Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

Het Taiwanese Investigation Bureau heeft voorge´nstalleerde trojans aangetroffen op schijven van Seagate. Het vermoeden bestaat dat de Chinese overheid betrokken is bij de plaatsing van de spionagesoftware.

Het gaat om Maxtor Basics 500G-schijven die zijn gefabriceerd in Thailand en gebruikt worden door de Taiwanese overheid. De malware die de onderzoeksdienst gevonden heeft, is geprogrammeerd om alle data die op de schijven opgeslagen wordt, door te sluizen naar nice8.org en we168.org, twee sites die geregistreerd staan in Peking. Volgens het Taiwanese Ministerie van Justitie zou onder andere de trojan ghost.pif aangetroffen zijn.

Trojan horseHet Investigation Bureau sluit niet uit dat er al gevoelige gegevens richting de Chinese sites zijn doorgestuurd. Omdat de aanvalsmethode ongebruikelijk is, vermoedt de dienst dat Chinese autoriteiten betrokken zijn bij de plaatsing. Het bureau heeft de distributeur in Taiwan opgedragen het product direct uit de schappen te halen. Het onderzoek kwam vorige maand op gang door meldingen van consumenten dat de schijven virussen zouden bevatten. Volgens de distributeur zijn er 1800 Seagate-schijven van het betreffende type geleverd. Onduidelijk is hoe de spionagesoftware op de producten terecht is gekomen. Seagate geeft aan de zaak te onderzoeken, schrijft de Taipei Times.

Saillant detail is dat in augustus geruchten opdoken dat een Chinees technologiebedrijf ge´nteresseerd was in een overname van de Amerikaanse fabrikant van harde schijven, hetgeen tot ongerustheid leidde bij de overheid vanwege de veiligheidsrisico's die dit met zich mee zou brengen. In september werd een virus aangetroffen op schijven van Maxtor.

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (63)

De trojan is niet tijdens de productie geinstalleerd IMO. Hoogstwaarschijnlijk is een grote distributeur betrokken bij omkoping IMO. Al dan niet bewust, want dat kunnen ook weer bepaalde medewerkers binnen een distributeur betreffen.

Als het werkelijk de Chineze overheid zou zijn die er achter zit, dan zullen ze het niet riskeren om Thailand boos te maken. Ik denk dat China zich wel 2x bedenkt voordat ze de geheime dienst Thailand insturen. Als de Thai's daar achter zouden komen is de boot zwaar aan. Die schijven zijn in China of Taiwan onder handen genomen IMO.

[Reactie gewijzigd door ByeSell op 12 november 2007 12:46]

Republiek China en Volksrepubliek China... En die 2 zijn al jaren boos op elkaar en willen al jaren de baas spelen in de 2 samengevoegde landen. Een soort van Oost- en West Duitsland.

Republiek China (Taiwan dus) wordt door Nederland overigens niet erkent.

Een beetje meer of minder ruzie maakt voor beide landen niet echt veel uit, de ÚÚn is een kernmacht, de andere heeft rugdekking van een kernmacht. Hier hoef je dus geen herrie te verwachten, er valt niks te winnen.
Republiek China (Taiwan dus) wordt door Nederland overigens niet erkent.
Dat is ook alleen maar omdat wij (NL dus) graag ook met China handel drijven.
Verder hebben we daar wel een Trade-Office zitten, wat toevallig precies dezelfde functie heeft als een ambassade en waar iemand zit die officieel onbetaald verlof heeft en wel netjes een onkostenvergoeding krijgt wat heel toevallig overeen komt met zijn salaris, etc.
Als je in Taipei zit en je moet een nieuw paspoort hebben, gaat dat ook via dat trade-office en als je in (juridische) problemen komt ga je ook daar heen.
Dus dat niet-erkennen is ook alleen maar een politiek labeltje.
Als het werkelijk de Chineze overheid zou zijn die er achter zit, dan zullen ze het niet riskeren om Thailand boos te maken. Ik denk dat China zich wel 2x bedenkt voordat ze de geheime dienst Thailand insturen. Als de Thai's daar achter zouden komen is de boot zwaar aan. Die schijven zijn in China of Taiwan onder handen genomen IMO.
Wil niet lullig zijn, maar Thailand stelt in vergelijking met de macht die China heeft weinig voor. Dus waarom zouden zij bang moeten zijn?
haha inderdaad. Ik denk dat China niet echt onder de indruk is van de geheime dienst van Thailand (oeh gevaarlijk 8-) )
Het lijkt wel een trend te worden of er gaat daar iets niet goed bij Seagate. Twee maanden geleden ondervonden dit ook in NL. Geen goede kwaliteitscontrole bij Seagate?

[Reactie gewijzigd door Jimster op 12 november 2007 13:34]

Zou dat niet gewoon dezelfde malware zijn geweest ? Daar was ook sprake van ghost.pif, zie dit topic op GoT:
forum: Virus nieuw gekochte externe harddisk
'Tis eigenlijk te gek voor woorden dat ik mijn hardware moet gaan scannen voordat het goed en wel in mijn computer zit... :X
Hahaha +1 grappig :D

Ontopic: Dan wis je die harde schijf toch gewoon? What's the point? Virussen hebben meestal wel een OS nodig om te werken :+ Of zijn dit geen 'plain' schijven en staat er al een compleet besturingssysteem op? Lijkt me dat je je schijf altijd wel even herpartitioneerd voordat je een systeem installeerd :/

Edit: Typo.

[Reactie gewijzigd door Sebazzz op 12 november 2007 12:33]

Zou het niet zo zijn dat die trojan in de firmware of een onzichtbaar stukje schijf is gezet? Klinkt misschien ongeloofwaardiger, maar als je zover gaat als iemand omkopen om een virus te zetten op hardware die nog niet eens verkocht is, dan zou je toch stom zijn als het dmv een format C: op te lossen is.
Volgens het Slashdot artikel staat er in ieder geval een autorun.inf bestand en een executable op. Het hangt er een beetje vanaf wat daar in staat en welke versie van Windows je gebruikt, maar het is goed mogelijk dat als je de schijf alleen maar aanklikt in Explorer er al iets gestart wordt.

De kans is dus behoorlijk groot dat een gemiddelde gebruiker die schijf in zijn systeem schroeft en er dan in Windows op klikt, voordat 'ie 'm herpartitioneert of formatteert (wat waarschijnlijk ook werkt; het ging v.z.i.w. niet om bootsectorvirussen of iets degelijks). Dat gaat natuurlijk niet op als je de schijf in een nieuw systeem stopt, want dan zal 'ie meestal als onderdeel van het installatieproces geformatteerd worden.

[Reactie gewijzigd door Soultaker op 12 november 2007 19:03]

Dan wis je die harde schijf toch gewoon? What's the point? Virussen hebben meestal wel een OS nodig om te werken.
Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.(Bron: Symantec)

Wel zuur dat harde schijven niet gewist ('gezeroot' 't liefst i.v.m. compressie van backups van partities) uit de fabriek komen.

[Reactie gewijzigd door kidde op 12 november 2007 19:10]

waarom voel ik mij ineens een stuk onveiliger achter mijn splinternieuwe Lenovo Thinkpad T61?.... :| :+
zover ik weet worden hdds ongeformat verkocht, kan ook niks terugvinden hierover in gelinkte artikelen. lijkt me meer voor de hand dat het bedrijf welke de computers leverde de trojan in de install-image (ghost image met os, alle drivers, software) gestopt heeft, waardoor het vervolgens in de 'computerfabriek' automatisch geinstalleerd werd.

[Reactie gewijzigd door Saladin79 op 12 november 2007 12:29]

Dan formateer je de hardeschijf toch even ;)
Het ghost.pif wordt automatisch uitgevoerd door een autorun wanneer de HD zich aansluit.
Veel mensen hebben dit standaard aan staan, waardoor het virus wordt opgestart.
Geen idee. Waarom? Niet hierdoor zou ik zeggen. Dit was gericht op overheden. Er zijn er ook maar 1800 geleverd, dus de kans dat die bij jouw in je laptop zit...
Ik hoor veel mensen zeggen: maar dan formatteer je hem toch?
Er is echter ook nog zo iets als een Master Boot Record, de MBR, waarin een virus ook geplaatst kan worden. (deze .pif uiteraard niet). Dit is zeker geen denkbeeldig risico; in het verleden zijn er meerdere keren HD's op de markt geweest met een MBR virus als af-leverancier er op. Simpelweg formatteren is dan geen oplossing.
FIXMBR en problems solved ;)

Nah... ff realistisch, dit is dus wat ik bedoelde in mijn vorige post... alles is mogelijk. Straks heb je al standaard een virus in je BIOS zitten als ie van de fabriek komt.
men probeert alles om controle te verkrijgen.
Dit gaat straks de pan uit rijzen...
Gewoon even een low level format en klaar.
Standaard worden schijven tegenwoordig geformateerd aangeleverd.

Dit zijn volgens de site ATA schijven en die worden standaard geleverd met een programma om te zorgen de de volledige capaciteit wordt aangesproken. In het geval van Maxtor is dit MaxBlast.

Mogelijk dat deze software al voorge´nstaleerd stond. In het verleden heb ik wel vaker schijven gehad waar een soortgelijk programma al op ge´nstalleerd stond. (De Maxtor site geeft mij hier geen uitsluitsel over).
500GB uploaden zou toch wel enigsinds opvallend gaan worden. Het klinkt meer als iemand in Taiwan die weer eens kwaad is op China dan een erg realistisch verhaal.

Als je een heleboel data naar die schijf download en het op DVDs brandt, zou je PC dan weigeren de data te verwijderen omdat het nog niet klaar was met uploaden? Zou hij dag en nacht alleen maar staat te uploaden als je de data op de schijf vaak wijzigd?
Dan moet er wel 500GB aan gevoelige gegevens op staan. Waarschijnlijk scanned het virus naar DOC en XLS files, deze zijn slechts een paar MB de stuk, veel verder dan een paar GB zal je dus niet komen. Ik bedoel, ze hebben weinig aan het uploaden van MP3's of eventueel programmatuur wat op die harddisks staat opgeslagen. Dit zal wel selectief zijn.

[Reactie gewijzigd door wallywally op 12 november 2007 16:24]

De malware die de onderzoeksdienst gevonden heeft, is geprogrammeerd om alle data die op de schijven opgeslagen wordt, door te sluizen naar nice8.org en we168.org
Hoe krijgen ze dat voor elkaar dan.. bij middelmatig pc gebruik (of misschien zelfs al wanneer je windows idle draait) genereer je al zoveel data dat een normale internet verbinding volledig dicht slipt met deze trojan. Zouden ze hier een filter of iets dergelijks voor ingebouwd hebben?

Verder wel hele slechte zaak natuurlijk.

[Reactie gewijzigd door Dracoo op 12 november 2007 15:18]

Hoe kan dat daar nu opstaan? Een nieuwe schijf die geinstalleerd wordt, wordt toch meestal eerst geformatteerd? Zeker als er een nieuw OS op geisntalleerd wordt?

In de verpakking is er toch niet eens een partitie op aanwezig??
Waarschijnlijk zit de trojan in de firmware van de harde schijf zodat hij zichzelf installeert nadat de schijf geformateerd is. Best leuk idee eigenlijk... Nog een reden waarom firmware altijd open (source) en transparant moet zijn, je kunt er gewoon niet op vertrouwen dat een in de winkel gekocht apparaat correct omgaat met jouw privacy en burgerrechten.
Je hebt natuurlijk niets aan open-source firmware als je niet kan nagaan of de aanwezige firmware gelijk is aan de source.
Daar zat ik ook al aan te denken, en hoe wordt de trojan zelf actief?!
Persoonlijk vind ik dit toch vrij onrealistisch en eerder angst makerij zonder enige vorm van bewijzen. Taiwan & Peking werken absoluut niet samen, sterker nog als China nu daar kon invallen zonder al te veel herrie deden ze dat. Ik kan me dan ook niet voorstellen dat een Taiwanees bedrijf de Chinese overheid zou helpen. Misschien dat er in Seagate zelf een Chinese werknemer voor de Chinese overheid werkt maar dit gaat toch wel erg ver richting SciFi. Trouwens ook toevallig dat dit soort nieuws bekend wordt vlak voor de internet neutraliteits debatten, dit lijkt eerder op ff een pootje bij China onderuit halen zodat er niet teveel licht wordt gezet op de eigen (lees Amerikaanse) overheid.
Wel even goed lezen:
Het gaat om Maxtor Basics 500G-schijven die zijn gefabriceerd in Thailand en gebruikt worden door de Taiwanese overheid.
Thailand is een behoorlijk open land en prima toegankelijk voor zowel Chinezen als Taiwanezen. Juist 'neutrale grond' kan misbruikt worden voor dit soort praktijken. Beide overheden hebben weinig controlemiddelen buiten hun eigen grondgebied dus als de productie in Thailand gebeurt dan snap ik best dat de Chinezen daar een geintje kunnen uithalen waar ze in Taiwan geen zicht op hebben. Juist in eigen land zou dat inderdaad veel lastiger zijn.

En nee, natuurlijk werken aartsvijanden niet samen. Die willen elkaar zoveel mogelijk ongemerkt bespioneren. Noem het maar gerust Koude Oorlog II waarbij geen van beide partijen elkaar het licht in de ogen gunt.
Bijna alle Taiwanese bedrijven (Asus, Gigabyte etc) produceren in China en ontwerpen in Taiwan, in die fabrieken in China werken dan ook Chinezen.

Het hoeft dus geen Taiwanees bedrijf te zijn maar is het zo onrealistisch dat ergens tussen de miljoenen werknemers in computerfabrieken in China 1tje van de geheime dienst zit?

[Reactie gewijzigd door Dutch_Razor op 12 november 2007 12:36]

moest je zoveel moeite doen om een virus via een producent in het buitenland op een product te krijgen, zou het dan niet aanneemlijk zijn om de websites waar het data naar doorstuurt OOK in het buitenland te registreren zodanig dat er tenminste geen paper trail achterblijft ????

tegenwoordig steekt men de vinger wel heel snel richting china. Besides, als het dan toch zo simpel is opgezet, dan kan je de data evengoed direct naar het datacenter van de overheid laten sturen ipv via een of andere site.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True