'RSA-hack trof honderden andere bedrijven'

De aanvallers van beveiligingsbedrijf RSA hebben toegeslagen bij meer dan 760 andere bedrijven wereldwijd, claimt een Amerikaanse security-journalist. Het zou gaan om onder meer Microsoft, Google, Intel, IBM, VeriSign en Cisco.

Journalist Brian Krebs heeft op zijn blog een lijst gepubliceerd van bedrijven die zouden zijn getroffen door dezelfde aanval als die op RSA, eerder dit jaar. Bij die aanval gebruikten aanvallers een met malware besmet Flash-object dat in een Excel-bestand was gevoegd om in te breken. Het Excel-bestand werd via e-mail naar slachtoffers gestuurd.

Volgens Krebs zijn minimaal 760 bedrijven met succes op een vergelijkbare manier aangevallen: via hun netwerken zou verbinding zijn gezocht met servers van de RSA-hackers. Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion. Ook het Europese ruimte-agentschap ESA staat op de lijst, evenals de Amerikaanse belastingdienst.

Op de lijst staan ook veel internetproviders, waaronder Nederlandse, maar dat betekent niet direct dat die bedrijven ook zelf het slachtoffer waren van een succesvolle aanval: minstens net zo waarschijnlijk is het dat klanten van de isp's getroffen zijn. Onder meer KPN, Ziggo, UPC en Surfnet staan op de lijst.

Dat RSA niet het enige slachtoffer was, werd al langer vermoed, maar gedacht werd aan tientallen organisaties. Krebs geeft niet aan hoe hij de lijst heeft bemachtigd, maar de journalist staat als betrouwbaar te boek.

De journalist tekent aan dat via de netwerken van de getroffen bedrijven weliswaar contact is gezocht met de servers van de gehackte bedrijven, maar dat dat niet automatisch betekent dat de aanvallers ook daadwerkelijk informatie hebben kunnen stelen. Ook kunnen bepaalde bedrijven de malware hebben onderzocht en deze met opzet contact hebben laten zoeken met de servers, om deze te onderzoeken; er staan diverse it-beveiligingsbedrijven op de lijst.

Onder de volgens Krebs gehackte bedrijven is ook defensiebedrijf Northrop Grumman, maar niet diens concurrent Lockheed Martin. Van dat laatste bedrijf is bekend dat het na de RSA-hack met beveiligingsproblemen kampte. Bij de RSA-hack in maart werd informatie over de werking van RSA's SecurID-sleutelgenerators buitgemaakt. Die generators worden gebruikt om it-systemen via two step authentication te beveiligen, en werden onder meer bij Lockheed Martin gebruikt.

Door Joost Schellevis

Redacteur

Feedback • 24-10-2011 13:0615

24-10-2011 • 13:06

15 Linkedin

Lees meer

RSA: malwarebendes vergaren miljarden met overschrijvingen in Brazilië Nieuws van 3 juli 2014
Ip-telefoons Cisco zijn op afstand af te luisteren Nieuws van 28 december 2012
RSA-software knipt inlogdata op en verdeelt deze over servers Nieuws van 10 oktober 2012
RSA distributed credential protection Video van 10 oktober 2012
Onderzoekers kraken SecurID-tokens binnen 15 minuten - update 2 Nieuws van 26 juni 2012
Webmail UPC weer beschikbaar nadat site beklad werd Nieuws van 23 maart 2012
Hackers kraken Microsoft Store India Nieuws van 13 februari 2012
Hackers kraakten VeriSign-systemen in 2010 Nieuws van 2 februari 2012
Symantec: hackers stelen broncode software Nieuws van 6 januari 2012
Nasdaq-hack blijkt omvangrijker dan gedacht Nieuws van 21 oktober 2011
RSA: aanval op SecurID kwam van twee groepen hackers Nieuws van 11 oktober 2011
F-secure: RSA gekraakt via Excel-bestand en Flash-exploit Nieuws van 29 augustus 2011
Microsoft: Sony- en RSA-hacks zijn gevolg van beginnersfouten Nieuws van 5 juli 2011
RSA neemt meer beveiligingsmaatregelen na SecurID-hack Nieuws van 7 juni 2011
'Lockheed Martin kampt met beveiligingsproblemen' Nieuws van 27 mei 2011
RSA-hackers verkregen toegang via phishing-mails Nieuws van 3 april 2011
Hackers stelen RSA SecurID-informatie Nieuws van 18 maart 2011
Meer producten en artikelen
Privacy Internet Beveiliging Hackers

Reacties (15)

-Moderatie-faq
15
15
10
2
0
0
Wijzig sortering
Niemand_Anders
24 oktober 2011 13:42
Aangezien iedereen bij een bedrijf wel het internet kan benaderen zoals bijvoorbeeld de telefoniste, wil dat nog niet betekenen dat men ook bij gevoelige informatie kon. Aangezien zowel Flash als Excel op vrijwel elke kantoor PC staat is het dus niet verwonderlijk dat alle grote bedrijven terug komen in de lijst. Niet alle spyware wordt namelijk direct ontdekt.

Aangezien de hackers dus de RSA, Lockhead Martin en blijkbaar ook Northrop hebben 'gehacked' (of poging tot) vind ik het opvallend dat Homeland Security niet bij de journalist op de stoep staan om zijn bron te onthullen. Het recht op 1st admendment vervalt namelijk als de staats veiligheid in het geding is (en dat is met deze zeer aannamelijk te maken). Bij het weigeren de bron te verhullen kan de journalist 'aiding and abetting to a terrorist organisation' ten laste worden gelegd. Dat is in het verleden al meerdere keren gebeurd.

Er zijn genoeg landen zoals Iran, Noord Korea en waarschijnlijk ook China welke een vermogen neerleggen voor een spyware trojan welke bij vrijwel alle belangrijke Amerikaanse bedrijven aanwezig is..
Tukkertje-RaH
@Niemand_Anders24 oktober 2011 14:21
Even wat kanttekeningen...

1. De journalist is volgens mij aan deze lijst gekomen via de C&C server waarmee de software werd aangestuurd. Op deze lijst met IP's is een reverse lookup gedaan om de eigenaar van het IP adres te achterhalen. De naam bij dat adres hoeft dus niet de eigenaar van de machine ervan te zijn! Er staan veel ISP's op de lijst die formeel eigenaar van het IP adres zijn, maar niet van de host die het gebruikt. Dat zijn vaak de (kleinere) klanten van die ISP...

2. Het maakt eigenlijk geen donder meer uit waar je je 0-day het bedrijf inschiet - zodra je ergens op een workstation je software hebt ben je bijna bij je doel. Dat op de pc van de receptioniste minder vertrouwelijke documenten staan dan die van de administrator of HR is waar, maar ze hangen beide aan hetzelfde netwerk! Eenmaal binnen een corporate LAN wordt je als hacker vaak geen strobreed meer in de weg gelegd en kan je nagenoeg overal bij: open shares, websites, sniffen van verkeer - allemaal mogelijk, ook vanaf de pc van de receptioniste/telefoniste...

Het enge aan deze aanval is dat de spreadsheet met daarin de adobe-flash exploit zeer gericht naar bepaalde mensen binnen een bedrijf gestuurd werd (dat was in ieder geval bij RSA de manier). Een standaard spam mail houdt iedereen wel tegen, maar een beetje listig genaamde spreadsheet die maar naar 2 of 3 mensen wordt gestuurd, dat klinkt al snel vertrouwd...
WoC
@Tukkertje-RaH24 oktober 2011 16:41
In het bronartikel zie je dat er meerdere C&C servers zijn. Lijkt me trouwens sterk dat een journalist inzage krijgt in de C&C logs, als deze servers worden opgerold, maar goed, wie ben ik. Dat het in de lijst gaat om bedrijven en ook klanten van ISP's dat zie ik ook wel, maar dat maakt voor het verkrijgen van de informatie niet uit.

Kort is de vraag dus eigenlijk 'Hoe kan deze journalist zien dat een willekeurige PC contact heeft gezocht met een C&C server'?
Dan ga je toch snel denken aan firewall logs, ISP logs (niet openbaar), of wellicht toch gegevens van een opsporingsdienst die een C&C server neer hebben gehaald.

In het bronartikel heeft de journalist gereageerd dat hij de bron niet kan vrijgeven.
WoC
24 oktober 2011 13:35
Ik ben eigenlijk wel benieuwd hoe die journalist aan deze lijst gekomen is. Hij schrijft dat sommige slachtoffers al vanaf november 2010 contact leggen met de (voornamelijk Chinese) C&C servers. Wie heeft dat hoe dan gemonitord?
KoploperMau
24 oktober 2011 13:16
Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion
Alle grote bedrijven dus! Het blijft tegenwoordig oppassen geblazen... :/

[Reactie gewijzigd door KoploperMau op 24 oktober 2011 13:16]

E_E_F
@KoploperMau24 oktober 2011 13:21
Ja, groot maar ook prominent op het gebied van IT en beveiliging.

Maar de strijd tegen malware / virussen / trojans etcetera is dan ook echt een guerilla.

De diversiteit aan systemen en applicaties en content-/object embedding maakt het nagenoeg onmogelijk om alles veilig te houden. Na dit soort gebeurtenissen heb ik toch weer sterk het gevoel dat het internet nog een vroege Beta-versie is die van alle kanten lekt. Er is genoeg ruimte voor verbetering, al heb ik niet doorlopend de indruk dat het ook echt veiliger wordt. Zeker niet na dit soort nieuws.

Einsteins quote:
"I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones."

Ik denk dat WW III op dit moment wordt uitgevochten met IT en goedkope arbeid.

[Reactie gewijzigd door E_E_F op 24 oktober 2011 13:38]

Brummetje
@E_E_F24 oktober 2011 13:30
Zo gaat helaas in de normale wereld ook... Geen enkel huis is echt veilig voor inbraak... En dit zal altijd wel zo blijven.... Zo ook op het internet dus... Crackers/Inbrekers vinden altijd wel een andere/betere manier om ergens binnen te komen en zo blijft het een kat en muis spelletje..
sygys
@Brummetje24 oktober 2011 14:39
Inderdaad Brummetje. je kunt een huis bouwen wat niet in te breken is, door het helemaal dicht te metselen. echter kom je er zelf dan ook niet meer in... Dit zelfde geld voor het internet. zolang je een verbinding hebt en dingen kunt up en downloaden is het altijd mogelijk om iets naar binnen te smokkelen wat er niet thuis hoort.

Het probleem momenteel is dat internet te vrij is. Dit is fijn voor de mensen die het gebruiken, maar helaas ook een oneindig domein aan criminaliteit voor de misbruikers.

er is niet 1 toezichthouder maar er zijn er miljoenen. Een hacker kraakt een server deze server slaat wat dingen op en de isp slaat wat dingen op... maar verder is er niemand die deze gebruiker kan traceren. zeker niet als deze persoon ook nog eens een wijk verderop inlogged op het netwerk van iemand anders en via een laptop in de auto daar zijn slag slaat.

Als iedereen globaal aangemeld zou zijn via 1 instantie met een DNA code. die voor iedere gebruiker in de hele wereld uniek is en alleen met deze code online zou kunnen. dan zou iedere gebruiker terug te vinden zijn na een hack.

Echter het nadeel hiervan is weer dat 1 instantie die de codes van miljarden accounts bijhoudt wel heel erg het doelwit wordt. als ze eenmaal een miljard codes binnen hebben dan is er een groter probleem.

Echter denk ik wel dat de waarheid van een perfect systeem niet ver van dit idee af ligt. Je moet ervoor zorgen dat iemand alleen toegang heeft als hij of zij zijn identiteit afstaat. hierdoor is bij misbruik deze persoon ook altijd weer te traceren. een groot nadeel is dat je niet meer anoniem bent op het internet. en al je opgevraagde gegevens via die servers gaan.

Aan de andere kant snap ik niet dat je een hacker niet meer kunt vinden. hij heeft verbinding gehad met een server, je zou toch terug moeten kunnen vinden waar hij zich bevindt?
Brummetje
@sygys24 oktober 2011 15:01
Ja en nee.... ik weet dat het maar films zijn waar ik het heb gezien maar weet zeker dat het in de realiteit niet anders is..

Je gaat in een hotel kamer zitten (als hacker) met een 3g stickie.. doet je ding en als je klaar bent gooi je het stickie weg..... Sowieso heb je met die dingen bijna altijd wel een ander IP wat het al wat lastiger maakt... en als je hem weg gooit vinden ze je helemaal niet meer...

Nu gaat het in de praktijk meestal net iets anders omdat ze dan vaak via, via, via, via gaan en als er op al die tussen punten een goede beveiliging zit (encryptie enz..) dan word het ook al best lastig om iemand te achterhalen en als ze hem al vinden duurt dit misschien te lang waardoor die al weer ergens anders is...

Blijft dus lastig.


Je andere punt dat we iets unieks gebruiken zou kunnen werken maar ook dit is wel weer te kraken of te faken (na maken)... Kan nog zo uniek zijn het is altijd wel te klonen op één of andere manier..
raro007
@sygys24 oktober 2011 15:03
"inderdaad Brummetje. je kunt een huis bouwen wat niet in te breken is, door het helemaal dicht te metselen. echter kom je er zelf dan ook niet meer in."
dus als we nou het internet vergelijken met het echte wereld gaat het zo: normale mensen(internetters?) en hackers gebruiken het internet alleen de 1ne gebruikt encryptie de andere niet.
in de echte wereld lopen internetters op straat maar ook mensen met bivakmutsen(hackers) omdat ze alles encrypteren en dat is volkomen normaal.
nou die kerel met zoon bivakmuts kan je niet zien of dat de eigenaar is of een inbreker is hij gebruikt encryptie.
nou mensen zeggen dat encryptie normaal is op internet, maar je loopt toch op straat niet met een bivakmuts of wel?
ongeveer als je de internet met echte wereld wilt vergelijken.
mensen zeggen alles moet opencource terwijl mensen zich zelf dicht te timmeren (encryptie)!
aikebah
@raro00724 oktober 2011 23:31
Als je het dan toch graag wilt vergelijken met de echte wereld, doe het dan goed. De vergelijking is eerder 'je draagt op straat al je spullen met je mee in een transparant plastic zakje' (je weet wel zo'n zakje die bij het vliegen verplicht is) versus 'je stopt je spullen in een dichte tas, waardoor niemand kan zien wat je nou weer bij je hebt.
Mei
@E_E_F24 oktober 2011 13:57
Met de mijnheer boven mij. Dit probleem is niet inherent aan het internet zelf (of zelfs aan IT), maar dat het om steeds complexere systemen gaat die ook nog eens allemaal met elkaar verbonden zijn.
citegrene
@Mei24 oktober 2011 23:41
Nah , alles is in de jaren 80 en eerder uitgevonden als het om ict gaat. Het is allemaal oude koek . En in grote bedrijven bestaat de kans altijd dat een gebruiker een excel opent met hack meuk.
Van de certificaat uitgevers valt het me wel tegen, daarvan zou verwachten dat ze bepaalde systemen echt fysiek afschermen.
Anoniem: 368603
24 oktober 2011 13:31
Zo zie je weer hoe afhankelijk iedereen is van deze "beveiliging"
jostytosty
25 oktober 2011 00:22
andere bedrijven en hoe zite het met andere overheidsorganisaties behoudens ESA?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee