'Amerikaanse overheden ontvangen cd-roms met kwaadaardige doc-bestanden'

Volgens onderzoeksjournalist Brian Krebs hebben verschillende Amerikaanse overheidsorganen, zoals gemeenten en statelijke overheden, cd's ontvangen met daarop kwaadaardige doc-bestanden die Chinese teksten bevatten.

Krebs baseert zijn informatie op een interne waarschuwing van een beveiligingsorganisatie voor Amerikaanse overheden. Volgens die waarschuwing gaat het om enveloppen die ogenschijnlijk uit China komen en naast een cd-rom een Engelstalige brief met 'verwarrende formuleringen' bevatten. Verschillende Amerikaanse overheden zouden hebben gemeld dat ze de brieven hebben ontvangen. Het is onduidelijk of iemand ook daadwerkelijk de cd's in een computer heeft gestopt.

Uit een analyse door de beveiligingsorganisatie, het Multi-State Information Sharing and Analysis Center, wijst uit dat de cd's doc-bestanden met Chinese teksten bevatten. Die bestanden zijn dan weer voorzien van kwaadaardige Visual Basic-scripts. Krebs merkt op dat er verschillende manieren zijn om deze 'phishingcampagne via de post' overtuigender te maken, bijvoorbeeld door usb-drives en beter geschreven brieven in te zetten. De oorsprong van de brieven komt uit de berichtgeving niet naar voren.

cd-malware — Afbeelding via KrebsOnSecurity

Reacties (71)

Bensimpel 27 juli 2018 19:39

Apart, trapt hier iemand in? Als je er niet via het internet bij kan komen, dan maar via een andere manier. Mischien was dit bedoeld voor een insider?

PageFault @Bensimpel • 28 juli 2018 01:16

Wij hebben op kantoor al meer dan 5 jaar geen beschikking over iets wat cds kan lezen. Ook prive lees ik cds en dvds al meer dan 10 jaar niet meer.

Bensimpel @PageFault • 28 juli 2018 12:43

Heb 1 jaar geleden nog een losse dvd speler gekocht (Ja die leest ook cdroms), soms wel handig om een dvdtje offline te kijken. Dus ik neem aan dat IT afdelingen nog altijd wel een losse dvd speler hebben liggen ergens. (Heb nu trouwens een losse blu ray speler)

Dennisdn @Bensimpel • 27 juli 2018 20:37

Ik kan mij voorstellen dat om de nieuwsgierigheid tegemoet te komen iemand een oude ongepatchte laptop van zolder moet pakken aangezien niemand meer een cd-lade heeft. Best slim in dat oogpunt.

jpsch @Bensimpel • 27 juli 2018 21:26

Ja, zeker als het persoonlijk geadresseerd is, of verpakt als promotiemateriaal of een stage verzoek of iets dergelijks. Eentje is genoeg.

osmosis @Bensimpel • 28 juli 2018 13:09

Nieuwsgierigheid.
Argeloze gebruikers zoals mijn moeder gaan er vanuit dat CD's weinig kwaad kunnen

Ik zou ook in de verleiding komen om zo'n mysterieuze CD te openen.
Echter dat doe ik dan op een oude barrel die VM dienst doet onder Linux tevens met de netwerk kabel eruit

kazz1980 @Bensimpel • 30 juli 2018 13:02

Vaak kiezen hackers bewust voor relatief doorzichtige manieren om mensen te verleiden iets te doen op de computer... Immers, als je dom genoeg bent daar in te trappen is de kans groot dat je ook dom genoeg bent er niet snel achter te komen / in te grijpen en wellicht ook dom genoeg om allerlei andere zaken op de PC niet goed afgeschermd te hebben (zeg een notepad-bestandje op de desktop met alle wachtwoorden van bedrijfskritische systemen...?). En dus ben je een beter doelwit voor hackers.

WillySis @Bensimpel • 27 juli 2018 19:48

Er zijn nog steeds genoeg mensen die klakkeloos alles gewoon in de PC stoppen en zonder nadenken alle mails inclusief attachments gewoon openen.

Iblies @WillySis • 27 juli 2018 20:07

Er zijn nog steeds genoeg mensen die klakkeloos alles gewoon in de PC stoppen en zonder nadenken alle mails inclusief attachments gewoon openen.

om daar aan toe te voegen, sommige pc’s spelen alles wat je er in stopt nog steeds automatisch af.

Kan cd-ROM zijn, maar net zo goed USB met foto’s/video.

Jimbolino @Iblies • 27 juli 2018 22:54

Sinds 2009 werkt autoplay niet meer op usb drives: KB971029
Helaas zijn de usb stick makers daarom cdrom drives gaan emuleren.

telskamp @Jimbolino • 28 juli 2018 01:28

Volgens mij doet een cd-rom ook al standaard niet meer Autoplay sinds vista.
Sws hoeveel mensen hebben nog een optische drive in hun pc/laptop?

ajow @telskamp • 28 juli 2018 05:52

Eheh,
Bij ons met windows 10 een medion pc van de aldi.
Als je daar een audio cd instopt dan speelt hij het direct af....

Pepperoni @ajow • 28 juli 2018 12:50

Muziek cd autoplay is niet hetzelfde als automatisch een executable runnen. Voor het eerste zie ik in Windows 10 opties voor, dat tweede niet.

Caelestis @WillySis • 27 juli 2018 19:59

Je kan tegenwoordig gewoon alle mails openen. Attachments zijn een ander verhaal maar het is niet zo dat een email openen een risico oplevert.

Verwijderd @Caelestis • 27 juli 2018 20:33

Daar zou ik niet te zeker van zijn. Vooral Outlook gebruikt gewoon de rendering engine van Internet Explorer en die is zo lek als een mandje.

b2vjfvj75gjx7 @Verwijderd • 27 juli 2018 20:36

Outlook gebruikt de render engine van Word... (niet lek, wel brak).

Microsoft notoriously changed the rendering engine used to display emails from Internet Explorer to Microsoft Word with the release of Outlook 2007 - leading to a regression in what HTML and CSS could be used in email campaigns.

Bron : https://litmus.com/community/learning/8-outlook-overview

HTML email scripten is daarom zo bizar complex (zeker ook als je compatible wil zijn met Outlook) - omdat alles via een deprecated render engine uit Word wordt getoond.

[Reactie gewijzigd door b2vjfvj75gjx7 op 23 juli 2024 19:02]

telskamp @b2vjfvj75gjx7 • 28 juli 2018 01:32

Het artikel dat je hier quote heeft het over een Outlook versie van 11jaar oud.. is dit Nog steeds relevant?

Splorky @telskamp • 28 juli 2018 09:41

Ik moet heel eerlijkt zeggen dat ik tot voor kort office 2007 gebruikte.
De ribbon en docx waren daar in actief voor word, en verder vond ik in de nieuwere versies de visuele style alleen maar minder mooi worden en niet genoeg opties bieden waarvan ik van vond dat de aanschaf van een nieuwe versie rechtvaardigde.

Zit er zelfs af en toe nog aan te denken om weer te downgraden omdat de visuele style me in de nieuwe versie nog niet echt aan staat, en 2017 nog steeds word documenten maakt die ook in de nieuwste versie gelezen kunnen worden

Verwijderd @b2vjfvj75gjx7 • 27 juli 2018 20:39

Niet voor HTML emails.

KeesAlderlieste @Verwijderd • 28 juli 2018 11:56

https://www.howto-outlook.com/faq/wordhtml.htm

WillySis @Caelestis • 1 augustus 2018 14:07

Mail, opgemaakt in html kan met wat javascript nog best wat ellende veroorzaken. Een beetje virusscanner zal die poging wel herkennen, maar 100% veilig is een mail nooit. De attachments zijn natuurlijk vele malen gevaarlijker, maar worden ook nog steeds door veel mensen klakkeloos geopend.

Caelestis @WillySis • 1 augustus 2018 14:18

nagenoeg alle mail programma's en web apps blokkeren HTML als standaard. Als je dat beveiliging uit zet dan ben jij zelf het oorzaak en niet de mails.

WillySis @Caelestis • 1 augustus 2018 14:20

Outlook heeft html nog steeds als standaard, net als bijna elke webmail.

Caelestis @WillySis • 1 augustus 2018 14:25

Nee al heel, heel lang niet meer. Tenzij je natuurlijk zo iemand bent die ergens 10+ jaar terug office heeft gekocht en denkt dat het nu nog relevant/veilig is in gebruik?

WillySis @Caelestis • 1 augustus 2018 14:45

Ik gebruik outlook nog steeds en dat is dan (afhankelijk van de machine waar ik achter zit) versie 2010, 13 of 16. Allemaal gebruiken ze standaard html opmaak. Wel worden standaard veel onderdelen (plaatjes ed) geblokkeerd. Ook volgens Microsoft is html nog steeds de default opmaakt (https://support.office.co...da-47fe-b693-cf41f792fefa). Ik weet niet waar jij je informatie vandaan haalt, maar email is minder beschermd dan jij lijkt te denken.
Gmail (voor desktop) doet hetzelfde. De webmail van de provider gebruikt ook html en laat alles zonder restricties zien.

Caelestis @WillySis • 1 augustus 2018 15:02

De plaatjes en onderdelen die geblokkeerd worden zijn juist de plekken waar malafide code in kan zitten. Standaard html opmaak met wat text doet verder helemaal niks en dat krijg je te zien. Dacht je dat het om bandbreedte besparing ging was ofzo?

WillySis @Caelestis • 1 augustus 2018 20:16

Dus in tegenstelling tot je eerdere beweringen toch html.

Dit is wel iets anders dan dat mail programma's geen html gebruiken of html blokkeren.
De standaard opmaak is dus wel degelijk gewoon html, maar met beperkingen voor het tonen van de plaatjes en scripts. Een aantal mail programma's gooien exe en andere uitvoerbare attachments ook nog eens standaard weg. Soms werkt dat met een nep extentie alsnog, maar niet alle mailprogramma's trappen daar in.

Caelestis @WillySis • 1 augustus 2018 22:44

Ik heb nooit gezegd dat de html opmaak niet gebruikt wordt. Ik heb gezegd dat alle mail programma's en web apps standaard html blokkade ingesteld hebben staan. Dat je een preview voorgeschoteld krijgt die volledig vellig is om te openen is juist de bedoeling

WillySis @Caelestis • 3 augustus 2018 16:37

Jij schrijft: nagenoeg alle mail programma's en web apps blokkeren HTML als standaard., Daar lees ik toch een totale blokkade in. Je bedoelt blijkbaar:"... blokkeren standaard delen van HTML". Klijn verschil, maar wel een andere betekenis.

HTML of voluit HyperText Markup Language" is een taal die van oudsher puur voor de opmaak is bedoeld. Met het integreren van allerhande script-talen en externe content (plaatjes, video enz.) is het gevaarlijk geworden.

Caelestis @WillySis • 3 augustus 2018 20:34

Dat jij er een hoeveelheid aan vast wil wil plakken is je eigen probleem. Ik schrijf ook niet "totale blokkade". Dat is wat jij er van maakt dus ga lekker met jezelf ouwehoeren. Punt blijft nog steeds dat emails openen ongeacht of het html opmaak heeft of niet is niet gevaarlijk mits je de beveiliging niet zelf uitschakelt.

gjmi @Caelestis • 27 juli 2018 23:57

Is dat zo? Hoe weet je dat zo zeker? Er worden steeds slimmere hacks en steeds moeilijk vindbare gaten gevonden.

Er van uitgaan dat mails openen gewoon veilig is, is naïef.

ruftman 27 juli 2018 19:32

Cd roms? Hadden de ontvangers dan nog wel de apparatuur om deze te gebruiken?

Twam @ruftman • 27 juli 2018 20:25

Dit zijn dezelfde mensen die in ieder geval 2 jaar geleden ook nog floppy's gebruikten voor bepaalde militaire systemen he. Delen van het nucleaire arsenaal, eigenlijk. En dan niet die kleintjes, nee, de 8"-floppy's: https://www.bbc.com/news/world-us-canada-36385839

Just saying

680x0 @Twam • 27 juli 2018 20:34

En laat nu vooral die 'ouderwetse systemen' amper vatbaar zijn voor het arsenaal aan malware dat tegenwoordig overal de ronde doet..

Dus zo dom is het niet om iets dat nog steeds doet wat het moet doen NIET te vervangen door iets 'modern'...

Twam @680x0 • 27 juli 2018 21:22

O, maar daar heb je natuurlijk gelijk in. Sterker nog, kans is groot dat in het wild niemand rondloopt die die systemen zonder verregaande training kan aanspreken, aanpassen of onderhouden, mocht dat nodig zijn. Las tijdje terug dat men al bar veel moeite had om bijvoorbeeld mensen te vinden die cruciale navigatiesystemen op Win 3.11 op diverse vliegvelden konden onderhouden, puur omdat de know-how verloren aan het gaan is. Ik hoop in het bovenstaande geval alleen dat ze die dingen regelmatig kopiëren naar nieuwe floppy's, liefst met fatsoenlijke checksum-checks enzo.

Maar dan er vanuit gaan dat er nergens meer cd-rom-stations zullen zijn, lijkt me niet realistisch. Dat was m'n punt, en ik denk dat daar weinig controversieels aan is

ajolla @Twam • 27 juli 2018 22:55

'cruciale systemen' op Windows 3.11? Hoe stom kon je zijn.
Unix was ook toen al vele malen stabieler.

PageFault @ajolla • 28 juli 2018 01:15

Blijkbaar niet. Het vliegveld van parijs heeft 3.11 na 25 jaar uitgefaseerd. Dat is voor zowel Windows als unix heel erg lang.

ajolla @PageFault • 28 juli 2018 01:48

Met Unix hadden ze 't niet hoeven uitfaseren, en tussentijds kunnen updaten.

PageFault @ajolla • 28 juli 2018 11:47

Ik denk dat de hardware na die periode ook wel gedateerd was....

ajolla @PageFault • 28 juli 2018 12:57

upgrade, copy, paste.
Van w3.11 naar 10 mag je alles herschrijven, testen, opnieuw opschrijven, reboot, reboot... affijn.

Accretion @PageFault • 28 juli 2018 17:32

Dan is het toch juist fijn als je eenvoudig kunt migreren?

brammieman @ajolla • 29 juli 2018 14:48

Heb ook Unix systemen gezien waarbij upgraden geen optie was omdat legacy hardware geen drivers beschikbaar had. Unix is zeker niet zaligmakend in dat respect.
De software zelf is zelden het probleem. De dedicated interface kaarten met randapparatuur en andere systemen des te meer.
Daarbij als zo'n systeem loopt en zijn ding doet, is er vaak weinig reden om te upgraden.

osmosis @ajolla • 28 juli 2018 13:14

Best slim, als het missie kritisch is en niet hoge systeem-eisen heeft.

Hoeveel hedendaagse virussen richten zich nog op 3.11? Geen.

Trouwens 3.11 is stabiel.
Bij een boerderij in mijn buurt draait nog steeds een 386DX 24/7 dienst met 3.11
voor de melkmachines. Dat ouwe barrel heeft nog nooit uitgestaan in al die jaren (sinds 1991 geloof ik)

macnerd @Twam • 27 juli 2018 23:01

Ik heb alle floppies die ik wilde bewaren omgezet naar een image... gewoon opnieuw schrijven of eventueel mounten als je 'm nodig hebt.

ajolla @macnerd • 28 juli 2018 13:00

Die image moet je op 3 harde schijven danwel thumbdrives zetten. Ik heb al een paar keer double failure gehad; en dan sta je mooi te kijken.

Verwijderd @Twam • 28 juli 2018 12:57

Lang leve Open VMS.

gjmi @Twam • 27 juli 2018 23:59

Op kantoor is het anders dan in het veld. Op kantoor hebben ze echt geen floppies meer (geen 8”, 5 1/4” en geen 1.44”) maar cd-ROM spelers vast nog wel.

[Reactie gewijzigd door gjmi op 23 juli 2024 19:02]

Verwijderd @ruftman • 27 juli 2018 20:01

Je zou er versteld van staan hoeveel mensen dit nog gebruiken. Backups maken op cd-roms/dvd's e.d. Ik kan me niet meer herinneren wanneer ik voor het laatste een laptop had waar nog een drive in zit, maar veel mensen zien het als een probleem dat veel nieuwe laptops het niet hebben.

jpsch @Verwijderd • 27 juli 2018 21:27

Externe drive. Wat ik kwalijker vind is dat ze echt geen 100 jaar meegaan, zoals ons beloofd.

gjmi @jpsch • 28 juli 2018 00:04

Niemand heeft belooft dat gewone CD recordables 100 jaar mee gaan. Gedrukte cd’s wel (die je kant en klaar koopt) en speciale cd-recordables mits donker en koel bewaard.
Als je ze op de vensterbank in de zon laat liggen zijn gewone cd-recordables heel snel niets meer waard. En als je ze laat rondslingeren gaan ze ietsje lange mee. En opgeborgen in een kast/la zou ik er na 5 jaar een nieuwe kopie van maken.

[Reactie gewijzigd door gjmi op 23 juli 2024 19:02]

hsb85 @ruftman • 27 juli 2018 19:37

misschien zijn de brieven wel jaren geleden verstuurd en tot nu toe tegengehouden bij de douane..

Flagg @ruftman • 27 juli 2018 19:49

Ik ben bang dat je de lokale overheden in Amerika een tikkeltje overschat.

DePruus 28 juli 2018 13:16

Primaire drijfveer: NIEUWSGIERIGHEID!
En dat gebeurt telkens weer. Wellicht toch?

aadje93 27 juli 2018 19:24

"kwaadaardige visual basic scripts" gewoon de standaard macro functie in office dus

Tribits @aadje93 • 27 juli 2018 19:33

Misschien een beetje inaccurate berichtgeving, maar Office programmeer je in Visual Basic for Applications (VBA) en normaal gesproken niet in Visual Basic Script (VBS).

macnerd @Tribits • 27 juli 2018 23:15

VBA is gewoon VBS maar met specifieke libraries voorgeladen. In Excel heb je daardoor standaard de beschikking over werkboeken, werkbladen, rijen, kolommen en cellen etc. In Access heb je dan weer tabellen, views en queries. Outlook heeft postvakken, mailberichten, agenda etc. Powerpoint en Word hebben ook zo hun eigen objecten ter beschikking. Zat macro's en losse scripts gebouwd in 't verleden. Zelfs 'classic' ASP werkt zo (al hoort dat niet bij Office): request, response, server en session objecten erbij maar verder gewoon VBscript.

Josk79 @macnerd • 28 juli 2018 12:48

Er zijn wel meer verschillen tussen VBScript en VBA, hoor...

Zo is VBScript bijvoorbeeld untyped ( Dim bla as string kan dus niet)

Tribits @macnerd • 28 juli 2018 20:56

VBA is gewoon VBS maar met specifieke libraries voorgeladen.

VBA en VBS zijn twee verschillende talen die een deel van de syntax met elkaar delen. VBA stamt af van het veel oudere Visual Basic, VBS is onderdeel van Windows Active Scripting. Beide hebben aparte (runtime) libraries en kunnen dus ook las van elkaar in of uitgeschakeld worden. Er worden geen libraries voorgeladen in VBA, de executables van de Office applicaties implementeren een COM server die je vanuit je VBA of VBS code aan kan roepen. Classic ASP maakt gebruik van de scripting engines en kan gebruik maken van VBS, niet van VBA maar kan dan bijvoorbeeld wel weer in JavaScript geprogrammeerd worden. VBS is in principe een verouderde technologie, in plaats daarvan is het verstandiger gebruik te maken van Powershell scripts. Van VBA zal Microsoft vermoedelijk een stuk lastiger afkomen doordat er enorm veel gebruik van wordt gemaakt binnen zakelijke office omgevingen.

Verwijderd @aadje93 • 27 juli 2018 20:02

Maar zelfs als het een standaard functie is, kan je toch nog steeds iets kwaadaardigs maken? Andere kwaadaardige dingen zijn ook gewoon in een standaardtaal geschreven.

Gillonde 27 juli 2018 19:40

'phishingcampagne via de post'

Snail phishing?

Verwijderd 27 juli 2018 20:46

Is dit ILOVEYOU worm rebooted?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:02]

ajolla 27 juli 2018 22:53

Als ik als PR bureau van de overheid een opdracht voor een anti-China campagne kreeg zou ik 't misschien ook zo doen.

cdwave 28 juli 2018 10:51

Misschien hebben ze bij verbouwing van een sorteercentrum nog wat achterstallige post gevonden, die twintig jaar geleden achter de machine was gevallen, en die alsnog verstuurd?

MeMoRy @Nimja • 28 juli 2018 09:28

Die Bond film heb ik nog nooit gezien...

Nimja @MeMoRy • 29 juli 2018 12:27

From Russia With Love - Is the Bond titel. Leek me wel toepasselijk, aangezien mensen denken dat dit uit Rusland komt.

choi99 @stresstak • 28 juli 2018 11:50

hebben ze in China geen weekenden dan?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (71)

Sorteer op:

Weergave: