RiskIQ deelt lijst met meer dan dertig ip-adressen van Russische malwareservers

Beveiligingsbedrijf RiskIQ heeft een lijst gepubliceerd met meer dan dertig ip-adressen van Russische malwareservers die gelinkt zijn aan het hackerscollectief APT29 en de Russische overheid. Volgens het bedrijf worden de servers momenteel nog actief gebruikt.

De bal ging volgens RiskIQ aan het rollen nadat er begin vorige maand op Twitter gewag werd gemaakt van een potentiële WellMess-malwareserver. Het ip-adres en ssl-certificaat werden gedeeld op Twitter waarop RiskIQ deze begon te analyseren. Het bedrijf zocht en vond meer dan dertig soortgelijke, actieve ip-adressen en soortgelijke ssl-certificaten en kon deze ‘met heel wat zekerheid’ linken aan de serverinfrastructuur die APT29 gebruikt. Volgens RiskIQ worden de servers nog actief gebruikt door APT29. Het beveiligingsbedrijf kan niet zeggen welke partijen doelwitten zijn van APT29.

APT29, ook wel bekend als The Dukes of Cozy Bear, is een Russisch hackerscollectief dat vorig jaar via malware wetenschappers uit het Verenigd Koninkrijk, de Verenigde Staten en Canada aanviel die onderzoek deden naar het coronavaccin. Volgens de veiligheidsdiensten van de VS, UK en Canada hadden de hackers ‘hoogstwaarschijnlijk’ de intentie om informatie te stelen over de ontwikkeling van het vaccin. Deze veiligheidsdiensten zeggen dat APT29 'bijna zeker' onderdeel is van de Russische inlichtingendiensten.

Reacties (27)

Cybermage 30 juli 2021 21:06

zo kunnen die dus ook weer ongenummerd worden.
Andere adresje en klaar ben je weer als hackers collectief. Dat schiet dus niet echt iets op of zo
Tenzij je met dynamische lijsten gaat werken maar blijft een kat en muis spelletje

GekkePrutser @Cybermage • 30 juli 2021 21:18

Security is altijd een kat en muis spelletje. Dat betekent niet dat een dynamische blocklijst niet kan helpen. Met spam werkt het ook gewoon. Niet 100% maar het helpt een hoop.

Ik vind inderdaad wel dat het dynamisch moet gaan met een zeer korte schakeltijd. Zo eenmalig een lijst publiceren heeft geen zin. Maar niet alle malware heeft ingebouwde update mechanismen, en hebben vaak hardcoded IPs of domeinnamen. Denk aan de failsafe van Wannacry.

Uiteraard gaat dit leiden tot meer malware die wel remote te updaten is, of bijvoorbeeld gebruik maakt van P2P C&C systemen. Maar dat is het spel...

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 06:25]

Alfa1970 @GekkePrutser • 31 juli 2021 09:21

Dit gaat niet leiden tot meer malware die remote te updaten is, want het is vandaag de dag al zeldzaam dat het niet zo is.

De "dynamische" block lijst bestaat al bij de meeste anti-malware leveranciers.
Dat is iets wat ze al jaren doen, en inderdaad zoals je opmerkt is dat begonnen met anti-spam, maar is al snel uitgebreid met web servers die dienen als malware bron en ook appart nog c&c servers.

Zoals je terecht aangeeft is en blijft het anti-malware verhaal een kat en muis spel, eerst zal er altijd iemand de klos zijn voordat ontdekt wordt dat een nieuwe bron van malware is gevonden en voordat die op de lijst komt te staan.

mikesmit @Alfa1970 • 31 juli 2021 09:47

Noem me oud maar C&C server zal ik altijd lezen als command and conquer server, wetende dat het command and control moet zijn

Alfa1970 @mikesmit • 31 juli 2021 14:36

Ik heb exact hetzelfde gevoel

JanHus @Cybermage • 31 juli 2021 10:01

Echter geeft het de mogelijke slachtoffers wel de kans om met terugwerkende kracht een infiltratie te identificeren.

BytePhantomX @JanHus • 1 augustus 2021 09:19

Dit is echt heel waardevol voor bedrijven, kunnen identificeren of er verkeer is geweest naar die adressen. Zo ja, kun je een onderzoek starten om te bekijken wat er is gebeurd en kun je maatregelen nemen.

Rataplan_ 31 juli 2021 00:16

Dit wordt met IPv6 nog veel lastiger. Adressen in overvloed... Tenzij je complete prefixes gaat blocken wat ook weer wat rigoureus is als er maar één rotte appel inzit, worden blacklists een potentiële crime met IPv6 ben ik bang...

coolkil @Rataplan_ • 31 juli 2021 09:06

Kon je met ipv 6 juist niet heel makkelijk complete werelddelen gewoon met prefix blokkeren. ideaal. Voor de bakker om de hoek die toch geen zaken doet met landen met een hoog hacker gehalte

SkiFan @coolkil • 31 juli 2021 16:00

Ja, alleen zetten dit soort organisaties wel een proxy oid in een ander werelddeel neer.

Enige manier is de bijl zetten in alle kabels die naar Rusland gaan. En zelfs dan nog niet.

Verwijderd 30 juli 2021 21:07

Ik begrijp waarom RiskIQ dit wil doen, maar ik vraag me af of dit wel zo verstandig is..

Lijkt me dat veiligheidsdiensten al zicht hadden op deze servers. Tenzij het essentiële servers zijn van het type welke je niet zo vlug migreert, zal dit er alleen maar toe leiden dat de servers verplaatst worden. En een IP-blok instellen heeft weinig zin als de malware via 'derden' verspreid wordt.

Dus wat is het voordeel van deze actie?

Triblade_8472 @Verwijderd • 30 juli 2021 21:09

Hopelijk dat potentiele slachtoffers zich nu kunnen identificeren.

Of, als je slechter wilt denken, zichzelf profileren via de media.

Alfa1970 @Verwijderd • 31 juli 2021 09:39

Dit is puur enkel en alleen voor de bühne, reclame voor henzelf en hun produkten.

Want laten we wel wezen, RiskIQ is niets meer dan een opgesoepte anti-virus software leverancier.

Elke willekeurige anti-malware leverancier zal een dergelijk lijstje van ip adressen kunnen ophoesten.
Dit is gewoon een stukje van hun dynamische malware ip addressenlijst die ze bijhouden.

Door middel van geolokatie hebben ze uitgedoktert dat deze ip adressen vanuit Rusland komen.
En aldaar ziet men de reclame uiting: "Het grote boze buitenland heeft die en die servers waar rommel op staat".
De realiteit is dat in elk land van de wereld dergelijke servers te vinden zijn.
Of deze servers te linken zijn aan een overheid of een of andere groep is volledig irrelevant en hoogstwaarschijnlijk uit de marketing duim gezogen.

Dick Ravestein @Elefant • 31 juli 2021 08:56

Rusland, Verenigde Staten, China, enz. enz.
Nederland doet het ook hoor. Dus wat mij betreft is het de ketel die de pot verwijt dat hij zwart ziet maar dat is met bijna alles waar overheden e.d. anderen van beschuldigen. M.a.w. internet zal nooit veilig zijn.

oef! @Elefant • 31 juli 2021 12:02

Ontkennen dat Rusland er iets mee te maken heeft. Vaste routine van een paar gebruikers hier.

Het staat je vrij om het onderbouwd te weerleggen, maar dat kun je niet.

bvdli @oef! • 31 juli 2021 16:33

Je draait de bewijslast om, het is niet fair om de claim te weerleggen met onderbouwing. De claim dat de Russen er achter zitten of ermee te maken hebben moet juist worden onderbouwd.
Het is moeilijk aan te tonen dat "Rusland" er iets mee te maken heeft. Tot nu toe is dit speculatie en is er nooit bewijs voor geleverd.

Wanneer criminelen of hackers vanuit Frankrijk aanvallen doen en een deel van hun broncode in Frans schrijven betekent dit ook niet meteen dat Frankrijk er iets mee te maken heeft.

Ook moeten we er rekening mee houden dat geopolitiek een factor is wanneer er naar "de russen" of "de chinezen" wordt gewezen.

[Reactie gewijzigd door bvdli op 26 juli 2024 06:25]

qazwsx 30 juli 2021 22:20

Een vriend zijn whatsapp was gehacked. Kregen we opeens bericht dat hij "via-via" het russische vaccin had gekregen en dat het hem geweldig was bevallen. Te bizar en doorzichtig voor woorden...

MennoE @qazwsx • 30 juli 2021 23:25

Echt? Om zo in Nederland reclame te maken voor het Russische vaccin of zo?

qazwsx @MennoE • 31 juli 2021 13:27

ja echt gebeurd....tijdens het begin van de pandemie. Doel lijkt niet zozeer om het russische vaccin echt te promoten, want ik weet niet hoe je dat hier zou moeten kopen maar meer om te ondermijnen en twijfel te zaaien (denk ik).

bvdli @qazwsx • 31 juli 2021 16:28

Was dat was geen hoax?

Overigens lijkt het vaccin van de russen het goed te doen, ook in onderzoeken die niet door de russen zelf gedaan zijn (Argentina en United Arab Emirates) . Zie Nature artikel https://www.nature.com/articles/d41586-021-01813-2

qazwsx @bvdli • 31 juli 2021 17:44

nee, de hack was echt en het bericht over het russische vaccin was niet geplaatst door mijn vriend. Dit staat even los van de werking van het rusland vaccin. Dit bericht is destijds geplaatst toen het russische vaccin net uit was en was een soort Rusland propaganda die dus via gehackte whatsapp accounts verspreid werd.

WWWWWWWWWWWWWWW 30 juli 2021 22:45

Tijd om die rotzooi op te ruimen dan.

The Ghost 31 juli 2021 22:36

Toch wel grappig dat dit soort onderzoeken altijd maar weer naar Rusland wijzen.
Kijk eens wat voor rommel er over net internet gaat vanuit Azie, maar ja Rusland is eng, dus is het makkelijk om daar naar te wijzen.

Ik heb zelf een aantal servers draaien en zie toch meer vreemde connecties uit landen als Iran, Saoudi Arabia, China, India enz.

Ik heb een beetje het gevoel dat Rusland weer obder een vergrootglas ligt, ik ga ze echt niet verdedigen, maar zijn ze echt zo erg en zo gevaarlijk?

Timoo.vanEsch @The Ghost • 1 augustus 2021 11:36

Wel als je naar de ambities van Putin kijkt.
De Crim?
Oost-Ukraine?
Actieve ondermijning van verkiezingen in het Westen?
Er is reden om aan te nemen dat Rusland gevaarlijk is, ja.

Die andere landen ook, uiteraard. Echter, op een andere manier.
S-A is fundamentalistisch, Iran ook, maar bedreigen vooral elkaar.
China begint ook een gevaar te worden, absoluut. India weet ik zo niet, maar ik kan me voorstellen dat de weelderige corruptie daar ook in het Westen voor problemen gaat zorgen.

tijgetje57 2 augustus 2021 13:41

GEO fencing aanzetten en Rusland knippen?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (27)

Sorteer op:

Weergave: