Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse politie verricht huiszoekingen bij actie tegen im-rat-malware

De Nederlandse politie heeft in de afgelopen week op acht plekken huiszoekingen verricht bij een actie die gericht was tegen gebruikers en kopers van de spionagetool im-rat. Daarmee zijn computers van slachtoffers over te nemen. De tool kon al voor 25 dollar gekocht worden.

Het Cybercrimeteam van de politie-eenheid Noord-Holland verrichtte acht huiszoekingen. De politie heeft verdachten met leeftijden tussen 20 en 36 jaar in het vizier. Bij de huiszoekingen zijn tientallen laptops, desktops, hdd's, usb-sticks en sd-kaarten in beslag genomen. De politie kopieert de gegevens van al deze producten om onderzoek te doen naar persoonlijke data die gestolen kunnen zijn via im-rat.

Het politieonderzoek volgt op eerder onderzoek van de Australische Federale Politie. In juni van dit jaar werden in Australië en België huiszoekingen verricht bij een actie tegen de ontwikkelaar van im-rat en zijn handlangers. Uit dat onderzoek kwam naar voren dat de tool door 14.500 mensen wereldwijd is gekocht en in 124 landen gebruikt wordt.

Afgelopen week richtte een internationale actie zich met name tegen die kopers en gebruikers. Volgens Europol konden gebruikers im-rat voor een bedrag van 25 dollar of hoger inzetten. Met de tool konden ze computers overnemen en zo bijvoorbeeld gegevens stelen, bestanden versleutelen, en meekijken met webcams. Europol schat dat er wereldwijd tienduizenden slachtoffers zijn. Bij de internationale actie zijn gestolen wachtwoorden, foto's en video's aangetroffen op systemen van verdachten. Ook in Colombia, Tsjechie, Polen, Spanje, Zweden en het Verenigd Koninkrijk heeft de politie van die landen opgetreden tegen im-rat-gebruik.

Door Olaf van Miltenburg

Nieuwscoördinator

29-11-2019 • 15:39

88 Linkedin Google+

Reacties (88)

Wijzig sortering
Nee. Hoewel dit geen legal advice is.

Ik heb jaren terug een huiszoeking gehad voor de aanschaf van Blackshades (fusion, niet RAT). Omdat ik deze nooit heb ingezet voor illegale doeleinden ben ik daar niet voor vervolgd.

https://www.nu.nl/weekend...n-omstreden-software.html

edit: gebruiker starfight geeft aan dat het in België in elk geval wel zeker illegaal is, nogmaals - over Nederland kan ik niet oordelen.

[Reactie gewijzigd door Sneek op 29 november 2019 17:08]

Heel vreemd, bij mij zijn ze ook binnengeweest voor Blackshades, maar ik ben schuldig bevonden voor "aankoop van hackingtools". Officiele aanklacht was aankoop, bezit, gebruik en distributie van hackingtools, waar ik voor de 3 anderen bij vrijgesproken. Maar dat is wel in België.
Sorry hoor maar de mensen die ze pakken zijn natuurlijk niet de mensen die dit op grote schaal misbruiken. Die zorgen er wel voor dat ze niet traceerbaar zijn.

Dit is gewoon "symboolpolitiek"
In de film laat ik wel zien dat het vrij eenvoudig is om illegaal toegang te krijgen tot computers. Als ik het vrij eenvoudig kan leren, dan andere geïnteresseerden zonder it achtergrond ook.

Een bekende spreading method is door payloads in een torrent te proppen. Ze voegen dan de film samen met malware en spoofen de extensie. Voor een leek lijkt het dan alsof er een MP4 wordt geopend maar in werkelijkheid wordt de MP4 en de malware geopend nadat een bestand is uitgevoerd. Technisch gezien zit het dus niet direct in een video, maar is het voor een slachtoffer moeilijk om hier onderscheid tussen te maken.

De reden dat ik in de film over de versie van het besturingssysteem begin is als volgt. In het algemeen denken veel mensen veilig te zijn voor hacks als ze hun computer hebben geüpdate en de nieuwste os hebben geïnstalleerd. Dit is ook vaak het advies dat wordt geven. Alhoewel dit zeker een goed advies is, betekend het niet dat je niet gehackt wordt als je je aan dit advies houd. Je maakt het potentiële hackers slechts wat moeilijker.

Er kan wel degelijk (semi)exclusieve toegang worden aangeboden. De loader dropt in de de payload en voert deze ook uit. Loaders hebben traffic nodig om hun actie te voltooien. Dit kost echter tijd. Bij de laatste aankoop die ik deed kreeg je de cliënt side van de loader die de verkoper gebruikte te zien. Dat is de webpagina die ik een soort track en trace pagina noem. Hier ga ik in het eerder genoemde dieper op in.
Het klopt dat de loader dan ook zelf toegang heeft tot het systeem waardoor het in theorie semi exclusieve toegang is.

Ik heb de stubs en payloads naar een aantal distributeurs geupload waaronder virustotal. Hierdoor kon de RAT en crypt die ik gebruikte worden onderzocht en gedetecteerd. De crypter die ik gebruikte had een gedeelde stub waardoor niet alleen mijn crypt maar ook die van andere gebruikers dezelfde encryptie en technieken gebruite. Het uploaden had in dit geval dus wel degelijk zin.

Ik heb de film zo toegankelijk mogelijk proberen te maken voor een groot publiek. Uiteindelijk is mijn doel om awareness te creëren. Hacken voelt voor veel mensen erg ontastbaar. Er zullen vast meer mensen zijn die al veel over het onderwerp wisten. Dat is geen ramp. De film richt zich met name op de mensen die zich niet bewust zijn van dit potentiële gevaar.
Je bent misschien IT'er maar duidelijk geen programmeur met diepere kennis.
Verder maakt het niks uit of men Windows 10 of Windows 7 of 8.x gebruikt, je moet altijd zorgen dat je zoveel mogelijk up2date bent en op een veilige manier met een computer omgaat. Vooral dat laatste is het meest belangrijk en daar is veel te leren voor gebruikers. De ervaring leert dat verreweg het grootste deel van besmettingen plaats vind door dom gedrag van een gebruiker.
Het updaten naar de nieuwste versie helpt ietsjes, maar niet genoeg. Je kunt ook met de nieuwste versie van Windows gewoon tools installeren die niet gedetecteerd worden. Zoals politie (sleepwet) en geheime diensten dag in dag uit doen. Het is hun werk. De nieuwste Windows versie gaat daar niets aan veranderen.

Verder komen veel besmettingen door de gebruiker zelf. Dat zal best, maar dat betekend niet dat remote code execution zonder lokaal geïnstalleerde payload niet mogelijk is. Zie boven: geheime diensten doen niets anders. Het enige verschil is dat de hacks met lokaal geïnstalleerde payload goedkoper en technologisch simpeler zijn dan degene zonder lokaal geïnstalleerde.

En ook daar helpt updaten echt helemaal niets voor de partijen die met nog onbekende exploits werken. Zoals: alle overheden/geheime diensten/polities/criminelen/slimme jongetjes en meisjes en andere partijen met macht monopolies en/of geld.
Je zei of schreef dat filmpjes ook malware kunnen bevatten maar dat klopt niet, je kunt alleen besmet raken door iets wat uitvoerbare code bevat, een macro zoals in word, pdf, en natuurlijk een uitvoerbaar bestand of script. Een plaatje of filmpje hoort daar niet bij. In theorie zou het wel kunnen als je weet dat het programma waarin het plaatje of filmpje geopend worden een specifieke bug bevat waar je op inspeelt en toegang weet te krijgen tot de system of root account en code kan uitvoeren maar die kans is erg klein.
Iets dat je download als filmpje kan best stiekem een executable zijn.

Maar ook een daadwerkelijk filmpje of plaatje kan gewoon exploits bevatten. Dit is in het verleden ook al gebeurd. Dit is dus niet "in theorie zou het kunnen", maar dit kan gewoon en gebeurt gewoon.

Voorbeeld uit 2004 met jpeg: https://www.geek.com/news...peg-flaw-released-557551/


Ik vind het al met al een heel goed filmpje; het maakt namelijk helemaal niet uit hoe men binnenkomt in een PC. Men kan binnen komen. Punt. En 99,99 % van de mensen weten die niet. Zelfs IT'ers niet (blijkbaar). Ik kan het alleen maar toejuichen dat er iemand is die duidelijk maakt dat dit geen vergezochte science fiction is, maar gewoon realiteit. En die de implicaties daarvan duidelijk maakt.

Het enige dat ik miste in het filmpje is de nadruk op het feit dat de mensen die bij de politie en geheime diensten werken (en/of die diensten aansturen) dit kunnen op een veel geavanceerdere manier, dit mogen en dit kunnen misbruiken zonder dat iemand daar ooit achter komt en zonder dat iemand daar ooit verantwoordelijk voor gehouden zal worden. En als het kan zonder consequentie: dan gebeurt het. De reactie die ik vaak krijg (ook hier op Tweakers) als ik Snowden noem is een soort "valt heus wel mee" reactie. Dat is heel eng. Want de implicaties die mensen niet zien of geloven, zijn gigantisch.

Dus: misschien een leuke inspiratie voor een volgend filmpje om daar eens op in te gaan... Hoe je verkiezingen en alle andere politieke beslissingen kunt beïnvloeden als geheime dienst (en defacto dus het land kan besturen). Misschien ook leuk om eens te praten met de Groningse jongens van "Hacker 1". De hackers die daar gebruik van maken behoren tot de top van de wereld als het aankomt op lekken vinden in software en het is allemaal heel toegankelijk.

"There are 2 types of people in the world: those that have been hacked and those that don't know they have been hacked."

[Reactie gewijzigd door GeoBeo op 30 november 2019 10:18]

[...]
GeoBeo, ik zeg juist dat het niks uitmaakt welke versie van Windows je gebruikt zo lang maar zorgt dat het besturingssysteem de laatste patches heeft. (up2date)
[...]
En ik zeg dus dat de laatste patches je heel weinig gaan helpen tegen exploits die bewust onder de pet worden gehouden.

Besturingssysteem met de laatste patches is voor mij synoniem aan "laatste versie van het besturingssysteem" in mijn ogen trouwens. Dus we hebben het over hetzelfde, alleen ben ik het niet met je eens.
Je haalt dingen door elkaar, remote code execution middels zero-day kan alleen als je de host kunt bereiken door bijv in hetzelfde subnet te zitten dan moet je eerst langs de router en dan is het nog maar de vraag wat voor firewall ze hebben draaien want bijv. Windows SMB kan een lek hebben maar als je daar niet bij kunt gaat die exploit ook niks doen. Of men kan proberen te injecteren via een http verbinding maar als alles versleuteld is wordt het al een stukje lastiger. Men kan proberen een man in the middle te zetten of TLS te slopen en middels fake dns alles om te leiden, dns is op dit moment natuurlijk nog steeds onveilig en dat is wel een probleem.
Er zijn wel meer manieren. Je kunt er ook voor zorgen dat iemand payloads binnen krijgt via geinfecteerde websites of emails of ads. Dan gaat de request dus vanuit de geïnfecteerde machine en dat gaat prima. Bijvoorbeeld door een hijack van het browser proces of andere processen die op de machine draaien. Javascript is een enorme attack surface.

Verder kun je binnenkomen in een LAN via verouderde Android versies (via bluetooth/wifi/USB/ads/javascript/anders) die zich verbinden met de WIFI van het LAN en machines van een slachtoffer. Het overgrote deel van smartphone gebruikers draait Android en van dat overgrote deel loopt bijna iedereen rond met een verouderde Android en/of Android bloatware die vol zit met oude bekende werkende exploits en/of zelf gedownloade malafide apps.

Verder zijn er genoeg andere remote code execution methodes door exploits die helemaal los van de browser werken. Zomaar een voorbeeld van een remote exploit die op bijna alle Dell laptops werkt(e): https://d4stiny.github.io...n-on-most-Dell-computers/

Een ander voorbeeld waren Lenovo laptops die (!! tot 3x toe !!) met voorgeinstalleerde rootkits geleverd werden. Die geïnstalleerd stonden in de firmware van de machines. Ook daar kun je je OS updaten wat je wilt, en juiste password hygiëne gebruiken en al die andere "wijze ICT tips" gebruiken, maar dat gaat daartegen echt helemaal niets uithalen.

De enige reden dat die exploits niet meer werken, is omdat de hackers die ze vonden toevallig eerlijk waren. Genoeg hackers die dat niet zijn of overheden die bewust zo'n soort hack geheime houden.

Als de requests voor de hack vanuit het slachtoffer zelf komen (wat in heeeeeel veel gevallen zo is) dan gaat je hele verhaal over het beschermende netwerk niet op. Alle moderne software (OS, apps, office apps, cloud meuk, etc) stuurt constant requests naar buiten zonder dat de gebruiker het door heeft.
En natuurlijk helpt patchen wel degelijk, sterker nog als je niet patched hebben ze geen onbekende exploits nodig en is de kans wel groot dat je iets oploopt.
Patches helpen tegen bekende/oude en actief misbruikte exploits. Patches helpen helemaal niets tegen actief misbruikte exploits waarvan het bestaan (o.a. door overheden en geheime diensten) bewust geheim wordt gehouden.

OS patches helpen in het geheel niet tegen exploits de buiten het OS om gaan. Zoals in het Dell voorbeeld hierboven.

In andere woorden: nee. Patches voorkomen helemaal niet dat je gehackt kan worden. Ze verminderen alleen de kans dat je gehackt wordt door "script kiddies" of amateurs.
Maar we moeten ook zeker niet overdrijven, ik krijg de indruk als ik jou verhaal lees dat we allemaal allang gehackt moeten zijn maar dat is natuurlijk niet zo.
Oh? Heb je daar onderbouwing voor?

Ik kan je garanderen dat als jij om welke reden dan ook interessant bent voor kwaadwillenden of geheime diensten ze gewoon bij je binnen komen en jij daar helemaal niets van merkt.

Valt dat dan onder "we kunnen rustig slapen, want we hebben nog niet gemerkt dat we gehackt zijn?"
Als je netjes je spullen op tijd patched, op een verantwoordelijke manier met wachtwoorden, beveiliging en je internet gebruik om gaat heb je vooralsnog weinig te vrezen.
Je maakt het risico iets kleiner met verantwoord ICT gebruik. Maar niets te vrezen? Niets te vrezen zolang je niemand bent en zo lang het politieke klimaat niet omslaat (en zolang je niet per ongeluk een keer een foutje maakt in je "perfecte gedrag"). Sure. Maar dat valt bij mij in het geheel niet onder "niets te vrezen".

Zeker jij bijvoorbeeld als IT'er die binnenkomt in netwerken van (grote) bedrijven bent per definitie een interessant target. Dat je niets te vrezen denkt te hebben zegt mij dat je daar iets te makkelijk over denkt.
Daar is voor een gemiddelde gebruiker extreem veel winst te behalen! Het is moeilijk om zoiets in getallen uit te drukken maar 98% van de mensen die besmet raken is puur hun eigen schuld en had met een gedragsverandering voorkomen kunnen worden.
Deels mee eens.
Zo'n besmet advertentie netwerk is geloof ik 1 of 2x voorgekomen en dat werd snel ontdekt.
Fout op meerdere manieren. Ten eerste gebeurt dat veel vaker dan 1 of 2x. Ten tweede zijn dat voorbeelden van netwerken die op grote schaal misbruikt werden, waarbij het ontzettend voor de hand liggend was dat men erachter zou komen en zich ertegen zou verweren. Ten derde hoe weet je dat er nu geen advertentie netwerken actief misbruikt worden op een subtielere manier?

Dat we het niet zien betekend niet dat het niet bestaat.
Wat ik als een veel groter gevaar zie zijn al die IoT apparaten die in steeds meer huishoudens aanwezig zijn vaak bestuurd door 1 of ander bedrijf die dus toegang hebben tot je lokale netwerk, vaak amper gepatched worden of stokoude software draaien. En ook android smartphones zijn een enorm gevaar want dat hele eco systeem is zo lek als een vergiet. Dus eigenlijk wordt het alleen maar lastiger om alles veilig te houden en daar moet echt wat gaan gebeuren. Anders gaat het wel een keer fout en kun je daar als gebruiker daadwerkelijk niks aan doen. (behalve dat soort apparatuur niet meer gebruiken)
Hier ben ik het dus volledig mee eens. Maar je spreekt daarmee wel je eerdere eigen punt keihard tegen dat we allemaal wel veilig zijn. Wat als jij met je telefoon of verouderde camera met wifi bij vrienden thuis komt waarvan het netwerk en machines volledig besmet zijn?

Remote code execution is prima mogelijk via dat soort lekken die constant requests naar buiten sturen.
Als de lekke software het werk van de payload (requests naar buiten sturen, data ophalen en executen) al voor je doet heb je natuurlijk geen eigen payload meer nodig he :P
Alles kan (stiekem) uitvoerbare code bevatten of een alternate datastream of een andere extensie krijgen, je kunt allerlei data verstoppen in bestanden alleen je hebt er niks aan als het programma waar je het mee opent niks met die code of data doet. En daarom hoef je ook niet bang te zijn dat je zomaar besmet wordt door een filmpje of plaatje. En je komt altijd met vage linkjes die nergens over gaan.
De link was een exploit die werkt via het inladen van een plaatje (en verder helemaal niets). Dat jij niet verder wil zoeken naar meer info, of het niet begrijpt betekend niet dat het niet bestaat he...
En je komt altijd met vage linkjes die nergens over gaan.
En jij komt met 0 linkjes of onderbouwing.

[Reactie gewijzigd door GeoBeo op 30 november 2019 15:19]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True