Seagate-schijven met Chinese trojan ontdekt

Het Taiwanese Investigation Bureau heeft voorgeïnstalleerde trojans aangetroffen op schijven van Seagate. Het vermoeden bestaat dat de Chinese overheid betrokken is bij de plaatsing van de spionagesoftware.

Het gaat om Maxtor Basics 500G-schijven die zijn gefabriceerd in Thailand en gebruikt worden door de Taiwanese overheid. De malware die de onderzoeksdienst gevonden heeft, is geprogrammeerd om alle data die op de schijven opgeslagen wordt, door te sluizen naar nice8.org en we168.org, twee sites die geregistreerd staan in Peking. Volgens het Taiwanese Ministerie van Justitie zou onder andere de trojan ghost.pif aangetroffen zijn.

Trojan horseHet Investigation Bureau sluit niet uit dat er al gevoelige gegevens richting de Chinese sites zijn doorgestuurd. Omdat de aanvalsmethode ongebruikelijk is, vermoedt de dienst dat Chinese autoriteiten betrokken zijn bij de plaatsing. Het bureau heeft de distributeur in Taiwan opgedragen het product direct uit de schappen te halen. Het onderzoek kwam vorige maand op gang door meldingen van consumenten dat de schijven virussen zouden bevatten. Volgens de distributeur zijn er 1800 Seagate-schijven van het betreffende type geleverd. Onduidelijk is hoe de spionagesoftware op de producten terecht is gekomen. Seagate geeft aan de zaak te onderzoeken, schrijft de Taipei Times.

Saillant detail is dat in augustus geruchten opdoken dat een Chinees technologiebedrijf geïnteresseerd was in een overname van de Amerikaanse fabrikant van harde schijven, hetgeen tot ongerustheid leidde bij de overheid vanwege de veiligheidsrisico's die dit met zich mee zou brengen. In september werd een virus aangetroffen op schijven van Maxtor.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 12-11-2007 12:12 63

12-11-2007 • 12:12

63

Lees meer

Chinese topambtenaar veroordeeld voor antivirusfraude
Chinese topambtenaar veroordeeld voor antivirusfraude Nieuws van 14 december 2010
Muizenfabrikant Razer verspreidde trojaanse paarden met drivers
Muizenfabrikant Razer verspreidde trojaanse paarden met drivers Nieuws van 22 september 2009
Seagate brengt firmwarefix voor 1,5TB-Barracuda uit
Seagate brengt firmwarefix voor 1,5TB-Barracuda uit Nieuws van 26 november 2008
Asus: 'enkele' Eee Box-systemen zijn met virus uitgeleverd
Asus: 'enkele' Eee Box-systemen zijn met virus uitgeleverd Nieuws van 10 oktober 2008
Asus stuurt cracks en vertrouwelijke documenten mee op herstel-dvd's
Asus stuurt cracks en vertrouwelijke documenten mee op herstel-dvd's Nieuws van 18 september 2008
Seagate kondigt nieuwe externe harde schijven aan
Seagate kondigt nieuwe externe harde schijven aan Nieuws van 15 september 2008
Seagate kondigt 1,5TB-harddisk aan
Seagate kondigt 1,5TB-harddisk aan Nieuws van 11 juli 2008
Seagate introduceert 2,5"-harde schijf met 6Gbps-sas-interface
Seagate introduceert 2,5"-harde schijf met 6Gbps-sas-interface Nieuws van 4 juni 2008
FBI: China zet Cisco-namaakrouters in voor inbraken VS
FBI: China zet Cisco-namaakrouters in voor inbraken VS Nieuws van 16 mei 2008
HP blijkt besmette usb-flashdrives te hebben verkocht
HP blijkt besmette usb-flashdrives te hebben verkocht Nieuws van 8 april 2008
Seagate vernieuwt Cheetah 15K.6-harddisks
Seagate vernieuwt Cheetah 15K.6-harddisks Nieuws van 5 maart 2008
Beveiligers willen standaard voor malwaretests
Beveiligers willen standaard voor malwaretests Nieuws van 5 februari 2008
Geen winnaar in uitgebreide virusscannertest
Geen winnaar in uitgebreide virusscannertest Nieuws van 29 januari 2008
Britse geheime dienst waarschuwt voor Chinese spionage
Britse geheime dienst waarschuwt voor Chinese spionage Nieuws van 3 december 2007
Apple bevestigt problemen met MacBook-schijven
Apple bevestigt problemen met MacBook-schijven Nieuws van 27 november 2007
China beweert zelf ook slachtoffer cyberaanvallen te zijn
China beweert zelf ook slachtoffer cyberaanvallen te zijn Nieuws van 23 september 2007
Virus aangetroffen op externe Maxtor-hardeschijven - Update
Virus aangetroffen op externe Maxtor-hardeschijven - Update Nieuws van 19 september 2007
Chinees cyberleger bedreigt superioriteit VS
Chinees cyberleger bedreigt superioriteit VS Nieuws van 9 september 2007
'Ook Britse overheids-pc's aangevallen door Chinese hackers'
'Ook Britse overheids-pc's aangevallen door Chinese hackers' Nieuws van 5 september 2007
Seagate ontkent overnamegeruchten en verhoogt winstverwachting
Seagate ontkent overnamegeruchten en verhoogt winstverwachting Nieuws van 29 augustus 2007
Chinezen laten oog vallen op Seagate, VS ongerust
Chinezen laten oog vallen op Seagate, VS ongerust Nieuws van 27 augustus 2007
China ontkent betrokkenheid Duitse overheidshack - update
China ontkent betrokkenheid Duitse overheidshack - update Nieuws van 27 augustus 2007
Meer producten en artikelen
Netwerk Seagate Beveiliging China Taiwan

Reacties (63)

-Moderatie-faq
63
58
15
6
0
10
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 12 november 2007 12:40
De trojan is niet tijdens de productie geinstalleerd IMO. Hoogstwaarschijnlijk is een grote distributeur betrokken bij omkoping IMO. Al dan niet bewust, want dat kunnen ook weer bepaalde medewerkers binnen een distributeur betreffen.

Als het werkelijk de Chineze overheid zou zijn die er achter zit, dan zullen ze het niet riskeren om Thailand boos te maken. Ik denk dat China zich wel 2x bedenkt voordat ze de geheime dienst Thailand insturen. Als de Thai's daar achter zouden komen is de boot zwaar aan. Die schijven zijn in China of Taiwan onder handen genomen IMO.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:56]

cariolive23 @Verwijderd12 november 2007 13:17
Republiek China en Volksrepubliek China... En die 2 zijn al jaren boos op elkaar en willen al jaren de baas spelen in de 2 samengevoegde landen. Een soort van Oost- en West Duitsland.

Republiek China (Taiwan dus) wordt door Nederland overigens niet erkent.

Een beetje meer of minder ruzie maakt voor beide landen niet echt veel uit, de één is een kernmacht, de andere heeft rugdekking van een kernmacht. Hier hoef je dus geen herrie te verwachten, er valt niks te winnen.
TD-er @cariolive2312 november 2007 13:56
Republiek China (Taiwan dus) wordt door Nederland overigens niet erkent.
Dat is ook alleen maar omdat wij (NL dus) graag ook met China handel drijven.
Verder hebben we daar wel een Trade-Office zitten, wat toevallig precies dezelfde functie heeft als een ambassade en waar iemand zit die officieel onbetaald verlof heeft en wel netjes een onkostenvergoeding krijgt wat heel toevallig overeen komt met zijn salaris, etc.
Als je in Taipei zit en je moet een nieuw paspoort hebben, gaat dat ook via dat trade-office en als je in (juridische) problemen komt ga je ook daar heen.
Dus dat niet-erkennen is ook alleen maar een politiek labeltje.
PCMedic @Verwijderd12 november 2007 20:44
Als het werkelijk de Chineze overheid zou zijn die er achter zit, dan zullen ze het niet riskeren om Thailand boos te maken. Ik denk dat China zich wel 2x bedenkt voordat ze de geheime dienst Thailand insturen. Als de Thai's daar achter zouden komen is de boot zwaar aan. Die schijven zijn in China of Taiwan onder handen genomen IMO.
Wil niet lullig zijn, maar Thailand stelt in vergelijking met de macht die China heeft weinig voor. Dus waarom zouden zij bang moeten zijn?
Verwijderd @PCMedic13 november 2007 01:11
haha inderdaad. Ik denk dat China niet echt onder de indruk is van de geheime dienst van Thailand (oeh gevaarlijk 8-) )
Jimster 12 november 2007 13:33
Het lijkt wel een trend te worden of er gaat daar iets niet goed bij Seagate. Twee maanden geleden ondervonden dit ook in NL. Geen goede kwaliteitscontrole bij Seagate?

[Reactie gewijzigd door Jimster op 23 juli 2024 05:56]

Henk007 @Jimster12 november 2007 13:40
Zou dat niet gewoon dezelfde malware zijn geweest ? Daar was ook sprake van ghost.pif, zie dit topic op GoT:
forum: Virus nieuw gekochte externe harddisk
Jouke74 12 november 2007 12:17
'Tis eigenlijk te gek voor woorden dat ik mijn hardware moet gaan scannen voordat het goed en wel in mijn computer zit... :X
Sebazzz @Jouke7412 november 2007 12:32
Hahaha +1 grappig :D

Ontopic: Dan wis je die harde schijf toch gewoon? What's the point? Virussen hebben meestal wel een OS nodig om te werken :+ Of zijn dit geen 'plain' schijven en staat er al een compleet besturingssysteem op? Lijkt me dat je je schijf altijd wel even herpartitioneerd voordat je een systeem installeerd :/

Edit: Typo.

[Reactie gewijzigd door Sebazzz op 23 juli 2024 05:56]

Verwijderd @Sebazzz12 november 2007 13:23
Zou het niet zo zijn dat die trojan in de firmware of een onzichtbaar stukje schijf is gezet? Klinkt misschien ongeloofwaardiger, maar als je zover gaat als iemand omkopen om een virus te zetten op hardware die nog niet eens verkocht is, dan zou je toch stom zijn als het dmv een format C: op te lossen is.
Soultaker @Sebazzz12 november 2007 19:01
Volgens het Slashdot artikel staat er in ieder geval een autorun.inf bestand en een executable op. Het hangt er een beetje vanaf wat daar in staat en welke versie van Windows je gebruikt, maar het is goed mogelijk dat als je de schijf alleen maar aanklikt in Explorer er al iets gestart wordt.

De kans is dus behoorlijk groot dat een gemiddelde gebruiker die schijf in zijn systeem schroeft en er dan in Windows op klikt, voordat 'ie 'm herpartitioneert of formatteert (wat waarschijnlijk ook werkt; het ging v.z.i.w. niet om bootsectorvirussen of iets degelijks). Dat gaat natuurlijk niet op als je de schijf in een nieuw systeem stopt, want dan zal 'ie meestal als onderdeel van het installatieproces geformatteerd worden.

[Reactie gewijzigd door Soultaker op 23 juli 2024 05:56]

kidde @Sebazzz12 november 2007 19:09
Dan wis je die harde schijf toch gewoon? What's the point? Virussen hebben meestal wel een OS nodig om te werken.
Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.(Bron: Symantec)

Wel zuur dat harde schijven niet gewist ('gezeroot' 't liefst i.v.m. compressie van backups van partities) uit de fabriek komen.

[Reactie gewijzigd door kidde op 23 juli 2024 05:56]

Verwijderd 12 november 2007 12:16
waarom voel ik mij ineens een stuk onveiliger achter mijn splinternieuwe Lenovo Thinkpad T61?.... :| :+
zover ik weet worden hdds ongeformat verkocht, kan ook niks terugvinden hierover in gelinkte artikelen. lijkt me meer voor de hand dat het bedrijf welke de computers leverde de trojan in de install-image (ghost image met os, alle drivers, software) gestopt heeft, waardoor het vervolgens in de 'computerfabriek' automatisch geinstalleerd werd.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:56]

Verwijderd @Verwijderd12 november 2007 12:20
Dan formateer je de hardeschijf toch even ;)
Destralak @Verwijderd12 november 2007 13:52
Het ghost.pif wordt automatisch uitgevoerd door een autorun wanneer de HD zich aansluit.
Veel mensen hebben dit standaard aan staan, waardoor het virus wordt opgestart.
Nijn @Verwijderd12 november 2007 12:19
Geen idee. Waarom? Niet hierdoor zou ik zeggen. Dit was gericht op overheden. Er zijn er ook maar 1800 geleverd, dus de kans dat die bij jouw in je laptop zit...
Verwijderd 12 november 2007 12:53
Ik hoor veel mensen zeggen: maar dan formatteer je hem toch?
Er is echter ook nog zo iets als een Master Boot Record, de MBR, waarin een virus ook geplaatst kan worden. (deze .pif uiteraard niet). Dit is zeker geen denkbeeldig risico; in het verleden zijn er meerdere keren HD's op de markt geweest met een MBR virus als af-leverancier er op. Simpelweg formatteren is dan geen oplossing.
ScarFace86 @Verwijderd12 november 2007 13:07
FIXMBR en problems solved ;)

Nah... ff realistisch, dit is dus wat ik bedoelde in mijn vorige post... alles is mogelijk. Straks heb je al standaard een virus in je BIOS zitten als ie van de fabriek komt.
men probeert alles om controle te verkrijgen.
Dit gaat straks de pan uit rijzen...
Gepetto @Verwijderd12 november 2007 13:40
Gewoon even een low level format en klaar.
kikkervis 12 november 2007 13:36
Standaard worden schijven tegenwoordig geformateerd aangeleverd.

Dit zijn volgens de site ATA schijven en die worden standaard geleverd met een programma om te zorgen de de volledige capaciteit wordt aangesproken. In het geval van Maxtor is dit MaxBlast.

Mogelijk dat deze software al voorgeïnstaleerd stond. In het verleden heb ik wel vaker schijven gehad waar een soortgelijk programma al op geïnstalleerd stond. (De Maxtor site geeft mij hier geen uitsluitsel over).
Skyclad 12 november 2007 15:11
500GB uploaden zou toch wel enigsinds opvallend gaan worden. Het klinkt meer als iemand in Taiwan die weer eens kwaad is op China dan een erg realistisch verhaal.

Als je een heleboel data naar die schijf download en het op DVDs brandt, zou je PC dan weigeren de data te verwijderen omdat het nog niet klaar was met uploaden? Zou hij dag en nacht alleen maar staat te uploaden als je de data op de schijf vaak wijzigd?
wallywally @Skyclad12 november 2007 16:24
Dan moet er wel 500GB aan gevoelige gegevens op staan. Waarschijnlijk scanned het virus naar DOC en XLS files, deze zijn slechts een paar MB de stuk, veel verder dan een paar GB zal je dus niet komen. Ik bedoel, ze hebben weinig aan het uploaden van MP3's of eventueel programmatuur wat op die harddisks staat opgeslagen. Dit zal wel selectief zijn.

[Reactie gewijzigd door wallywally op 23 juli 2024 05:56]

Dracoo 12 november 2007 15:14
De malware die de onderzoeksdienst gevonden heeft, is geprogrammeerd om alle data die op de schijven opgeslagen wordt, door te sluizen naar nice8.org en we168.org
Hoe krijgen ze dat voor elkaar dan.. bij middelmatig pc gebruik (of misschien zelfs al wanneer je windows idle draait) genereer je al zoveel data dat een normale internet verbinding volledig dicht slipt met deze trojan. Zouden ze hier een filter of iets dergelijks voor ingebouwd hebben?

Verder wel hele slechte zaak natuurlijk.

[Reactie gewijzigd door Dracoo op 23 juli 2024 05:56]

Shaidar 12 november 2007 12:18
Hoe kan dat daar nu opstaan? Een nieuwe schijf die geinstalleerd wordt, wordt toch meestal eerst geformatteerd? Zeker als er een nieuw OS op geisntalleerd wordt?

In de verpakking is er toch niet eens een partitie op aanwezig??
ari3 @Shaidar12 november 2007 13:22
Waarschijnlijk zit de trojan in de firmware van de harde schijf zodat hij zichzelf installeert nadat de schijf geformateerd is. Best leuk idee eigenlijk... Nog een reden waarom firmware altijd open (source) en transparant moet zijn, je kunt er gewoon niet op vertrouwen dat een in de winkel gekocht apparaat correct omgaat met jouw privacy en burgerrechten.
mae-t.net @ari312 november 2007 14:38
Je hebt natuurlijk niets aan open-source firmware als je niet kan nagaan of de aanwezige firmware gelijk is aan de source.
NeOTheMaTriXM @Shaidar12 november 2007 12:21
Daar zat ik ook al aan te denken, en hoe wordt de trojan zelf actief?!
n4m3l355
12 november 2007 12:18
Persoonlijk vind ik dit toch vrij onrealistisch en eerder angst makerij zonder enige vorm van bewijzen. Taiwan & Peking werken absoluut niet samen, sterker nog als China nu daar kon invallen zonder al te veel herrie deden ze dat. Ik kan me dan ook niet voorstellen dat een Taiwanees bedrijf de Chinese overheid zou helpen. Misschien dat er in Seagate zelf een Chinese werknemer voor de Chinese overheid werkt maar dit gaat toch wel erg ver richting SciFi. Trouwens ook toevallig dat dit soort nieuws bekend wordt vlak voor de internet neutraliteits debatten, dit lijkt eerder op ff een pootje bij China onderuit halen zodat er niet teveel licht wordt gezet op de eigen (lees Amerikaanse) overheid.
Verwijderd @n4m3l35512 november 2007 16:15
Wel even goed lezen:
Het gaat om Maxtor Basics 500G-schijven die zijn gefabriceerd in Thailand en gebruikt worden door de Taiwanese overheid.
Thailand is een behoorlijk open land en prima toegankelijk voor zowel Chinezen als Taiwanezen. Juist 'neutrale grond' kan misbruikt worden voor dit soort praktijken. Beide overheden hebben weinig controlemiddelen buiten hun eigen grondgebied dus als de productie in Thailand gebeurt dan snap ik best dat de Chinezen daar een geintje kunnen uithalen waar ze in Taiwan geen zicht op hebben. Juist in eigen land zou dat inderdaad veel lastiger zijn.

En nee, natuurlijk werken aartsvijanden niet samen. Die willen elkaar zoveel mogelijk ongemerkt bespioneren. Noem het maar gerust Koude Oorlog II waarbij geen van beide partijen elkaar het licht in de ogen gunt.
Dutch_Razor @n4m3l35512 november 2007 12:36
Bijna alle Taiwanese bedrijven (Asus, Gigabyte etc) produceren in China en ontwerpen in Taiwan, in die fabrieken in China werken dan ook Chinezen.

Het hoeft dus geen Taiwanees bedrijf te zijn maar is het zo onrealistisch dat ergens tussen de miljoenen werknemers in computerfabrieken in China 1tje van de geheime dienst zit?

[Reactie gewijzigd door Dutch_Razor op 23 juli 2024 05:56]

dasiro @n4m3l35512 november 2007 19:24
moest je zoveel moeite doen om een virus via een producent in het buitenland op een product te krijgen, zou het dan niet aanneemlijk zijn om de websites waar het data naar doorstuurt OOK in het buitenland te registreren zodanig dat er tenminste geen paper trail achterblijft ????

tegenwoordig steekt men de vinger wel heel snel richting china. Besides, als het dan toch zo simpel is opgezet, dan kan je de data evengoed direct naar het datacenter van de overheid laten sturen ipv via een of andere site.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq