFT codes van Noord Koreaanse banken: klik
" .. eerder door een gebruiker in de VS (!) naar de database was geüpload, namelijk op 24 oktober 2014."

Was Kim Il Sung op dat moment toevallig in de VS? Waarop is de conclusie gebisseerd dat de 'Sony' hack een Noord-Koreaanse hack was.? Het lijkt steeds meer een NSA hack te zijn.
Waar een bestand vandaan word geupload zegt ook vrij weinig. Wie weet hebben ze het via een botnet gedaan en is het via een pc van een slachtoffer gebeurt.
Kim Il Sung is in 1994 overleden dus dat lijkt me sterk.
Inderdaad. Kim Il Sung is in 1994 met een geheime Noord Koreaanse raket naar hun geheime basis aan de achterkant van de maan verhuist om vanaf daar het volk te leiden.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True