'Flame-trojan wist sporen van zichzelf uit na commando'

De aanvallers achter de Flame-malware hebben nieuwe commando's naar besmette pc's gestuurd, waardoor sporen van de trojan worden gewist. Waarschijnlijk willen ze het onderzoek naar de malware daarmee bemoeilijken.

De command-and-control-servers van de Flame-trojan verstuurden het commando om Flame helemaal van de pc te verwijderen naar besmette pc's, meldt persbureau AFP. Bestanden worden verwijderd en om te voorkomen dat ze kunnen worden teruggehaald, worden ze overschreven met willekeurige tekenreeksen.

Met de actie willen de beheerders van het botnet waarschijnlijk het onderzoek naar de malware bemoeilijken. Voor zover bekend begonnen de beheerders met het versturen van wisinstructies nadat de malware eind vorige maand in de openbaarheid was gekomen.

Ondertussen heeft Microsoft een tweede update voor Windows uitgegeven. De Flame-malware verspreidde zich via valse Microsoft-certificaten, waardoor de malware zich als een legitieme update voor Windows kon voordoen.

In de update wordt de dienst die systeembeheerders kunnen gebruiken om updates intern te verspreiden, Windows Update Services, beter beveiligd doordat een aparte certificaat-autoriteit is opgezet voor updates. Updates moeten voortaan door die specifieke autoriteit worden goedgekeurd.

Voorheen kon dat ook met andere certificaten; de aanvallers gebruikten een slecht beveiligd certificaat voor Windows' Terminal Services, dat het op afstand gebruiken van applicaties mogelijk maakt. De update wordt een dag voor 'patch Tuesday' al verspreid. Dat is de dag waarop normaliter beveiligingsupdates voor Windows uitkomen. Er komt nog een aparte patch voor Windows Update, maar wanneer is onbekend.

Beveiligingsbedrijf Kaspersky ontdekte de nieuwe malware, die het gemunt zou hebben op computers in het Midden-Oosten. De software zou geavanceerder zijn dan de Stuxnet- en DuQu-trojans. Van die laatste twee wordt vermoed dat ze door de Amerikaanse overheid in samenwerking met Israël zijn ontwikkeld. Of dat bij Flame ook zo is, is nog onduidelijk.

IT-banen

Reacties (58)

woekele 11 juni 2012 09:01

De Flame-malware verspreidde zich via valse Microsoft-certificaten, waardoor de malware zich als een legitieme update voor Windows kon voordoen.

Dit snap ik niet helemaal. Ik begrijp dat je door een vals certificaat een valse windows-update server kunt runnen, maar dan moet je toch alsnog eerst een ander virus inzetten, of controle hebben over het netwerk om iemand bij die valse server uit te laten komen?

Edit: ah, betere info gevonden via CMG in 'nieuws: Flame-trojan misbruikte Microsoft-certificaten' .

Er is weldegelijk ook een MITM nodig dus.

[Reactie gewijzigd door woekele op 26 juli 2024 00:04]

jGS @woekele • 11 juni 2012 10:48

Het is toch erg simpel: als je jouw malware kunt signen met een microsoft certificaat dan heeft dat volgende voordelen:

1) De gesigneerde files zullen door menig antivirus al meteen als legit beschouwd worden
2) De gesigneerde files zullen ook door een researcher al sneller over het hoofd worden gezien
3) Last but not least: Kernelcode op x64 dient digitaal ondertekend te zijn, anders laadt het gewoon niet. Als je dit dan nog met een "betrouwbaar" cert als van microsoft zelf kunt doen, is dat erg mooi meegenomen

woekele @jGS • 11 juni 2012 11:14

Duidelijk, maar in het verhaal van dit artikel lijkt het voor mij net alsof de malware verspreid is via een aageboden update op de legitieme Windows Update (wat mogelijk zou zijn gemaakt door een vals certificaat), maar dat is dus niet het geval.

jGS @woekele • 11 juni 2012 11:16

Ik denk dat ze het certificaat ook gebruikt hebben om de applicatie zelf in een windows update te wrappen. Dat is alleszins af te leiden uit het artikel hier.

primanocte

11 juni 2012 08:36

ik vraag me af of dit het meest lucratieve is wat je met je kennis kunt doen. Als je dit voor elkaar krijgt (om zo'n goed botnet op te bouwen en te beheren) is het dan niet lucratiever om daar een echt goeie baan mee te zoeken ipv het risico te lopen zoals ze nou doen...

CMG @primanocte • 11 juni 2012 08:39

Flame is -met aan zekerheid grenzende waarschijnlijkheid- gemaakt door een defensie bedrijf voor een overheid.

Daarnaast is dit geen traditionele botnet client; Flame werd enkel gebruikt in targeted attacks.

InflatableMouse @CMG • 11 juni 2012 08:46

De amerikaanse overheid heeft ondertussen genoeg hackers in dienst genomen die betrapt zijn op dingen als NASA hacken of het Pentagon en de keuze hebben gekregen voor hun te komen werken of een langdurige gevangenisstraf.

Het zou me helemaal niets verbazen als dat soort gasten aan dit soort dingen werken.

Verwijderd @InflatableMouse • 11 juni 2012 09:00

Vaak worden dit soort personen aangenomen, wat natuurlijk volkomen logisch is.. Het klinkt gek, maar als zo'n hacker bij de overheid solliciteert dan wordt hij echt niet aangenomen hoor.. Dus hacken ze dit soort instanties maar om in de publiciteit te komen, en voila..

Een maand later werkt meneer de hackert bij het bedrijf waar ze binnen zijn gekomen, of waar ze dit soort systemen weten te omzeilen.

Rutix @Verwijderd • 11 juni 2012 09:07

Ja maar dan moeten ze niet informatie hebben gejat en hebben gepubliceerd ofzo. Want dat zou juist de integriteit van de hacker aantasten. Als ze een lek vinden en dat laten weten aan de dat bedrijf dan krijgen ze misschien wel een baan aangeboden ja. Maar het is niet zo dat elke hacker die iets belangrijks hackt ook word aangenomen, dat is een fabel.

LDenninger @Verwijderd • 11 juni 2012 09:28

Nah, 15 jaar geleden gebeurde zoiets nog wel eens, tegenwoordig krijgen dat soort hackers vrijwel nooit meer een aanbod.

Fireshade @Verwijderd • 11 juni 2012 10:01

Het kan ook de andere kant op: kijk maar naar die Engelsman die op zoek was naar ufo's in de servers van het Pentagon.
Of erger: ze stoppen meneer de hackert zonder aanklacht of proces in Guantanamo Bay, omdat zijn hackacties een beetje rieken naar Al Qaida.

Yezpahr @Fireshade • 11 juni 2012 16:24

Inderdaad, daar kunnen ze ook aan beginnen. Best triest eigenlijks dat die mogelijkheid bestaat...

Verwijderd @InflatableMouse • 11 juni 2012 09:56

Ik zou niet weten waarom dit per se door "hackers" gemaakt moet zijn (wat de definitie van hacker dan ook mag zijn). Het is gewoon een complex stuk software, maar niet complexer en bevat niet meer low-level engineering dan een fatsoenlijke game om maar wat te noemen. En zo'n certificaat-aanval, da's eerder het knappe maar gortdroge werk van een groep cryptanalysten, die je op allerlei universiteiten vindt, en zeker niet een slimme tiener met te veel tijd (het hackerstereotype).

[Reactie gewijzigd door Verwijderd op 26 juli 2024 00:04]

WhatsappHack

Privacy

@Verwijderd • 11 juni 2012 12:28

Script kiddy stereotype, niet hacker stereotype.

mae-t.net

Malware

@WhatsappHack • 11 juni 2012 14:37

Een scriptkiddy hoeft niet zo slim te zijn. Het vereiste denkniveau voor een complex stuk software (of dat nu een game is of een stuk malware) sluit meer aan bij dat van een hacker (die dus wel slim maar niet persé een tiener hoeft te zijn).

Verwijderd @InflatableMouse • 11 juni 2012 09:06

Sterker nog: het zou een logischer gevolg zijn dan dat er talent van buitenaf aangetrokken is voor het maken van dit soort trojans. Daar hebben zij als geen ander betere kennis van dan wie dan ook.

Amerika is al zolang bezig met het opzetten van tooling om cyberwarfare af te weren maar dus ook zelf te kunnen aanvallen.

biglia @primanocte • 11 juni 2012 08:58

Dat denk ik niet. Zulke mensen kunnen vaak niet werken onder een baas waar elke vorm van creativiteit niet wordt geapprecieerd. Met werken word je trouwens niet rijk.

mvd64 @biglia • 11 juni 2012 09:21

Niet iedereen heeft rijk worden als doel...

dejeroen @biglia • 11 juni 2012 11:38

als de opdracht zou zijn geweest:
maak een programma dat eigenlijk alles kan overnemen, of tenminste zo veel mogelijk.
doe het zoals je wilt, in de taal die je wilt, als het maar werkt.

op deze manier kan een programmeur nog heel creatief te werk gaan.
ik denk trouwens wel dat deze mensen niet direct voor een baas werken maar op een tijdelijk contract, misschien alleen voor deze opdracht. En daarna zijn ze weer vrij om ander werk te zoeken.

BrianVL @primanocte • 11 juni 2012 08:39

Indien deze trojan door de overheid gebouwd is dan denk ik dat de ontwerpers van deze trojan wel goed beschermd en zo goed als onvindbaar zullen zijn. Een lucratieve job zal het ook wel zijn, ik denk dat deze programmeurs wel slim genoeg zijn om anders een andere job te zoeken.

Edit: Ik vind het wel fascineren hoe goed deze trojans telkens geschreven zijn en hoe doelgericht ze kunnen werken. Als deze nog geavanceerder is dan het Stuxnet-virus dan wil ik mij niet inbeelden wat ze nog allemaal kunnen doen.

[Reactie gewijzigd door BrianVL op 26 juli 2024 00:04]

jegelie @BrianVL • 11 juni 2012 21:12

Lijkt mij meer een soort scouting naar veelbelovende hackertjes, die een dag in de cel gezet worden en dan door de FBI gecontacteerd zijn. "Als je meewerkt, schelden we je je straf kwijt", enzovoorts
Hun droom komt uit, meewerken in een black ops, en veel geld hoeven ze dan ook niet.
Zouden ze echte gevestigde namen uit de hackerswereld nemen, dan zouden die daar nooit mee akkoord gaan en de klok gaan luiden...

Ik ruik een plot voor een goed boek...

Malfius @primanocte • 11 juni 2012 08:41

Veel mensen denken dat deze malware is geschreven in opdracht van een overheid, dus het is zeker mogelijk dat het geschreven is door mensen met een echt goeie baan.

Cor453 @primanocte • 11 juni 2012 08:42

Als het ooit gemaakt zou zijn door de VS, dan is het al heel lucratief. Ik denk dat mensen die voor Flame werken dan goed zitten - als het echt door de VS gemaakt zou zijn.

segascope @primanocte • 11 juni 2012 09:08

Denk je dat deze malware gemaakt is door enkele amateurs die het doen als hobby? Ze deden dit waarschijnlijk in opdracht van een regering. De meeste Flame malwares werden gespot in het Midden-Oosten. Je kunt ervan uitgaan dat ze veel geld ermee verdient hebben.

Verwijderd @primanocte • 11 juni 2012 10:34

ik vraag me af of dit het meest lucratieve is wat je met je kennis kunt doen. Als je dit voor elkaar krijgt (om zo'n goed botnet op te bouwen en te beheren) is het dan niet lucratiever om daar een echt goeie baan mee te zoeken ipv het risico te lopen zoals ze nou doen...

Die goede baan is hier niet aan de orde. Of ze hebben al een goede baan binnen een regering, en dat ligt voor de hand.

De meeste besmettingen zijn gedetecteerd in Iran(1st) en Israel (2e) Dit ondanks dat men Israel verdenkt van het maken van deze Flame malware.
http://webwereld.nl/analy...n-supermalware-flame.html

Omdat de hele Diginotar "kraak" ook vanuit en i.o.v Iran was verdenk ik ze er deze keer ook weer van.
http://webwereld.nl/nieuw...an-diginotar-hackers.html

Bartmanz @primanocte • 11 juni 2012 08:39

Je wilt niet weten hoeveel ze hieraan verdienen. Miljoenen!

Dark Angel 58 @Bartmanz • 11 juni 2012 12:45

inderdaad... en ze hebben totaal geen geweten!!!!!!!!
het kan ze helemaal niet schelen als een kernreactor ontploft wordt.
zoiets moet het echt verboden worden!!!

[Reactie gewijzigd door Dark Angel 58 op 26 juli 2024 00:04]

johnkeates @Dark Angel 58 • 11 juni 2012 16:22

Zo werkt de wereld nou eenmaal niet. Mensen doen nou eenmaal graag nare dingen. Andere mensen afslachten, verkrachten, verkopen, verbranden, langzaam stukjes afsnijden, dat zijn de dingen die je zo ongeveer de laatste paar duizend jaar niet echt anders dan anders hebt gehad. Alleen om dat je het niet weet is het nog niet minder waar. Dan is een explosie in een kernreactor met misschien en paar honderdduizend doden niet zo heel groot meer. Relativeren heet dat... Wat dacht je van een meneer die Mao heet? Iedereen probeert altijd WW2 aan te halen en meneer Hitler, maar het is niet nieuw in de geschiedenis.

Ik zeg niet dat het allemaal goed is, of dat het daarom minder erg is, maar een serie uitroeptekens achter iets zetten is een beetje overdreven in deze context, denk je niet?

Een dat dingen verboden moeten worden weten we allemaal, het probleem is dat dit soort dingen juist door mensen gedaan worden die niet echt iets te verbieden zijn. Dat soort mensen werken met het het recht van de sterkste. En in dit geval zijn zij de sterkste. Zie je het probleem?

RedPixel 11 juni 2012 08:39

Gewoon een kwestie van 1 infectie niet aan het internet hebben hangen, toch? Virussen die zichzelf kunnen verwijderen na een commando zijn niet nieuw. Toch ziet Flame er als een ingewikkeld stuk software uit, waar de anti-malware-partijen zich nog wel een tijdje over kunnen buigen. Zo blijft het een kat-en-muis-spel.

Toch wel raar dat er opeens zulke ernstige vormen van virussen opduiken, en dat blijkbaar overheden daar wat mee te maken hebben.

Makkelijk @RedPixel • 11 juni 2012 08:44

Het probleem is dat je juist heel graag wilt weten hoe geïnfecteerde nodes met elkaar communiceren.

RedPixel @Makkelijk • 11 juni 2012 09:28

Zeker, maar daar heb je niet per sé een echt werkende versie voor nodig. Dat kun je, met wat kunstgrepen, ook offline doen.

Menesis @Makkelijk • 11 juni 2012 09:34

dan zet je een surrogaat internetje op.

InflatableMouse @RedPixel • 11 juni 2012 08:44

Die Stuxnet was via een USB stick binnen gesmokkeld door een infiltrant.

Verwijderd 11 juni 2012 08:48

Eigelijk mag ik dit niet zeggen maar is wel een goede ontwikkeling dit dat zn systeem zijn sporen kan uitwissen door een commando.
Mischien dat er over 5 jaar virussen zijn die dit allemaal automatisch doen.

Ondanks dat t voor een slechte zaak gebruikt wordt wel een fascinerend stuk script.
Zo zie je maar hoever ze zijn in deze wereld qua programming, ik verwacht binnen 5 jaar robots bij mij thuis die mn was doen als dit zo doorgaat.
Of natuurlijk WO III alleen dan virtueel.

robinverl @Verwijderd • 11 juni 2012 08:54

De ontwikkelingen gaan hard, maar een goed geschreven virus heeft nog steeds niets te maken met AI-powered robots

Verwijderd @robinverl • 11 juni 2012 09:00

Waarom niet?

Als ze al zover zijn dat het zichzelf uitwist, met commando?
Hoelang duurt t voor ze dit automatisch gaan doen?
Met andere woorden een zelfdenkend virus dus een perfect programma om een robot te bouwen.

Ligt ver uit elkaar tuurlijk maar heef tuiteindelijk wel met elkaar te maken.

LDenninger @Verwijderd • 11 juni 2012 09:32

Nee, een regeltje "if (commandStr == "Suicide") File.Delete(MyBaseDir, "*.*");" heeft niks te maken met een denkende robot.

Obelink 11 juni 2012 08:41

Nog niet zo lang geleden was dit alleen mogelijk in slechte films. Ingehaald door de werkelijkheid dus. Binnendringen in waterzuiveringsinstallaties en satellietbesturingssystemen hebben we al gehad, what's next?

YopY @Obelink • 11 juni 2012 09:31

Dit soort virussen die zich evolueren, robots en defensiesystemen infecteren en de mensheid proberen uit te roeien?

ciscobuzz @YopY • 11 juni 2012 10:09

whahaha, ik zie de t1000 al op komen. Too much terminator

Peatsmoke

11 juni 2012 08:47

Alweer het zoveelste bewijs dat oorlogen in de toekomst gewonnen gaan worden met bits ipv bullets.
Dit trojan is maar een topje van de ijsberg. Het feit dat deze trojan gevonden is toont aan dat deze nog wat schoonheidsfoutjes heeft die opgelost moeten worden.

YopY @Peatsmoke • 11 juni 2012 09:32

Alweer het zoveelste bewijs dat oorlogen in de toekomst gewonnen gaan worden met bits ipv bullets.

Was het maar waar, dan kon een land zich verdedigen door het internet af te sluiten.

Mirved @YopY • 11 juni 2012 10:32

Vraag me af of daat voor een land als NL nog mogelijk is. In de toekomst al helemaal niet meer.

Angelevo @YopY • 11 juni 2012 10:35

Ja, goed plan. En in de middeleeuwen was de meest gangbare tactiek om bij oorlog je eigen steden te belegeren. Of niet? [/sarcasm]

Natuurlijk is dit geen optie. Je eigen land lamleggen zodra je gehackt wordt maakt het geheel alleen maar veel erger.

Het internet is belangrijker geworden dan je denkt.

Het @Angelevo • 11 juni 2012 11:00

Wel eens van de waterlinie gehoord? De tactiek was gewoon alle landerijen om je stad heen onder water te zetten om de vijand buiten te houden.

swemmela @Het • 11 juni 2012 11:48

Dat heeft inderdaad heel goed gewerkt.

mae-t.net

Malware

@swemmela • 11 juni 2012 14:39

Als je door het landschap fietst en het is heel stil, dan kan je de Spanjaarden en de Fransen nog zachtjes horen vloeken. Conclusie is dat het toch minstens iets heeft geholpen.

[Reactie gewijzigd door mae-t.net op 26 juli 2024 00:04]

locke960 @Peatsmoke • 11 juni 2012 15:39

Waarschijnlijker is dat een conflict elektronisch begint en dat degene die het onderspit dreigt te delven het conflict escaleert naar fysiek geweld in een poging de bedreigende elektronische infrastructuur van de vijand uit te schakelen.

vlaaing peerd 11 juni 2012 08:51

grappig (eigenlijk helemaal niet zo), ik lees net op een Amerikaanse site hetzelfde bericht. Daar heerst onder de commenters meer de indruk dat dit een mythe is die door Iraniers in het leven is geroepen om VS en Israel in slecht daglicht te zetten.

't Is maar net hoe je dit nieuws brengt blijkbaar. Ongeacht wie er achter zit, als dit gesteggel door blijft gaan zie ik zo weer een oorlog tussen midden-oosten en west losbarsten.

Verwijderd @vlaaing peerd • 11 juni 2012 14:03

Sterker nog. Ik geloof juist in het omgekeerde, nl. dat juist Israel en de VS heer en meester zijn in het verspreiden van mythes en propaganda via de gecontroleerde media om hun oorlogszucht en honger naar wereldominantie te verantwoorden. Dat is jaren geleden gebeurd met Irak. Vorig jaar in Libïe. Dat gebeurt nu met Syrie en Iran is het volgend land dat ze in hun gareel willen krijgen.

Verwijderd @vlaaing peerd • 11 juni 2012 11:41

Alsof iemand zich druk maakt wanneer de vs een virus los laat in Iran. Ik zou t juist toejuichen, misschien komen we er dan achter wat die lui met die uranium uitspoken.

Verwijderd @vlaaing peerd • 11 juni 2012 13:24

Dit virus is door Kaspersky ontdekt. Als dit virus een mythe zou zijn dat verspreid is door Iran, wil dat zeggen dat de Russen mee in dit complot zitten! Daar zie ik de logica dus totaal niet van in. En gezien de complexiteit van dit virus, is deze veronderstelling al heel onwaarschijnlijk. Waarom enorm veel geld en energie steken in iets gewoon maar om een ander in een slecht daglicht te stellen?

South_Styler 11 juni 2012 08:51

Stel, dit virus zou afkomstig zijn uit de VS dan noem ik dat hypocriet. Zij waren de eerste om te zeggen dat cyberaanvallen, zoals een virus, gezien mag worden als oorlogsvoering. Nu blijkt dus dat ze mogelijk zelf drie virussen op het midden Oosten hebben los gelaten en dus in feite zelf bezig zijn met oorlogvoering.

On topic: het virus lijkt me erg slim in elkaar gemaakt als het zichzelf kan uitwissen op commando en daarvoor in de plaats een reeks nietsbetekende cijfers kan zetten. Is dat al normaal?

Verwijderd @South_Styler • 11 juni 2012 08:54

Het is alleen jammer dat zoiets niet te bewijzen is of zij t gedaan hebben.
Maar wel een feitje, de airforce van Amerika doet heel veel achter de rug van de regering regelen dus het zou welleens waar kunnen zijn.

Cornelisjuh 11 juni 2012 08:50

Behalve dat dit interessant nieuws is zijn jullie hier wel erg laat mee

Dit was rond 29 mei al bekend, net nadat Flame ontdekt was.

crazylemon 11 juni 2012 15:47

Stuxnet was een virus speciaal geschreven voor de programmeer software voor Siemens PLC's. Het geniale zat hem in de eenvoud en het doel.
USB infiltrant?? beetje flauwekul.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: