Kaspersky treft backdoor aan in software die wordt gebruikt in financiële sector

Beveiligingsbedrijf Kaspersky heeft een backdoor aangetroffen in software van NetSarang, dat gevestigd is in de VS en Zuid-Korea. De software is volgens Kaspersky in gebruik in kritieke sectoren en het vond een payload bij een financieel bedrijf in Hongkong.

De aangepaste software viel in juli op doordat er verdachte dns-verzoeken werden gebruikt bij een partnerbedrijf in de financiële industrie, schrijft Kaspersky in een analyse. NetSarang, dat onder meer servermanagementsoftware ontwikkelt, heeft een waarschuwing op zijn eigen website geplaatst. Daarin meldt het dat het genoemde bedrijf tot nu toe het enige geval is waarbij bekend is dat de backdoor werd geactiveerd. In een update van de software is het lek gedicht.

Als de backdoor eenmaal actief is, kan een aanvaller bestanden uploaden, processen aanmaken en informatie opslaan in het register via een virtueel bestandssysteem. Volgens NetSarang werd de backdoor op 4 augustus ontdekt en waren de getroffen softwarebuilds op 18 juli gepubliceerd, wat neerkomt op een periode van zeventien dagen. Kaspersky heeft geen informatie gepubliceerd over de manier waarop de code van de NetSarang-software was aangepast. De software was wel ondertekend met een geldig NetSarang-certificaat.

De backdoor is aanwezig in de bibliotheek nssock2.dll, die door de software wordt gebruikt. De kwaadaardige code is verborgen 'onder meerdere lagen van versleutelde code', aldus Kaspersky. Zolang de backdoor nog niet geactiveerd is, stuurt deze alleen elke acht uur basisinformatie als gegevens over het systeem, domeinen en gebruikers naar de aanvallers. Activatie vindt plaats via de txt-record van een speciaal domein.

ShadowPad

Vervolgens stuurt de c2-server een decryptiesleutel voor de volgende 'trap' van de backdoor. De encryptie tussen de backdoormodule en de server maakt gebruik van een zelfontwikkelde versleutelingstechniek. De domeinen voor de c2-server veranderen maandelijks en volgens Kaspersky hadden de aanvallers alvast domeinen tot en met december van dit jaar geregistreerd. Het bedrijf duidt de kwaadaardige bestanden aan met de naam ShadowPad.

Het beveiligingsbedrijf waarschuwt dat de software wordt gebruikt door bedrijven in verschillende kritieke sectoren. Naast financiële bedrijven gaat het onder meer om ondernemingen in sectoren als energie, transport, farmacie en telecom. Het is niet duidelijk wie verantwoordelijk is voor de aanval, Kaspersky zegt dat er eerste aanwijzingen zijn dat een Chinese groep erachter zit. Technieken die gebruikt zijn in malware als Winnti zouden daarop wijzen.

De getroffen softwareversies zijn build 1232 van Xmanager Enterprise, build 1045 van Xmanager 5.0, build 1322 van Xshell 5.0, build 1218 van Xftp 5.0 en build 1220 van Xlpd 5.0. Er zijn inmiddels nieuwe builds beschikbaar. Kaspersky duidt de aanval aan als supply chain attack, zoals ook de infectie van de MeDos-software die NotPetya verspreidde.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 16-08-2017 15:09 26

16-08-2017 • 15:09

26

Lees meer

Senaat VS verbiedt overheid Kaspersky-software te gebruiken
Senaat VS verbiedt overheid Kaspersky-software te gebruiken Nieuws van 19 september 2017
CCleaner-installer bevatte een maand lang backdoor - update
CCleaner-installer bevatte een maand lang backdoor - update Nieuws van 18 september 2017
'Staatshackers richten zich op hotelgasten in Europa en Midden-Oosten'
'Staatshackers richten zich op hotelgasten in Europa en Midden-Oosten' Nieuws van 11 augustus 2017
'Modulaire Industroyer-malware richt zich op substations hoogspanningsnetten'
'Modulaire Industroyer-malware richt zich op substations hoogspanningsnetten' Nieuws van 12 juni 2017
Kaspersky: eerste 64bit-Windows-malware met geldig certificaat ontdekt
Kaspersky: eerste 64bit-Windows-malware met geldig certificaat ontdekt Nieuws van 11 april 2013
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab Security

Reacties (26)

-Moderatie-faq
26
26
19
3
0
1
Wijzig sortering

Sorteer op:

Weergave:
Chuk 16 augustus 2017 15:17
NetSarang, dat onder meer servermanagementsoftware ontwikkelt, heeft een waarschuwing op zijn eigen website geplaatst. Daarin meldt het dat het genoemde bedrijf tot nu toe het enige geval is waarbij bekend is dat de backdoor werd geactiveerd. In een update van de software is het lek gedicht.
Nu hopen dat de bedrijven zsm updaten alvorens de aanvallers beseffen dat ze ontdekt worden en eventueel nog snel een activatie doen.
monotype @Chuk16 augustus 2017 15:37
Dat updaten vertstandig is staat buiten kijf.

Een aantal stukken malware maakt gebruik van DNS voor activatie/de-activatie. In dit geval "Activatie vindt plaats via de txt-record van een speciaal domein", dus dat valt in dit geval simpelweg te voorkomen door de DNS request af te vangen - wat ook kan als updaten niet direct kan (wegens 'bedrijfskritische processen'). (managementafweging)

Dit natuurlijk er van uitgaande dat het niet resolven van een domein GEEN activatie van een "destruction mode" tot gevolg heeft

Op https://securelist.com/sh...corporate-networks/81432/ staat uitgelegd dat domeinnamen automatisch gegenereerd werden op basis van maand/jaar, en er staat een lijstje 'magische' domeinen. Al deze 'magische' domeinen zijn 24/07/2017 geregistreerd. Zou het tussen 18/07 en 24/07 niet resolven de 'ongebruikelijke DNS transacties' zijn die werden opgemerkt?

(Edit typo/toevoeging)

[Reactie gewijzigd door monotype op 24 juli 2024 19:27]

kwakzalver @monotype16 augustus 2017 16:03
Heel goed mogelijk dat die kleine slip-up geleid heeft tot detectie.

Verontrustender is dat een dll is voorzien is van een 'muterende' payload met muterende dns servers en een trigger datum.

Het is heel goed mogelijk dat er meerdere bestanden zijn geïnjecteerd met verschillende trigger data embedded. Dus het is maar de vraag of NetSarang na een update geheel schoon is.
monotype @kwakzalver16 augustus 2017 16:08
NetSarang heeft zeker een probleem. En meer dan een zelfs.

De code is gesigneerd met hun certificaat, en wat mij betreft zou dat reden zijn om dat certificaat niet meer te vertrouwen - dus ook oudere builds die met hun certificaat gesigneerd zijn niet. Sterker, je moet je afvragen hoe diep dit gaat....
Stoney3K @monotype16 augustus 2017 22:47
Of de malware is met medewerking van iemand binnen NetSarang zelf ontwikkeld die er een slaatje uit wilde slaan, en door de rest van het dev-team is de code-wijziging niet als directe 'red flag' opgemerkt.
Marty007 @Stoney3K17 augustus 2017 21:11
Er zijn naar mijn idee genoeg manieren om ook certificaten te faken etc. Daarbij.. Wie controleer de certificate en wie zegt dat daar niet al dingen fout gaan.. en... en.... en... en...
Internet is shit. Als je denkt dat het veilig is leef je in een illusie.
Internet is vanaf zijn diepste basissen al nooit bedoeld geweest voor wat we ermee doen..
Dat het ermee kan wil niet zeggen dat je je dan veilig mag en kan wanen.
Eigenlijk zou de enige optie zijn om het hele Internet af te schaffen en over te gaan naar een heel nieuw Internet wat ontworpen is met veiligheid op de eerste prioriteit ipv wat het nu is.
Internet is een leuk tooltje van een paar universiteiten geweest.. veiligheid is nooit in beschouwing genomen hierbij. Toch gebruiken wij het wel als dusdanig.
Wie is er dan gek... en wie maakt hier de fout...
Zelfs een block chain is niet heilig dat hebben we nu ook al een aantal keren gemerkt.

Het enge is.. probeer je eens voor te stellen wat er allemaal gebeurd waar we niks over horen..

De meeste van dit soort foutjes die ontdekt worden zijn slordigheden...
Ik wil persoonlijk best geloven dat men wil dat we af en toe iets vinden.. zodat ze weten dat wij denken dat we nog een kans hebben op veiligheid.. in werkelijkheid is er niks veilig en kunnen bepaalde groepen gewoon overal in. Maar die zie je niet..
pauldaytona @Chuk16 augustus 2017 15:40
Ik mag toch aannemen dat al die bedrijven die het gebruiken een onderhoudscontract hebben, en op de hoogte zijn gesteld door NetSarang.
bbob
16 augustus 2017 15:15
Dus deze keer is rusland niet de boosdoener maar china. Maar goed het laat zien hoe meer we afhankelijk worden van software en hoe meer er allemaal mis kan gaan.
kakanox @bbob16 augustus 2017 15:19
Er dit keer dat het een Chinese groep betreft.
Bij Rusland wordt altijd direct naar de overheid gewezen. Belangrijk verschil ;)

Overigens ben ik vooral heel benieuwd hoe de malware in die dll terecht gekomen is.
Madden @kakanox16 augustus 2017 15:37
Een iets uitgebreider artikel staat in https://arstechnica.com/i...100-banks-and-energy-cos/. Daarin ook de reactie van NetSarang zelf.

Het is nog niet duidelijk hoe de aanvallers de infrastructuur van NetSarang zijn binnengedrongen en hoe ze in staat zijn geweest om de malware aan NetSarang's produkten toe te voegen. Feit is wel dat de betrokken DLL met het juiste certificaat gesigned was. Dat duidt er op dat de aanvallers mogelijk diep in de infrastructuur waren doorgedrongen, en wellicht controle hadden over het buildproces.
bbob
@kakanox16 augustus 2017 15:21
Idd bij Rusland meteen de overheid maar laten we eerlijk zijn in China weet de overheid ook alles. Verschil is dat de USA nog te afhankelijk is van china met veel producten. Rusland maakt ze niets uit maar boycot van China betekend einde aan goedkope wall-mart producten en andere zaken = alles wordt duurder voor de doorsnee amerikaan en tja dat is politieke zelfmoord.
kakanox @bbob16 augustus 2017 15:23
Met Trump aan de macht wordt de USA ook afhankelijk van Rusland.
Mikken op fossiele brandstoffen --> Rusland heeft meer reserves dan het Midden-Oosten.
PostHEX @kakanox16 augustus 2017 15:57
Met Trump aan de macht wordt de USA ook afhankelijk van Rusland.
Mikken op fossiele brandstoffen --> Rusland heeft meer reserves dan het Midden-Oosten.
VS afhankelijk van Rusland? Je maakt een grapje zeker? De VS is een van de meest onafhankelijke landen ter wereld op gebied van winning van olie, gas en kolen. De VS bevindt zich de afgelopen jaren doorgaans in de top 3 van deze drie categorieën. Het is juist mede door de VS dat OPEC zo'n moeite heeft om de olie prijs te laten stijgen, omdat de VS geen onderdeel is van dat cartel. I.t.t. wat Russia Today je wilt doen geloven, andersom is het juist waar dat Rusland meer afhankelijk is van de wereld dan de VS, omdat de economie van Rusland veel minder divers is (primair: fossiele energie, landbouw, ruwe materialen, wapens), en de populatie nog niet eens de helft is van de VS.

Edit: en een boycot maakt wel degelijk iets uit voor Rusland. Behoorlijk wat. Een boycot betekent dat de olie prijs van dat land zal dalen (vraag/aanbod), wat het ook heeft gedaan de afgelopen jaren, wat ook mede verantwoordelijk is voor het feit dat de Russische economie het de laatste jaren zeer zwaar heeft t.o.v. een relatief grote groei in een periode daarvoor.

[Reactie gewijzigd door PostHEX op 24 juli 2024 19:27]

Pinkys Brain @PostHEX17 augustus 2017 13:12
Met Rusland loopt het ook wel los, hun economie is minder divers maar al het noodzakelijke hebben ze.
Marty007 @Pinkys Brain18 augustus 2017 09:35
Door de sancties van de VS en Europa heeft Rusland nu dus juist op Veel gebieden geïnvesteeRd onder andere Door subsidies etc en is hun agrarische sector nu flink aan het groeien.
Uiteindelijk hebben de sancties een positief effect op Rusland. . Jammer voor Amerika maar ik denk toch niet dat Rusland onder doet voor hen.. integendeel...
USA is de grootste olie verbruiker en staat zeker niet in de spotlight als het op dat gebied aankomt. De vae en de Russische federatie hebben echt wel meer als USA hoor. Dat land is vooral een zelf in stand houdende illusie.
Ze blaffen wel veel en helaas is Europa nog altijd het teefje wat er maar wat graag naar luisterd.
De rest van de wereld zal meer vooruitgang boeken en op een gegeven moment halen ze de USA in.
Het duurt niet lang meer of China stopt er ook mee.
En dan zoals hierboven gezegd zullen vele grote ketens in de USA omvallen.
Dat land is economisch al lang falliet maar die motor blijft nog ff draaien zolang die draait.
Als die motor daar ooit stilvalt (de economische motor van de USA dus)
Dan is het per direct een 3e wereld land.

[Reactie gewijzigd door Marty007 op 24 juli 2024 19:27]

jochem4207 @kakanox16 augustus 2017 15:30
https://www.youtube.com/watch?v=m1lhGqNCZlA bekijk deze is @bbob1970 en @kakanox

Ik weet niet hoeveel er waar van is maar dan zie je dat het vaak een onderdeel van een groter iets is.
bbob
@kakanox16 augustus 2017 15:30
Voorlopig heeft de USA met schaliegas nog genoeg energie. Canada bergen aan olie die nu nog te duur zijn om ontgonnen te worden. Dus afhankelijk van Rusland zal nog wel even duren.
Armin
@kakanox16 augustus 2017 19:17
Overigens ben ik vooral heel benieuwd hoe de malware in die dll terecht gekomen is.

Belangrijk detail in deze is dat de malware-besmette versies van de software ook nog eens ondertekend warenmet het officiele certifcaat. Dus het is niet enkel een kwestie van de malware op een server zetten, maar het daadwerkelijke software-productie process van dit bedrijf was binnengedrongen.
Aetje @bbob16 augustus 2017 23:53
Yup, vooral als je de verantwoordelijkheid van het ontwikkelen en beheren gewoon afschuift en blind vertrouwt op softwarebakkers die ook zelf op alles, inclusief beveiliging en ontwikkeling, bezuinigen. Dat een medewerker daardoor vatbaar wordt voor sabotage als onderbetaalde en overwerkte ontwikkelaar zal je vermoed ik wel vaker gaan zien.
BliXem 16 augustus 2017 15:39
Zucht, ik was dus net overgestapt op Xshell5. Puur omdat je hier meerdere terminal's kunt openzetten waarbij je meerdere terminal's kunt bedienen in één keer. Putty kan dit (nog) niet. Zijn er nog andere programma's die dit kunnen?
Daarbij had ik gisteren op een andere PC xshell5 niet kunnen starten omdat er niet genoeg rechten waren, na de- en installatie was het probleem weer opgelost. Voorheen werkte de versie wel, maar betrof het de versie die lek was.
bomberboy @BliXem16 augustus 2017 16:24
Ken je superputty? https://github.com/jimradford/superputty
Deze laat toe om via de command bar hetzelfde commando naar de open sessies te sturen (en veel meer) Lijkt op het eerste zicht wel gelijkaardig.
dewfuz @BliXem16 augustus 2017 16:41
Niet helemaal 'terminals' bedienen in 1 keer, en ook niet voor windows. Maar ansible is de powertool du jour voor het beheren van meerder machine's te gelijk

[Reactie gewijzigd door dewfuz op 24 juli 2024 19:27]

8bitfanaat 16 augustus 2017 15:40
Ik was even bang dat het Excel betrof ... :)
BliXem 16 augustus 2017 16:14
Wat gebeurt er als je de infected versie (xshell5) een paar dagen had draaien? Ben ik nu alsnog geïnfecteerd?
4Reload 16 augustus 2017 16:42
Wat lief van Kaspersky om dit bekend te maken, in Amerika willen ze immers de software van Kaspersky niet meer hebben omdat het teveel samen zo werken met de FSB. De oorzaak zal eerder zijn dat Kaspersky in staat is om software te vinden die de CIA, FBI en NSA niet bekend zien worden....
magnifor 16 augustus 2017 17:20
De ontwikkelaar van de software is gevestigd in de VS en Zuid-Korea, nou zullen de daders wel Noord-Korea zijn volgens de telegraafmedia/publiek.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq