Lenovo-site heeft malware verspreid

De driversite van Lenovo is gebruikt om malware te verspreiden. Duitse ThinkPad-gebruikers sloegen dit weekend alarm nadat hun virusscanner waarschuwde dat er werd gepoogd om een exploit vanaf een Chinese server te downloaden.

De exploit werd zaterdag opgemerkt door bezoekers van het Duitse ThinkPad-forum en zat verstopt in een verborgen iframe op de driver-site voor ThinkPad-notebooks van Lenovo. Het betrof de op Java gebaseerde trojan-dropper Phoenix Kit, die na activatie het Trojaanse paard Bredolab probeerde te downloaden van een Chinese server op de locatie volgo-marum.cn.

Onduidelijk is hoe de exploit op de site is terechtgekomen. Lenovo is bezig om zijn servers te controleren en heeft het desbetreffende iframe in een eerste schoonmaakronde verwijderd. Mark Hopkins, program manager bij Lenovo, maakte maandag bekend dat het 24 uur zou duren voordat de hele site zou zijn gescand.

IT-banen

Reacties (29)

wildhagen

Malware
Beveiliging
Websites en community's

22 juni 2010 12:12

Mark Hopkins, program manager bij Lenovo, maakte maandag bekend dat het 24 uur zou duren voordat de hele site zou zijn gescand.

Eh... wat doen ze dan precies? Een virusscanner over de hele webdirectory en de webserver halen kost je misschien een paar minuten, of een halfuur als hij gigantisch is.

Eventueel een restore doen als hij idd gehacked is (vermoedelijk wel natuurlijk).

Dat hoeft toch geen 24 uur te kosten?

Wel slordig dit, kennelijk niet erg de updates geinstalleerd of de firewall- of websit-settings goed ingesteld? Want anders kan dit toch niet gebeuren?

Saus @wildhagen • 22 juni 2010 12:14

Denk dat ze eerder het zekere voor het onzekere nemen. Staat stukken slordiger om te zeggen binnen 2 uur is alles gefixed en 6 uur daarna kom je nog een gat tegen. Om dan te zeggen: Binnen een dag lossen we het op, en je zorgt dat het na 12 uur is opgelost is staat netter.

Rob Coops

Beveiliging

@wildhagen • 22 juni 2010 12:32

En jij denkt dat we hier over een site spreken

Even een ander bedrijf maar van vergelijkbare grote wat betreft website. De website bestaat uit een front end service <bedrijsnaam>.com die ongeveer 50k bezoekers tegelijk aan kan. Dan wordt er van daar door gelinkt naar verschillende onderdelen van het bedrijf die allemaal een eigen site hebben die tussen de 1000 en 10k bezoekers te gelijk kunnen verwerken. Ook deze hebben veel al weer links naar andere bedrijfs onderdelen en zo voor en zo voort. Een site als Lenovo.om kan dus makkelijk over enkele tientallen servers verspreid staan en zelfs in een aantal verschillende datacentra gehost worden.
Koppel daar aan dat je ook nog eens alle sources moet bekijken en dat heel veel onderdelen van de site niet gewoon een webpagina zijn maar door bijvoorbeeld Infosys, Cognizant en andere geschreven worden in Java, .Net of PHP en je hebt op eens een enorm project waar alleen al alle verschillende teams vinden die onderdelen van de site maken makkelijk een paar uur kan gaan duren.
Ik kan niet anders zeggen dan dat 24 uur heel erg snel is voor zo'n extreem complexe operatie. De hoeveelheid werk die nodig is om een gehele site van dat formaat op te schonen is echt enorm.

Wat betreft de firewall en het afschermen van de website... reken maar dat hier heel erg veel werk in gestopt wordt en dat de site echt niet zo maar even te hacken is. Als dat het geval was dan had de iframe echt wel op de homepage gestaan en niet op een aparte pagina die alleen door een zeer beperkt deel van de bezoekers wordt opgevraagd. Uiteindelijk gaat het de verspreiders van de trojan om zo veel mogelijk exposure en niet om een goed verstopte hack.
De kans dat dit om een hack van buitenaf gaat is daarmee meteen een stuk kleiner het is waarschijnlijker dat dit gedaan is door iemand met toegang tot de server zonder dat deze persoon een hack heeft hoeven uitvoeren. Maar het kan nog altijd dat het om een hack van buitenaf gaat maar ik zou zeggen 90% zekerheid dat dat niet het geval is iemand die voldoende van beveiliging weet om zo'n site te hacken weet ook dat het een kwestie van minuten is voor iemand er achterkomt en de hack ongedaan gemaakt wordt dus liever zo veel mogelijk pagina's besmetten dan alleen 1 en hopen dat niemand er achter komt.

[Reactie gewijzigd door Rob Coops op 27 juli 2024 08:28]

Niosus @wildhagen • 22 juni 2010 12:15

logs nakijken hoe de hackers zijn binnen geraakt en het gat dichten? Als je het lek niet dicht dan kan je blijven fixen natuurlijk.

bredend @Niosus • 22 juni 2010 12:24

Of even checken of 1 van je werknemers stiekem wat gerommeld heeft tegen een riante vergoeding van een gemaskerde man!

Pieterll @wildhagen • 22 juni 2010 12:16

Ik denk dat er toch wel veel drivers op zo'n site staan, en dat is niet zo snel gescand... Zeker niet via het web, dan duurt het nog langer.

BarôZZa @wildhagen • 22 juni 2010 12:16

Als je een restore doet, dan kunnen die lui binnen een paar minuten gebruik maken van dezelfde exploit.

Daarnaast kan je niet simpelweg een virusscanner draaien, aangezien het om een stukje iframe code gaat.

Je zal dus goed moeten kijken waar dat voorkomt en waar het lek op de site zit.

mvdejong @wildhagen • 22 juni 2010 12:36

Dan kun je beter eerst weten of je restore-archive ook niet besmet is. Ook moeten ze weten hoe het heeft kunnen gebeuren, anders heeft het ook geen zin, het zou zelfs mogelijk zijn dat het een inside-job is geweest.

Blokker_1999

Malware
Websites en community's
Netwerk en systeembeheer

@wildhagen • 22 juni 2010 12:38

Ze moeten ook het virus niet vinden, ze moeten nagaan of het betreffende iframe nog ergens gebruikt is geweest, maw men moet alle code nakijken die uiteindelijk html genereerd om na te gaan of het iframe daarmee gegenereerd word.

johnkeates @wildhagen • 22 juni 2010 12:39

Stel je hebt een database, probeer dan maar eens een scanner te vinden die daar wat mee kan!

Behalve dat is het niet 'zomaar even een virusscannertje er overheen halen' zoals je thuis waarschijnlijk doet.. De servers hebben zelf geen last van de virussen, het is slechts een payload die last veroorzaakt voor windows-bezoekers.

Als ze meerdere servers hebben, dan is het ook nog eens zaak om ze allemaal gelijktijdig te scannen, en als er proxy's tussen zitten moeten die ook geleegd worden.

Allemaal veel gedoe, op meerdere locaties, met veel verschillende hardware en dat terwijl er veel bezoekers zijn. JA, dat kost denk ik wel 24 uur

humbug @wildhagen • 22 juni 2010 12:48

Het virus staat niet op hun server. Er is HTML code in de site geinjecteerd die het virus ergens anders vandaan haalt. Men moet dus alle HTML pagina's gaan controleren op code die verdacht is. Dat is handwerk en kan veel tijd kosten. Daarnaast is het ook onduidelijk hoe het virus op de site is terecht gekomen en zal de beveiliging ook moeten worden doorgelicht. Je wilt niet dat een dag nadat je onderzoek eindigt de hacker (of een personeelslid) weer een aanpassing maakt.....

t14wo @wildhagen • 22 juni 2010 12:51

Heel erg slecht dit. Bij bijvoorbeeld Acer of packerd bell was dit een veel kleiner probleem geweest.

Lenovo levert laptops voornamelijk aan zakelijke gebruikers. Mijn moeder had toevallig eergister haar Lenovo laptop weggebracht naar de technische dienst na melding van een virus. Er zijn de afgelopen dagen dan ook tientallen laptops besmet geraakt. Ik denk dat het heel goed hierdoor is gekomen.

Dit gaat trouwens over Delta Lloyd. Daar hebben ze duizenden laptops en desktops die allemaal bij IBM in beheer zijn. Kan nog een duur grapje worden.

/EDIT
Na een belletje en een mailtje naar de technische dienst van Delta Lloyd, werd ik vriendelijk bedankt. Dit was inderdaad het virus dat op dfe laptops is gevonden. Slechte zaak dat op 'eigen' updates zo slecht wordt gelet op veiligheid.

@Petervanakelyen, het is natuurlijk niet voor de geburiker mogelijk om zelf het virus te verwijderen. de laptops zijn compleet dichtgespijkerd. Lange tijd was de USB poort niet eens bruikbaar.

[Reactie gewijzigd door t14wo op 27 juli 2024 08:28]

Petervanakelyen @t14wo • 22 juni 2010 13:56

Ik snap wat je wil zeggen. Maar waarom zou je in godsnaam je laptop wegbrengen voor een virus? Lijkt me erg makkelijk zelf op te schonen?

[Reactie gewijzigd door Petervanakelyen op 27 juli 2024 08:28]

the_shadow @Petervanakelyen • 22 juni 2010 14:28

Aangezien hij het heeft over "de technische dienst", denk ik dat het gaat om een laptop van de zaak die besmet is. En zoals de meeste zakelijke laptops zal deze wel goed beschermd zijn tegen het installeren van programmatuur door gebruikers. Terugbrengen, nieuwe image er op, klaar.

sniek @wildhagen • 22 juni 2010 13:22

Dat soort sites draaien vaak over meerdere lokaties en gebruiken meerdere databases. Ik denk trouwens dat ze de tijd vooral gebruiken om te achterhalen HOE het is gebeurt en niet om de malware weg te halen... Lijkt me nogal pijnlijk dit.

jGS 22 juni 2010 12:19

Onlangs nog gebeurd met Unreal ircd: http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

Daar hadden ze een backdoor in de irc daemon gestopt. Nu weer een driversite die gehackt wordt voor malware verspreiding. Deze sites blijken toch allemaal vrij eenvoudig te hacken.

wildhagen

Malware
Beveiliging
Websites en community's

@jGS • 22 juni 2010 12:22

Komt wel vaker voor, zie bijvoorbeeld nieuws: Muizenfabrikant Razer verspreidde trojaanse paarden met drivers of nieuws: Apple laat Windows-virus aan aandacht ontsnappen

Kennelijk word het voor digitale criminelen ook steeds aantrekkelijker om op deze manier malware te verspreiden.

An sich is dat ook weer niet zó raar natuurlijk, Lenovo is één van de grootste computerfabrikanten ter wereld. Als je er als digi-crimineel in slaagt via hen malware te verspreiden heb je natuurlijk wel meteen een heel grote "doelgroep" en dus verspreiding te pakken, als het niet snel word opgemerkt.

Dreamvoid

Malware

@wildhagen • 22 juni 2010 13:54

Je zag dit ook bij de infectie van Squirrelmail: trojan meecompileren en de besmette distributie op een upgrade server smokkelen. En dat was nog Linux software...

Soldaatje 22 juni 2010 12:18

Java draait toch sandboxed? Dan kan er toch niks gebeuren?

Comp_Lex

@Soldaatje • 22 juni 2010 12:23

Er is misschien een exploit voor de VM zelf gebruikt.

mvdejong 22 juni 2010 12:39

Overigens is er zelfs een MS-DOS-installatie geweest die met een virus werd verkocht, er was een virus op de servers in de (Aziatische) fabriek gekomen, en die had het image besmet waarvanaf de diskettes werden aangemaakt. Oeps.

rvdv12773 22 juni 2010 12:42

Het zal niet in een uurtje zijn opgelost omdat de meeste servers via het OTAP principe (Ontwikkeling, Test, Acceptatie en Productie) werken.

Waarschijnlijk wordt heel de productieomgeving naar een test- of maintenance omgeving gebackuped, waar aanpassingen worden gedaan, vervolgens weer naar een acceptatieomgeving om te kijken of alles weer stabiel loopt, en uiteindelijk pas weer naar de productieomgeving...

mrooie 22 juni 2010 14:18

Ik had zaterdag me laptop met XP opnieuw geinstaleerd, ik wou drivers downloaden en AVG sloeg helemaal rood uit!
Phoenix exploitatie en iedere keer als ik de pagina vernieuwde kwam die melding.
Toevallig zal maar zeggen dat net drivers wou downloaden, was trouwens lenovo.com

Opteronx4 22 juni 2010 21:19

Ik heb een maand geleden deze site gebruikt, zal nog eens extra scannen

defcon84 @Verwijderd • 22 juni 2010 13:27

Lenovo stond niet op een Chinese server, maar de malware was zo geprogrammeerd dat er iets van een Chinese server gedownload/geopend werd.. Gebruikers gingen dus niet naar een Chinese server.. je reactie is dus onjuist en ongepast..

edit:
de server van Lenovo staat blijkbaar in Dallas, Texas, United States.

[Reactie gewijzigd door defcon84 op 27 juli 2024 08:28]

Soldaatje @Verwijderd • 22 juni 2010 12:27

De meeste servers komen uit China, net zoals de rest van alle elektronica.

Verwijderd @The Jester • 22 juni 2010 19:52

Of je leest eerst het artikel even.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: