'Gerichte spionagecampagne richt zich op telecom- en satellietbedrijven'

Beveiligingsbedrijf Symantec zegt een spionagecampagne op het spoor te zijn gekomen die zich richt op telecomproviders en een bedrijf dat zich bezighoudt met satellietcommunicatie. De doelwitten zouden zich in de VS en in Zuidoost-Azië bevinden.

In een blogpost schrijft het bedrijf dat het in januari een aanval opmerkte op een groot telecombedrijf in Zuidoost-Azië. Door de gebruikte malware te onderzoeken kwam het tot de conclusie dat het om een groep ging die het aanduidt als Thrip en die het sinds 2013 volgt. Op basis van de vastgestelde patronen, zoals het gebruik van aangepaste en nieuwe malware, kon het andere aanvallen identificeren. Een van de andere doelwitten was een bedrijf dat zich bezighoudt met satellietcommunicatie, waarbij de aanvallers voornamelijk geïnteresseerd leken in het infecteren van systemen die worden gebruikt voor het aansturen en in de gaten houden van satellieten.

Volgens Symantec diende de gebruikte malware voornamelijk om informatie te stelen, bijvoorbeeld logingegevens. Onder de andere doelwitten was ook een bedrijf dat zich bezighoudt met het verzamelen van geo-informatie. De aanvallers richtten zich in dit geval bijvoorbeeld op systemen die de zogenaamde MapXtreme GIS-software draaiden. Symantec maakt ook melding van verdere doelwitten, zoals andere telecombedrijven in Zuidoost-Azië en een Amerikaanse defensieaannemer.

Bij de aanvallen, die uitgevoerd zouden zijn vanaf computers in China, maakte de Thrip-groep veel gebruik van bestaande Windows-tools en andere software, bijvoorbeeld om verder het netwerk van een organisatie binnen te dringen. Onder de Windows-tools zijn psexec en PowerShell, maar de aanvallers maakten ook gebruik van Mimikatz en LogMeIn, aldus het beveiligingsbedrijf. Psexec, een tool om programma's uit te voeren op andere systemen, wordt vaker gebruikt om netwerken verder binnen te dringen, bijvoorbeeld bij de NotPetya-aanval.

Symantec stelt dat het gebruik van deze tools het moeilijker maakt om een verantwoordelijke voor de aanvallen aan te wijzen door het generieke karakter ervan. Bovendien zou detectie moeilijker zijn, omdat het veelal om legitieme tools gaat.

Reacties (24)

Verwijderd 20 juni 2018 10:19

Symantec stelt dat het gebruik van deze tools het aan de ene kant moeilijker maakt om een verantwoordelijke voor de aanvallen aan te wijzen door het generieke karakter ervan. Aan de andere kant zou detectie moeilijker zijn, omdat het veelal om legitieme tools gaat.

Ik snap deze alinea niet zo goed, aan de ene kant is het moeilijker om een verantwoordelijke aan te wijzen, maar aan de andere kant is detectie moeilijker. 'Aan de andere kant' wordt toch gevolgd door een tegenstelling, waar is de tegenstelling hier?

totaalgeenhard @Verwijderd • 20 juni 2018 10:45

Bij symantec begrijpt men niet dat op een gehardende machine alleen processen/executables aanwezig kunnen zijn waar expliciet voor gekozen is.

Die opmerking dekt symanctic zich in tegen mensen die mijn eerste alinea niet begrijpen en denken dat virusscanner dit zou moeten detecteren.

Terwijl in werkelijkheid de geopenbaarde details aangeven dat machines niet veilig waren en kennelijk niet gemonitord.

Verwijderd @totaalgeenhard • 20 juni 2018 11:45

Precies. Heel wat IT mensen denken blijkbaar dat het OK is dat een bepaalde machine "van alles en nog wat" geïnstalleerd heeft.

In werkelijkheid hebben bedrijfscritische zaken slechts één mogelijke state in paden waar executable code kan staan: de state die volledig cryptografisch geverifieerd is door de package manager.

M.a.w. op een Linux machine wil dat zeggen dat ALLES in /usr/lib en /usr/bin cryptografisch geverifieerd is. En dat ALLE writable state in directories staat waarvan de +x is afgenomen, SELinux dlopen() en execv() niet zal toelaten, en zo verder. M.a.w. KAN die content niet executable worden tenzij er een exploit misbruikt werd (zoals een buffer overflow). En daarvoor heeft men dan weer andere mitigatie-methoden (adress randomization, en zo verder).

Maar blijkbaar vinden de IT-ers van tegenwoordig het in plaats daarvan maar normaal dat medewerkers van alles en nog wat mogen installeren op zulke servers, en dat virusscanners de boegt maar moeten vinden.

Dat is volstrekte waanzin en kan nooit, nooit, nooit veilig zijn.

ALLES dat uitvoerbaar is moet cryptografisch geverifieerd zijn. ALLE bestanden betrokken bij zo goed als alles kunnen ENKEL op de machine komen d.m.v. package management waarbij ALLES dat gedeployed staat ALLEMAAL tot op de byte getekend is m.b.v. digitale signatures. Met UEFI boot hoort daar de master boot record en de kernel ook bij, nota bene. De hele chain met andere woorden.

In dat geval is ieder stukje malware te vinden doordat die malware zich ergens moet bevinden. Die file zal niet digitaal getekend zijn met de private key. Tenzij je private key ook is gelekt (en in dat geval ben je als organisatie volledig en totaal een vogel voor de kat - dan geef je het best maar in zijn geheel op om om het even wat nog te doen).

Dat Windows dat bijna niet kan en dat MSI daar voor een groot deel ongeschikt voor is betekent eigenlijk gewoonweg dat Windows niet geschikt is, als besturingssysteem, om een veilige omgeving op te trekken. Want dit kan prima op andere platformen. Microsoft moet in dat geval m.a.w. dringend iets aan hun server OS doen. Vermoedelijk kan het wel met Windows en met MSI packages, en vermoedelijk zijn de ICT-ers bij de telecom bedrijven gewoon incompetent? Zwanzen ze dus wat over anti-virus dozen en gooien ze je rond de oren met certificieeringen die ze gehaald zouden hebben. Terwijl ze er eigenlijk dus weinig tot niets van snappen.

En eigenlijk moet dat onder de Windows ICT mensen eens gaan ophouden. Het is tijd dat ook zij hun job beginnen serieus te nemen.

batjes

Security

@Verwijderd • 20 juni 2018 21:39

Dat Windows dat bijna niet kan en dat MSI daar voor een groot deel ongeschikt voor is betekent eigenlijk gewoonweg dat Windows niet geschikt is, als besturingssysteem, om een veilige omgeving op te trekken. Want dit kan prima op andere platformen. Microsoft moet in dat geval m.a.w. dringend iets aan hun server OS doen. Vermoedelijk kan het wel met Windows en met MSI packages, en vermoedelijk zijn de ICT-ers bij de telecom bedrijven gewoon incompetent? Zwanzen ze dus wat over anti-virus dozen en gooien ze je rond de oren met certificieeringen die ze gehaald zouden hebben. Terwijl ze er eigenlijk dus weinig tot niets van snappen.

Windows heeft al jaren dat executables alleen uitgevoerd kunnen worden met een geldige signature. Je kunt ook al jaren je eigen geverifieerde 'package manager' opzetten onder Windows waaruit de software enkel gehaald kan worden. Je kunt echt niet in elke omgeving even een portable firefox draaien Zelfs het filesystem zelf is er beter op ontworpen. bv NTFS is langzamer omdat het security checks heeft die bij een ext ontbreken. De alarmbellen gaan op een nette Windows omgeving op de ICT net zo hard rinkelen als er vreemde software in je netwerk draait, er een userfolder ineens encrypted wordt, er ineens vreemd verkeer naar buiten gaat of er een stukje software of user ergens toegang probeerd te krijgen waar dit niet mag. (alles buiten userdir bv). De hele chain is bij Microsoft net zo op te zetten als bij Linux. Microsoft is echt niet zo groot geworden dankzij Office en end-user bullshit. MS bied al jaren zulke totaal paketten aan waarbij aan hun software kant elke bit geverifieerd door de hardware gaat.

MS voldoet verder ook aan de strengste crypto eisen van overheden en dergelijke. Niet voor niets dat MS software en hardware bij o.a. militaire diensten veel gebruikt is. Als Windows ongeschikt zou zijn als OS om in een veilige omgeving te werken zou dat zeker niet het geval zijn.

Verwijderd @batjes • 20 juni 2018 21:47

En eigenlijk geloof ik dat nog ook. Enkel zie ik het veel te vaak dat dit allemaal niet goed opgezet is..

batjes

Security

@Verwijderd • 20 juni 2018 21:56

Dat gebeurd aan Linux kant net zo goed. Hoe vaak ik wel niet Ubuntu, Debian of whatever servers tegenkwam die 3+ versies achterliepen, en gewoon met open poorten aan het internet hingen. Hele netwerken die een paar jaar geleden nog op fucking Sarge draaiden of Ubuntu versies uit het CD uitdeel tijdperk. Die DDOS kiddies van een paar jaar geleden hebben op die wijze honderduizenden linux servers ingezet voor DDOS aanvallen. Lizardsquad of whatever, die hele 4chan hype onzin allemaal. Leaseweb in paniek.

Linux en Windows zijn sinds Windows 7~8 +/- gelijk in dit opzicht. Nadat Linux jarenlang duidelijk voorliep. Sindsdien schommelt het een beetje. Het belangrijkste blijft de kennis en opzet van het hele gebeuren.

Persoonlijk heb ik het vermoeden dat MS wel eens voor kan lopen, maar ik heb me nog niet genoeg verdiept in de veranderingen onder de moterkap van Win10 (duurt soms ook jaren voordat een engineer oid een mooi blogje of video maakt op msdn

) En ik heb de Linux kant ook al een tijdje niet voldoende bijgehouden.

[Reactie gewijzigd door batjes op 24 juli 2024 10:15]

Kabouterplop01 @Verwijderd • 20 juni 2018 14:56

Ik denk ook dat het deels komt i.g.v. Windows, dat iedereen maar local admin moet zijn. Dat is zo makkelijk.
Als er een gedegen software restriction policy is en software management is correct geregeld, dan hoeven er geen local admins te zijn.
Scheelt een bedrijf en héle hoop ellende.

Voor de rest heb je helemaal gelijk! $_/-\o_$

Verwijderd @Kabouterplop01 • 20 juni 2018 15:17

Ik ben zelf release maintainer voor een software geschreven in .NET geweest. Mijn policy was dat alles volledig met semver.org regels moest geversioneerd zijn en alles packaged in MSI packages.

Ik heb toen MSI niet helemaal uitgepluist maar volgens mij moet het met MSI packages mogelijk zijn om de packages digitaal (cryptografisch) te onderteken. Dit is standaard op bv. een Debian (.deb) of een RedHat package (rpm).

Daarna kan je geloof ik zelfs met standaard command-lines de package manager laten nagaan of alle binaries in getroffen directories wel overeen komen met deze digitale ondertekening.

Voor de rest kan het op een UNIX niet dat een .so file (het equivalent van een .DLL file op Windows) zou geladen worden tenzij van het juiste path. Of tenzij je zo dom bent geweest op LD_LIBRARY_PATH te overschrijven of in je binary met RPATH de huidige directory toe te voegen. Dus dlopen() (de syscall om zo'n .so te laden) zal niet zomaar om het even welke .so file gebruiken om shared code in te lezen. Zelfde geldt voor de PATH. Daar staat niet de huidige directory in. Dus een binary opstarten, wat neerkomt op execv(), zal vanuit gekende plaatsen gebeuren (/usr/bin, etc).

Verder is men inderdaad zoals je zegt in de UNIX wereld veel voorzichtiger: niemand zal zomaar iets als root draaien. Bepaalde processen stopt men ook meteen achter een chroot en tegenwoordig draait men ze gewoonweg in een lightweight container.

Toen ik release maintainer was voor die .NET groep op een Windows computer zag ik echter iedere volkomen logische security-regel overtreden worden. Ook in productie omgevingen. Ook op plaatsen waar één en ander kritisch is. Niemand leek zich veel aan te trekken van wat er zou kunnen gebeuren. Dat was allemaal standaard zo. Het vertrouwen in de virusscanner is véél te groot. Niets kan er misgaan.

Terwijl op een typische Windows computer er ongeveer alles mis gaat wat je jezelf maar kan inbeelden dat mis kan gaan. Je hebt er zeer weinig tools maar vooral, er is zeer weinig kennis van zaken onder de Windows admins. Heel veel stoerdoenerij zonder dat ze snappen wat ze zeggen. Dat wel.

Ik ben m.a.w. blij dat ik terug weg ben, als software ontwikkelaar, van dat Windows platform. Er zijn te weinig mensen met enige kennis van zaken. En zij zonder enige kennis van zaken maken er te veel beslissingen.

Ik huiver steeds weer wanneer ik hoor waar Windows admins overal verantwoordelijk voor zijn. Zoals bv. telecom. Militair, banken en financiële instellingen. En zo verder. Onwaarschijnlijk vind ik dat. Zéér link en zéér gevaarlijk. Ik verschiet er niet van dat de één na de andere spionagezaak aan het licht komt.

Men is in de Windows wereld namelijk zéér onvoorzichtig.

Nochtans, hoewel niet voldoende, kan één en ander heus wel veilig uitgewerkt worden op Windows. Enkel is de juiste mentaliteit er helemaal zoek.

Maurits van Baerle @Verwijderd • 20 juni 2018 10:24

Detectie = weten dat het gebeurt.
Verantwoordelijke = weten wie er achter zit.

Die twee kunnen vrij los van elkaar staan. Je weet dat iets plaatsvindt maar niet wie er achter zit zal vrij veel voorkomen bij generieke tools. Als er niet generieke tools gebruikt worden is het soms moeilijker op te sporen maar heb je wel een soort vingerafdruk van een verantwoordelijke.

Die generieke tools zullen makkelijk door anti-malware tools gedetecteerd kunnen worden omdat die bekend zijn. Bij custom tools zul je af moeten gaan op dat een executable verdacht gedrag lijkt te vertonen. Dat is moeilijker te detecteren.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 10:15]

Verwijderd @Maurits van Baerle • 20 juni 2018 10:27

Detectie = weten dat het gebeurt.
Verantwoordelijke = weten wie er achter zit.

Die twee kunnen vrij los van elkaar staan. Je weet dat iets plaatsvindt maar niet wie er achter zit zal vrij veel voorkomen.

Als je 'Aan de andere kant' vervangt door 'Ook' leest het een stuk makkelijker, en klopt de stelling beter.

Maar misschien is het mijn autistisch brein, het voelt gewoon niet correct

Maurits van Baerle @Verwijderd • 20 juni 2018 10:29

Ik begrijp wat je bedoelt. Het kan soms een tegenstelling zijn en soms niet. Het is inderdaad dan een beetje ongelukkig geschreven.

Verwijderd @Verwijderd • 20 juni 2018 10:23

Er zijn twee kanten die het moeilijker maken. Het is wellicht niet de beste methode om het op te schrijven maar het kan. Het wordt nog weleens gebruikt.

Verwijderd @Verwijderd • 20 juni 2018 10:24

Dat bedoel ik, de twee punten zijn aanvullend op elkaar, niet tegenstrijdig. Dan gebruik je toch geen 'aan de andere kant'?

Rude-Dog @Verwijderd • 20 juni 2018 10:50

"Daarnaast" zou idd beter zijn.

Least Inkling 20 juni 2018 10:29

Ik ben eigenlijk ben benieuwd hoe Symantec (en anderen) hier achter komt.
Wat is de werkwijze om hier überhaupt achter te komen? Iemand een interessante link?

Verwijderd @Least Inkling • 20 juni 2018 10:39

Waarschijnlijk door hun eigen detecties ( virusscanner submits ) en geloof dat er een convenant is waarin beveiligingsbedrijven signatures van threats delen? Zou wel een leuk achtergrond artikel zijn voor tweakers, duik eens in de wereld van de 'beschermers' van het internet en hoe die hun werk doen ( even zonder politiek geneuzel over uit welk land welke dienst komt graag dan wel

Anonymoussaurus

Security

@Least Inkling • 20 juni 2018 10:40

Uit hun blog:

This doesn’t mean espionage attacks are now going undiscovered, but it does mean that they can take longer for analysts to investigate. This is one of the reasons why Symantec created Targeted Attack Analytics (TAA), which takes tools and capabilities that we’ve developed for our own analysts and makes them available to our Advanced Threat Protection (ATP) customers.

Hier nog een .txt van Symantec met hashes + gebruikte malware: https://content.connect.s...8-06/Thrip_IOC_list_0.txt

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 10:15]

Least Inkling @Anonymoussaurus • 20 juni 2018 10:44

Zondagmorgen leesvoer! Zhenks!

Bolukan @Least Inkling • 20 juni 2018 10:43

Hier een interessante blogpost. En ja, dit is sarcastisch bedoeld.

totaalgeenhard @Least Inkling • 20 juni 2018 10:46

Google op SIEM.

IDS/IPS op netwerk (Niet host die zat er kennelijk niet op) zie je afwijkend verkeer snel genoeg.

Iblies @Least Inkling • 20 juni 2018 11:00

Scannen en analyseren.

Microsoft heeft vb ook een eigen CyberCrime Centre. Eigenaardigheden op MS-systemen worden doorgestuurd en daar opnieuw geanalyseerd in een veel breder context. Dat cybercrime centre heeft op verschillende fronten overheden/justitie geholpen.
https://news.microsoft.com/stories/cybercrime/

Denk dat Symantec op een soortgelijke manier werkt.

Verwijderd 20 juni 2018 14:22

Vreemd dat Rusland niet meteen wordt genoemd als hoofdschuldige, zoals gebruikelijk is...

stresstak @Verwijderd • 20 juni 2018 18:27

Bij de aanvallen, die uitgevoerd zouden zijn vanaf computers in China, maakte de Thrip-groep .....

Die andere.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (24)

Sorteer op:

Weergave: