'Equifax-hackers zochten ook naar specifieke personen'

Naast het stelen van grote hoeveelheden gegevens waren de aanvallers die de hack op Equifax uitvoerden uit op gegevens van specifieke personen. Dat meldt persbureau Bloomberg op basis van eigen bronnen met kennis van het onderzoek naar het incident.

Het persbureau redeneert dat er minstens twee verschillende mogelijkheden zijn, namelijk dat de aanvallers op zoek waren naar rijke doelwitten of personen die waarde hebben voor inlichtingendiensten. Dat er ook naar specifieke personen werd gezocht, blijkt uit de logs die onder meer door het programma Moloch werden bijgehouden. Deze wezen volgens bronnen ook uit dat de aanvallers in de loop van de tijd ongeveer 30 webshells op de Equifax-systemen wisten te installeren om toegang te behouden.

Bloomberg schrijft verder dat uit de gesprekken met mensen betrokken bij het Equifax-onderzoek bleek dat er ruzie was ontstaan tussen het bedrijf en een ingehuurd beveiligingsbedrijf, Mandiant. Dat gebeurde net toen de hackers toegang kregen tot de systemen van Equifax en heeft hen mogelijk maanden lang de tijd gegeven om binnen het bedrijf rond te kijken. Iemand met kennis van de zienswijzen van beide kanten zegt tegen Bloomberg dat Mandiant het bedrijf erop wees dat veel systemen patches misten. Equifax was aan de andere kant van mening dat Mandiant een ongetraind team had gestuurd.

De aanvallers zouden in eerste instantie niet hebben geweten welke waarde hun ingang bij Equifax had. Bloomberg meldt dat een eerste team moeite had om verder het netwerk binnen te dringen en dat het erop lijkt dat vervolgens een tweede team het heeft overgenomen. Het is niet duidelijk wie voor de actie verantwoordelijk is, sommige aanwijzingen zouden naar China wijzen. Sommige bronnen zeggen echter dat ze daar niet van zijn overtuigd en dat het bewijs verschillende kanten op wijst. Er zouden aanwijzingen zijn dat de aanval het werk is van een statelijke partij.

Onlangs vertrok Equifax-ceo Richard Smith bij de onderneming. Eerder vertrokken de chief security officer en de chief information officer. Bij de hack kregen onbevoegden toegang tot de gegevens van 143 miljoen mensen, voornamelijk Amerikanen. Van enkele honderdduizenden konden de creditcardgegevens ingezien worden. De criminelen kwamen binnen via een al maanden bekend lek in Apache Struts.

IT-banen

Reacties (19)

Verwijderd 30 september 2017 13:47

Infosec is al bijna even groter oplichterij dan de Y2k bug. Als je genoeg betaalt dan zal er heus wel iemand concluderen dat het een enorm ingewikkelde aanval was, want er zit een patroon in en in in de strings van de binary zitten Chinese tekens. Zoiets als twee programma's toewijzen aan een APT groep omdat ze dezelfde compiler gebruiken. *zucht*. APT's verkopen hun waar ook of schrijven exploits op maat voor iedereen die het kan/wil betalen.

Eerder deze week was er nog zoiets, de CEO van FireEye die een presentatie geeft over Iran en stijging van het aantal incidenten dat kan worden toegeschreven aan Iran. Ik viel bijna van mijn stoel af. De 'extreem' complexe .....(standaard riedeltje - alles is steeds complex, kwestie van nog even te onderlijnen dat "it's serious business", that serious dat alleen FireEye het kan oplossen bij voorkeur met een nieuwe doos voor in het server rack of een cloud subscriptie service met een 'live feed'. Nu die Iraanse hacking tools en het feit dat ze steeds meer opduiken heeft niets maar dan ook niets te maken met een nieuwe dreiging uit Iran (the Trump/Neocon show). Een private contractor die voor de VS intel verzameld en bepaalde opdrachten uitvoert heeft tijdens zo een opdracht een collectie 'tools' gevonden die ter herleiden zijn naar Iran. Op zich niet zo verwonderlijk: we weten allemaal nog hoe de STUXNET vork aan de steel zat. Die tools zijn gewoon te koop op het publieke internet voor ongeveer 4500 dollar. Voor 4500 dollar koop je de Infosec APT Iran Fake ID kit. In my humble opinion is deze informatie cruciaal - wie koopt die kit en wat gebeurt er mee? Is er een of ander patroon dat aanvallen met de Iran Kit aan mekaar kan koppelen? Niet nodig want het bedje is al gespreid, want *lange zucht*, de software werd voornamelijk gebruikt tijdens de kantooruren. Dat moet Iran zijn. Stel je voor dat de politie zo een moordzaak zou oplossen, geen kruimel aan hard bewijs maar het is X want water is nat. dus X did it. Tja....

Nu goed, ethical standards, onafhankelijk onderzoek en peer review is niet nodig: Thou shall not doubt the holy church of FE!

Goedbedoeld advies van een fossiel uit dit wereldje aan eenieder die kennis wil vergaren of een job ambieert in deze sector: Vermijd deze spelers als de pest vooral het materiaal dat ze produceren en dumpen in idiote certificeringstrajecten. Je verliest daarmee kennis en eindigt in een bubbel die soms de zon ontkent.

Had ook weer vermeden kunnen worden, want elk land is op snelheid gepakt door deze spelers die zichzelf onmisbaar verklaren en tegelijkertijd optreden als sock puppet voor een politieke agenda.

Zo, dat moest even van het hart.

Ik ga heel waarschijnlijk geen of zeer slechte punten scoren met deze post, want Stockholm syndrome all over the place. Maar ik weet dat ik het bij het rechte eind heb - laat deze post daarvan het bewijs zijn als de etterbuil barst.

Gentlemen, present gun

Verwijderd @Verwijderd • 30 september 2017 21:01

Misschien heb je in dit geval gelijk, misschien wil Equifax het makkelijk van zichzelf afdoen door misbruik te maken van. Helaas bestaan er ook charlatans, maar dat geldt voor elke industrie. Jammer, maar dat soort bedrijven vallen uiteindelijk toch wel door de mand. Dat iemand met een goed marketing praatje op je stoep staat en dat jij dat zomaar slikt zonder zelf onderzoek te doen heet "eigen verantwoordelijkheid", daar kan niemand wat aan doen behalve jijzelf. Jij mag daarvan vinden wat jij wil, maar zo werkt de wereld eenmaal.

Ik vind het mooi dat je komt met het voorbeeld van stuxnet, want dat is juist het voorbeeld. Spoinage is niet nieuw, dat bestond al voor het internet en dat zal ook lang blijven bestaan. Zo zijn er al 2 incidenten geweest bij de TU Eindhoven, een Pakistaanse spion Abdul Qadir Khan die 40 jaar geleden de blauwdrukken van een ultra centrifuge stal (de grote stap naar een eigen atoombom) en nog 2 jaar geleden in 2015 een Russische spion die werd opgepakt.

Stuxnet is een stukje spionage, je kan ervan vinden wat je wil, je kan ernaar wijzen en zeggen hoe erg je het vindt, maar het is en blijft spionage. Het is een staat die een andere staat aanvalt om zichzelf of zijn onderdanen te beschermen, klaar!

Om eerlijk te zijn, Iran die claimt dat ze die centrifuges nodig hebben voor "onderzoek" maar als je weet dat de Russische reactoren die zij hebben gebruik maken van laag verrijkt uranium en al helemaal niet in de hoeveelheden die zij produceren dan is het 1 + 1 = 2. Als je dan Iran vraagt hoe dat in elkaar zit en je krijgt alleen maar onzin antwoorden en dwaalsporen dan gaat het misschien om een vermoeden, maar goed 1 + 1 + 1 = 3.

Spionage is niet nieuw, wat wel nieuw is is staat gesponsorde criminaliteit. Kijk maar de zaak van Roman Seleznev en Ochko123. Het komt steeds vaker en vaker voor dat de CAI (of andere instanties) naar buiten treden over bepaalde zaken.

Niemand kan nu nog ontkennen dat er een cyber oorlog is. Je hebt gelijk dat het vaak gaat om een vermoeden, maar een zeer sterk vermoeden. Zo kwam het in het verleden heel vaak voor dat men naar het FSB stapte met bepaalde informatie en een week later was die persoon ineens verdwenen. Het komt voor dat het spoor leidt naar Iran en Iranese instanties weten van niks of komen met informatie die absoluut niet overeenkomt.

Dat een staat een andere staat aanvalt of probeert te ondermijnen ter bescherming van zichzelf of zijn onderdanen, daar kan je van vinden wat je wil maar het gebeurd. Dat een staat criminaliteit faciliteert en criminelen beschermt, dat kan absoluut niet.

Iedereen voor zich om er wat van te vinden, maar een ding is heel duidelijk. We leven in een zeer complexe wereld en wat jij nou doet is een hoop dingen door elkaar halen om een punt te maken wat er niet is.

Wat betreft fingerprinting moet je het artikel nog eens lezen: "One of the tools used by the hackers—China Chopper—has a Chinese-language interface, but is also in use outside China, people familiar with the malware said". Het gaat niet om een binary maar om de userinterface en er wordt bij gezegd dat de malware ook buiten China in gebruik is.

Er wordt ook helemaal niet met de vinger gewezen naar een groep of persoon: "The nature of the attack makes it harder to pin on particular perpetrators", dus ik snap even niet waar de hele China beschuldiging vandaan komt.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 19:43]

Verwijderd @Verwijderd • 2 oktober 2017 20:39

China als voorbeeld, dat kan evengoed Noord Korea, Rusland, VS of ik zeg maar wat, Saudi Arabie zijn.

Uiteraard is er spionage en zal dat er altijd zijn, maar als privaat ondernemingen met winstoogmerk de geopolitieke arena betreden met behulp van een AP persbericht. (Ik heb het over FireEye) en vergeten om te vermelden dat de tools waar ze naar verwijzen, te koop zijn, ergo niet onbelangrijk als de boodschap gebracht over meer aanvallen door Iran gaat. Dat is een gevaarlijke evolutie waarbij de grens tussen reclame en nieuws, is verdwenen, net zoals de onafhankelijkheid van de onderzoeker.

Bloomberg, doet een beetje hetzelfde, de allure wekken dat er staatsbelangen op het spel staan, de Apache Struts exploit die werd gevonden door een Chinees, dat was de aanvalsvector. Dus hoe rammelen we een verhaal bij mekaar, door te vermelden dat de onderzoeker Chinees is en er boehoe na 24 uur al een exploit zat in Metasploit (niet Chinees). Zonder een splinter bewijs spreken ze dan van een 'entry group' die dan een handover zou hebben gedaan naar een meer geavanceerde groep die "harvesting" doen. Die handover =. *bewijs*. state hackers! Tot wel 30 webshells hebben ze gevonden. Dat klinkt eerder als: Scriptkiddies met Metasploit + google dork.

Een miljoen miljard investeringen in security (Equifax) maar 1 exploit, je hoort het goed 1 exploit was voldoende. Dat zal nogal een multi tier infra zijn die daar staat als je vanaf een FE een db kan downloaden en dat maanden aan een stuk. Daar heb je DLP voor. Daarvoor heb je layer7 inspectie. Spullen die tegenwoordig zelfs in SME apparatuur zitten.

EquiFax zal zich wel hebben verzekerd, dat is soms goedkoper. De hackers zijn illegaal bezig en uiteraard is dit niet goed te keuren en strafbaar. Maar dat het bestuur als ratten het zinkende schip verlaten, met gouden handdruk, zonder ook maar iets te moeten vrezen qua vervolging. Dan is er iets goed fout.

Just Saying

Verwijderd @Verwijderd • 2 oktober 2017 20:54

Just saying ja, je zegt nou hetzelfde in andere woorden. Leuk voor je dat dat bestaat, erg hoor. Heb je nu iets opgelost?

Verwijderd @Verwijderd • 2 oktober 2017 22:03

Nee. Moet ik dat dan?

Ik detecteer wat gevoeligheden :-) die ik in mijn eerste post heb aangehaald. Het matig to ernstig Stockholm syndroom .

Dat gaat wel voorbij, de hele dag staren op the corporate logo doet rare dingen met een mens.

No offence intended.

Het ga je goed!

Verwijderd @Verwijderd • 2 oktober 2017 22:16

Nee ik vraag me gewoon af waarom je de tijd neemt om te reageren zonder dat je iets te melden hebt. Neemt weer mijn tijd in beslag. Wat is het nut?

Verwijderd @Verwijderd • 2 oktober 2017 22:25

Ook weer zoiets, wat is het nut?

Wie bepaalt wat nuttig is en wanneer?

Dat moet iedereen voor zichzelf maar uitmaken maar ga nu niet lopen klagen over jou tijd, het is jou vinger die klikt, niet de mijne.

Chill!

densoN 29 september 2017 19:34

Zo typisch, je huurt een security firm in om de kwaliteit van je security te waarborgen. Zij doen hun werk waarop je (serieuze) aandachtspunten mee krijgt en vervolgens ga je ruzie lopen maken omdat je niet blij bent met de resultaten.

Tja security kost nou eenmaal geld, als je met een papiertje wil zwaaien om je klanten gerust te stellen zal je daar ook de nodige energie in moeten (blijven) steken.

Rinzwind @densoN • 30 september 2017 00:01

Security firm op papier schiet zichzelf anders ook weer in de voet... hoe meer stropdassen, hoe minder kennis. https://www.theguardian.c...ing-clients-secret-emails

Sandor_Clegane @Rinzwind • 30 september 2017 09:17

Dat is ook zo mooi in Nederland, hoe meer je van het werk afstaat, hoe meer je verdient.

AJediIAm @densoN • 30 september 2017 08:22

Hiring an expert is expensive. Hiring an amateur is even more experience.

EpicKip @AJediIAm • 2 oktober 2017 10:19

Spel het dan wel even goed hé

Verwijderd @densoN • 2 oktober 2017 20:52

Precies. En echt alles is goed om maar iets te pakken te krijgen, waarop staat dat bedrijf x o f y een veiligheidstest heeft gedaan en alles groen! We zijn geslaagd!

Alleen is de scope van de de test zo klein en de tijdstippen waarop mag worden getest zo beperkt, dat er amper iets overblijft. Als je daar dan een opmerking over maakt, dan zit het paard op de wagen

of krijg je geen reply op die vraag zo van, als we lastpak gewoon negeren dan zal die wet stilzwijgend akkoord gaan. Rare hersenkronkels daar.

Dus je stopt dan maar met die opdracht en motiveert waarom. En dan ben je er soms nog niet van af en krijg je mail van het bedrijfsjurist, gaat het ondertussen fout, dan heb jij het gedaan :-)

Les geleerd is geen diensten meer te leveren aan deze sector want dit virus is sector gebonden

mmjjb 29 september 2017 19:33

sommige aanwijzingen zouden naar China wijzen. Sommige bronnen zeggen echter dat ze daar niet van zijn overtuigd en dat het bewijs verschillende kanten op wijst. Er zouden aanwijzingen zijn dat de aanval het werk is van een statelijke partij.

Uhm tja.. een staats hack met amateur?

Ik raad mensen aan het originele artikel te lezen, geeft een stuk meer duidelijkheid dan het T.net artikel. (zegt het zelfde als het t.net artikel, maar geeft een andere indruk over de gang van zaken)

Before long, hackers had penetrated Equifax. They may not have immediately grasped the value of their discovery, but, as the attack escalated over the following months, that first group—known as an entry crew—handed off to a more sophisticated team of hackers.

Dit geeft toch minder de indruk dat het wat script kiddies zijn, als dat het t.net artikel doet overkomen

“Internally, security was viewed as a bottleneck,” one person said. “There was a lot of pressure to get things done. Anything related to IT was supposed to go through security." Mauldin couldn’t be reached for comment.

"it bothered me how much access just about any employee had to the personally identifiable attributes. I would see printed credit files sitting near shredders, and I would hear people speaking about specific cases, speaking aloud consumer’s personally identifiable information."

Of te wel, iedereen krijgt lekker toegang tot alles, security wordt gezien als een pain in the ass, beveiligings-bedrijf stapt op en op dat moment wordt er ingebroken.
Zo te zien vroegen ze er ook om, als ze zo'n groot bedrijf bent, en je hanteert zo'n security policy op je vertrouwelijke data...

[Reactie gewijzigd door mmjjb op 28 juli 2024 19:43]

kuurtjes @mmjjb • 29 september 2017 19:36

Lijkt eerder alsof er een paar skiddies zijn binnengeraakt en vervolgens de toegang doorverkochten.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (19)

Sorteer op:

Weergave: