Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

Symantec heeft malware geanalyseerd die afkomstig lijkt van de Stuxnet-makers. De malware, Duqu geheten, zou echter niet uit zijn op sabotage van industriŽle systemen maar op data-inzameling om zo nieuwe aanvallen uit te kunnen voeren.

Beveiligingsonderzoekers van Symantec hebben een week geleden van een niet nader genoemd onderzoeksinstituut een malware-sample gekregen die sterk zou lijken op Stuxnet. De code zou zijn gevonden bij meerdere Europese bedrijven die industriële controlesystemen ontwikkelen. De malware is Duqu genoemd omdat het bestanden maakt met '~DQ' in de bestandsnaam.

Volgens Symantec is de malware inderdaad vrijwel identiek aan Stuxnet, waaruit het bedrijf de conclusie trekt dat de makers direct toegang moeten hebben gehad tot de broncode van de beruchte malware, en niet alleen de binaries. Duqu zou echter een ander doel hebben dan het saboteren van zogenaamde scada-systemen; de Stuxnet-worm richtte zich expliciet op de nucleaire installaties van Iran.

Symantec omschrijft Duqu, waarvan tot nu toe twee varianten zijn ontdekt, als een niet-replicerende remote access trojan die uit is op het vergaren van informatie bij een selecte groep bedrijven. Via de Duqu-malware kunnen de aanvallers onder andere keyloggers installeren, evenals andere componenten, om zo toegang tot bedrijfsnetwerken te krijgen.

De kwaadaardige software zou via http- en https-verbindingen communiceren met de thuisbasis, waarbij de gestolen gegevens als jpg-bestanden zijn vermomd. Na 36 dagen zou Duqu zichzelf van een besmet systeem verwijderen. Onduidelijk is nog hoe de malware de doelwitten heeft kunnen bereiken.

Opvallend is dat de malware net als Stuxnet, dat voorzien was van een Realtek-signature, gebruikmaakt van een destijds geldig certificaat dat door VeriSign is uitgegeven aan het in Taiwan zetelende bedrijf C-Media. Volgens Symantec is de betreffende sleutel gestolen van het bedrijf en niet afzonderlijk gegenereerd. Inmiddels is het certificaat op 14 oktober door VeriSign, dat onderdeel uitmaakt van Symantec, ingetrokken.

Gerelateerde content

Alle gerelateerde content (42)
Moderatie-faq Wijzig weergave

Reacties (28)

Dat is een diissasembly van de binary; niet echt te vergelijken met de source waarin het origineel geschreven is.
Als dat Asm is dan eet ik mijn sok op.
Reactie in de pagina die Tedades heeft gelinkt
Root 3 months ago
Nice of them to remove the top 2 lines that point out that this is just a decompilation, and not the real source code
Hij communiceert met HTTP/HTTPS met de c&c server, maar was het bij stuxnet niet zo dat die juist handmatig bij het desbetreffende apparaat gebracht moest worden (usb stick ofzo) omdat die apparaten niet aan het internet/netwerk hangen?

Anders zou je zo remote access hebben op onderdelen in een kerncentrale.

Vreemd en gevaarlijk verhaal maar weer. Ik hoop dat Symantec &co snel op de proppen komt met een oplossing.
Nee Stuxnet heeft bepaalde fases... In een eerste fase wordt het verspreid via het internet, daarna via USB daarna via een beheer PC direct op industriŽle machines (in het geval van Stux waren het centrifuges)

Daarom is het ook onwaarschijnlijk dat het stux virus door een normale virus schrijver is gemaakt. Elke fase vereist een bepaalde expertise (en het laatste gedeelte vereist waarschijnlijk een echte machine om te testen, die heb je ook niet zo 123)
Hij communiceert met HTTP/HTTPS met de c&c server,
Dit is waarschijnlijk om informatie naartoe te sturen, bij Stuxnet was dit niet nodig omdat hij wist wat hij moest doen en het gewoon gaat doen (dus compleet onafhankelijk). Als je ook kijkt naar wat hij precies deed dan heeft het ook helemaal geen nut om informatie terug te sturen.

[Reactie gewijzigd door Mellow Jack op 19 oktober 2011 11:24]

Dit klinkt als industriele spionage. Ben reuze benieuwd of ze nog bekend maken welke bedrijven het doelwit vormden, aangezien je daardoor misschien iets over de bron van de malware kunt zeggen...
Je krijgt binnenkort of er is misschien al een levendige handel voor opdracht(en) alles te achterhalen van een persoon, bedrijf of organisatie en daar geld voorover heeft.

E-mail accounts, creditkaart nummers, inlogcodes, bedrijfsinformatie gevoelige documenten, van alles en nog wat, Dit kan echt een levendige handel gaan worden.

Voor de doorgewinterde hacker een uurtje werk of nog minden en snel wat verdiend.

Hackers worden steeds slimmer en weten hun vaardigheden steeds beter te misbruiken voor criminele activiteiten.

Dat blijkt maar weer eens.

Hebben natuurlijk spijt als ze jaren lang achter de tralies moeten zitten.

Als deze Hakers hun talenten voor programmeren van nuttige software gaan gebruiken kunnen ze ook goud geld verdienen.


Lex

[Reactie gewijzigd door LEX63 op 19 oktober 2011 10:46]

Zag laatst op National Geographic geloof ik al een programma over creditcardfraude. Hackers doen hun trucje, verkopen hele lijsten met creditcardgegevens aan een illegale creditcardmaker. Die maakt er een plasticje van en verkoopt het door aan iemand die vervolgens geld ermee op gaat nemen.
Beetje omslachtig zoals ze dat daar laten zien. Het kan allemaal veel makkelijker aangezien je gewoon chips kan herschrijven en zo dus jou CC kan kopiŽren.

Bij een CC is het wel iets lastiger aangezien het kaartje aardige gelijkenis moet hebben maar voor bijv een DC kan je elk kaartje gebruiken wat je kan verzinnen
dit artikel doet me direct denken aan de onbemande vliegtuigjes of drones die onlangs ook waren betrapt op malware

nieuws: Virus treft onbemande vliegtuigen Amerikaanse leger

[Reactie gewijzigd door Rigs op 19 oktober 2011 10:24]

en wat denk je dan dat de link met dit artikel is?
Zou Duqu op die vliegtuigjes zijn geÔnstalleerd? Lijkt mij niet, anders was dit bericht ongeveer tegelijk uitgekomen met het vorige.

Wel slim dat het progje zichzelf vernietigt, daar zitten geen kinderachtige ontikkelaars achter, maar mensen die weloverwogen en met een duidelijk doel te werk gaan. Sowieso bedrijfsspionage, maar als het dezelfde ontwikkelaars zijn als Stuxnet, verwacht ik ergens in het midden-oosten een relletje binnenkort...

[Reactie gewijzigd door D-Day op 19 oktober 2011 10:57]

Wel slim dat het progje zichzelf vernietigt, daar zitten geen kinderachtige ontikkelaars achter, maar mensen die weloverwogen en met een duidelijk doel te werk gaan.
Idd ik heb bergen info over Stux gelezen en het zijn waarschijnlijk toch de Amerikanen en IsraŽliŽrs geweest. Ik ben heel benieuwd wat de volgende stap gaat zijn (aangezien dit vooral om het verzamelen van info gaat).

Verder heeft dit inderdaad helemaal niks te maken met die vliegtuigjes :P

[Reactie gewijzigd door Mellow Jack op 19 oktober 2011 11:20]

Evend denkend aan bijvoorbeeld militaire strategie. Mischien dat ze door middel van deze info een progje ontwikkelen dat de stroom voorziening/radio/tv van een land plat kan leggen.
Juistem en daarom heeft dit bericht me ook niet verrast, als ik dit bericht lees met het volgende bericht (link hieronder) in mijn achterhoofd dan kom ik tot de conclusie dat ze dit al wilde gebruiken in de libie oorlog maar dat ze niet genoeg informatie hadden om dit te doen. Wat doen ze nu dus.... Informatie zoeken ;)

nieuws: 'VS overwoog cyberaanval uit te voeren op LibiŽ'
Helemaal gelijk. Het zal niet hardop van de daken geschreeuwd worden, maar door je eenvoudig puzzel- en legwerk kun je wel de conclusie trekken.

(Jmmr dat ik je reacite niet kon modden btw, hij is toch gewoon ontopic, van mij +2.)
Wat doen ze nu dus.... Informatie zoeken ;)
Blijkbaar dan ter voorbereiding op de volgende oorlog/cyberaanval.
Vraag is dan welk land doelwit is hiervoor? Iran, Korea, de EU?
Rigs merkt terecht een leuke toevalligheid op. In Wired's scoop van 7 oktober is er sprake van een besmetting van drones, die eind september is opgemerkt. Verder lijkt men in het artikel op Wired helemaal niet zeker van de aard en herkomst van de malware, behalve dat het een keylog-payload heeft. Net als deze Stuxnet-variant dus.

Symantec kreeg 14 oktober pas een sample, nadat het al uitvoerig onderzocht was door "a research lab with strong international connections". Vervolgens hadden ze zelf nog bijna een volle werkweek nodig voor verder onderzoek ondanks hun resources. Gezien de diplomatieke gevoeligheid van Stuxnet en het feit dat deze variant niet in het wild circuleert mag je er vanuitgaan dat eerder genoemd research lab vrij nauw verbonden is aan de getroffen organisatie en er ook een tijdje overheen is gegaan voordat Symantec een sample kreeg.

Qua timeline zou 't dus prima kunnen. Beter dan een verslag van Symantec ongeveer tegelijk met een scoop van Wired op basis van anonieme bronnen. Dan zouden die anonieme bronnen namelijk ook actief data moeten lekken, en dat ligt nogal gevoelig. (Zal niet zo'n ophef veroorzaken als met Bradley Manning, maar toch..)
Leuke extra info, thx
Ik dacht meteen aan `Iedereen houdt van doekoe` .. Stuxnet-makers nederlands? :)
Ik begin meer een Die Hard 4.0 gevoel te krijgen :-)
Stux kwam van de Amerikanen/Israel, daar hieven we niet lang over na te denken.

Jammer dat we niet weten wie de 'selecte groep bedrijven' zijn.
Ah, ze hebben Project DataQuest ontdekt. Dat zat er ook wel aan te komen.,
Dan moet ik nodig eens met ze kletsen.....
Zie mijn alias hier (mijn initialen) of de andere die ik veel gebruik: DuQues.

Ik ben benieuwd hoe snel ze de servers waar de data naar toegestuurd wordt uit de lucht gaan.
Ik ben benieuwd hoe snel ze de servers waar de data naar toegestuurd wordt uit de lucht gaan.
Als het inderdaad van de makers van Stuxnet komt, waarbij hťťl hard gekeken wordt naar de "Axis of Corporate Evil" (USA, Israel, ...) dan zullen die servers nog hťťl lang in de lucht blijven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True