'Overheden aangevallen met kwetsbaarheid in Adobe Reader'

Kwaadwillenden hebben een kwetsbaarheid in Adobe Reader gebruikt om verschillende overheden aan te vallen, waaronder een Belgische overheidsinstelling of ambassade. Ook een onderzoeksinstituut en een zorgverlener zouden met succes zijn aangevallen.

MalwareIn totaal zijn 59 unieke slachtoffers in 23 landen aangevallen, waaronder in België maar ook in de Verenigde Staten, Duitsland en Ierland, blijkt uit het onderzoeksrapport van Kaspersky. Of het daarbij gaat om unieke geïnfecteerde pc's of om geïnfecteerde instellingen, is niet duidelijk. Zeker is wel dat er naast overheden ook denktanks, een onderzoeksinstituut, een 'sociale instelling' en een zorgverlener met succes zijn aangevallen. De getroffen instellingen worden niet bij naam genoemd.

De aanval, door Kaspersky 'MiniDuke' genoemd, zou in de afgelopen week hebben plaatsgevonden, waarbij de aanvallers een recent ontdekt lek in versies 9, 10 en 11 van Adobe Reader gebruikten. Dat lek, waarvan al bekend was dat het actief werd misbruikt, maakt het mogelijk om de sandbox te omzeilen. De sandbox moet juist voorkomen dat beveiligingsproblemen in software gevolgen kunnen hebben voor de rest van het besturingssysteem. Op dit moment duurt de aanval nog steeds voort; volgens Kaspersky hebben de cybercriminelen op 20 februari nog nieuwe malware uitgebracht. Om de malware te verspreiden, gebruikten de aanvallers social engineering, waarbij ze hun doelwitten ertoe verleidden om een e-mailbijlage met een besmet pdf-bestand te openen.

Welk doel de malware dient en of deze wordt gebruikt om bijvoorbeeld documenten te stelen, is onduidelijk. Wat wel duidelijk is, is dat het gaat om een gerichte aanval, die volgens Kaspersky-ceo Eugene Kaspersky bovendien 'erg ongebruikelijk' is. "Ik herken deze stijl van programmeren uit het eind van de jaren negentig en het begin van dit millennium", zegt hij in een verklaring. Hij spreekt van een groep 'elite-, oldschool-malwareschrijvers' die in het verleden 'zeer effectief' waren in het ontwerpen van complexe virussen.

Na infectie wordt in assembly geschreven malware op de computer geplaatst, die al zijn communicatie met de buitenwereld versleutelt met een voor die machine unieke code. Opvallend is dat de malware zichzelf uitschakelt wanneer deze detecteert dat deze in een virtuele omgeving wordt gedraaid. Beveiligingsonderzoekers gebruiken virtuele machines juist om malware in een beveiligde omgeving te kunnen onderzoeken.

Draait de malware niet in een virtuele machine, dan wordt Twitter gebruikt om nieuwe instructies te downloaden. Die instructies worden geplaatst op speciaal aangemaakte accounts. Is Twitter niet beschikbaar, of zijn die accounts verwijderd, dan wordt de Google-zoekmachine gebruikt, maar hoe dat precies werkt, is onduidelijk. Als de malware nieuwe instructies heeft ontvangen, wordt een als een .gif vermomde backdoor op de computer geplaatst. Die is op zijn beurt weer in staat om nieuwe malware te downloaden. De backdoor maakt verbinding met twee command-and-control-servers, in Turkije en Panama.

Virustweet

Twitterberichten als deze werden gebruikt om - versleutelde - instructies te versturen.

Door Joost Schellevis

Redacteur

Feedback • 27-02-2013 15:50 31

27-02-2013 • 15:50

31

Lees meer

Adobe kondigt eigen tekenhardware voor tablets aan
Adobe kondigt eigen tekenhardware voor tablets aan Nieuws van 7 mei 2013
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars'
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars' Nieuws van 26 februari 2013
Pentagon wil cybersecurityteam fors uitbreiden
Pentagon wil cybersecurityteam fors uitbreiden Nieuws van 28 januari 2013
Onderzoekers vinden 20 bugs in scada-systemen Siemens
Onderzoekers vinden 20 bugs in scada-systemen Siemens Nieuws van 27 december 2012
Iran zegt cyberaanval tegen energiecentrale afgeslagen te hebben
Iran zegt cyberaanval tegen energiecentrale afgeslagen te hebben Nieuws van 26 december 2012
'Franse overheidscomputers geïnfecteerd met Flame'
'Franse overheidscomputers geïnfecteerd met Flame' Nieuws van 21 november 2012
Obama stelt richtlijnen op voor offensieve bestrijding cyberaanvallen
Obama stelt richtlijnen op voor offensieve bestrijding cyberaanvallen Nieuws van 14 november 2012
Oliemaatschappij Chevron in 2010 getroffen door Stuxnet
Oliemaatschappij Chevron in 2010 getroffen door Stuxnet Nieuws van 9 november 2012
Onderzoeker: 'Stuxnet-systemen' Siemens nog steeds onveilig
Onderzoeker: 'Stuxnet-systemen' Siemens nog steeds onveilig Nieuws van 8 november 2012
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
27
16
3
0
0
Wijzig sortering
Eagle Creek 27 februari 2013 15:56
Het gebruik van bekende websites zoals Twitter, Facebook en (zo blijkt) zoekmachines is niet volledig nieuw maar zullen we in de toekomst vaker gaan zien. Het zijn immers sites die grote bekendheid hebben en nauwelijks worden geblokkeerd (zeker bekende niet-social media sites maar ook social media sites worden steeds minder vaak geblokkeerd ten faveure van een social media policy).

Op het eerste oog zullen accounts / berichten ook nog eens vaak niet opvallen omdat ze opgaan in de massa. Dit maakt dat de beheerders van de sites lastiger automatisch blokkades kunnen toepassen. Daarnaast is het vrij lastig te detecteren voor bedrijfsbeheerders: als je immerseen bot hebt die weet welke accounts hij moet volgen / pagina's hij moet bezoeken, worden daar gratis en voor niets de nieuwe instructies opgehaald. Tenzij dit echt opvallend verkeer is op een IDS (want op zich zijn er wel patroonherkenningsmogelijkheden op mogelijk), zal dit vaak onopgemerkt blijven.

De accounts/websites worden random aangemaakt en zijn binnen no-time weer offline. De bots in het netwerk zelf kennen het algoritme waarmee accounts/websites worden gegenereerd en weten hun C&C-server te vinden voor nieuwe commando's. Het is daarbij al lang niet meer nodig om een fixed IP of server te gebruiken. En Twitter offline halen met een takedown notice gaat niet gebeuren. Het is dus een doordachte en slimme tactiek om bestaande legitieme middelen in te zetten voor malafide praktijken. Een duidelijk "als het niet linksom, dan rechtsom" :).

Dat criminelen zich steeds verder ontwikkelen is geen geheim, noch een verassing. Wel worden technieken steeds geraffineerder, wat maakt dat het wapenen ertegen ook steeds lastiger zal blijken..

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 14:30]

biglia @Eagle Creek27 februari 2013 16:44
De criminelen ontwikkelen zich niet verder. Ze kopen nog steeds hun malware bij een ontwikkelaar die zijn of haar product wel steeds verder ontwikkelt om meer kopers te krijgen. Tenzij je zo'n ontwikkelaar ook een crimineel noemt.
freaky @Eagle Creek27 februari 2013 18:11
Patroon herkenning valt tegen en wordt steeds moeilijk gezien ze meer en meer encrypten.
_Thanatos_ @Eagle Creek28 februari 2013 01:03
Heb jij de tekst niet goed gelezen of ik niet? Want ik zie duidelijk staan dat de PDF binnenkwam via e-mail. Social engineering is niet engineering via social netwerken (ik vind social netwerken zelfs behoorlijk asociaal - maar niet asociaal als in oneschoft, maar gewoon als in niet-sociaal, maar goed).

Social engineering kun je ook doen met een telefoon, of met een post-it op de koffieautomaat.
Jimmy89 27 februari 2013 16:01
Het gebruik van twitter account om instructies door te geven is niet nieuw voor mij, het gebruik van Google ben ik wel benieuwd naar. Ik vraag me af wat voor query ze gebruiken en hoe ze dan nieuwe instructies vinden (en zeker weten dat het van "de aanvaller" komt en niet van een sinkbox)

De uitspraak van kasperky: "Hij spreekt van een groep 'elite-, oldschool-malwareschrijvers' die in het verleden 'zeer effectief' waren in het ontwerpen van complexe virussen." neem ik met een korreltje zout. Ik het verleden hebben ze bewezen snel dit soort uitspraken te doen, zonder enige onderbouwing (als voorbeeld: het flame virus: kaspersky sprak van een uitzondering taal en absurte hoge intelligentie en modulatie etc en vroeg toen of mensen de programmeertaal voor hun konden indentificeren, bleek het gewoon objective-c te zijn..)
@narotic: bedankt voor de uitleg

Link naar een kort onderzoek van CrySys:
http://blog.crysys.hu/2013/02/miniduke/

[Reactie gewijzigd door Jimmy89 op 25 juli 2024 05:16]

narotic @Jimmy8927 februari 2013 16:18
(als voorbeeld: het flame virus: kaspersky sprak van een uitzondering taal en absurte hoge intelligentie en modulatie etc en vroeg toen of mensen de programmeertaal voor hun konden indentificeren, bleek het gewoon objective-c te zijn..)
Ten eerste ging dat om het Duqu virus en ten tweede bleek het om OO variant van C te gaan (dmv macro extensies), wat zeker niet hetzelfde is als objective-c.
http://www.securelist.com..._of_Duqu_Framework_solved

Een van de redenen dat Kaspersky nu aangeeft dat het wellicht om "old-school" programmeurs gaat is dat de gehele backdoor in assembly is geschreven. Uiteraard hoeft dat niet perse te betekenen dat ze inderdaad old-school zijn, maar het ligt wel voor de hand.

[Reactie gewijzigd door narotic op 25 juli 2024 05:16]

Martiveen @Jimmy8927 februari 2013 16:08
Google dient denk als een soort cache voor twitter. Aangezien zij de resultaten van twitter ook indexeren.
Batiatus 27 februari 2013 16:33
Probleem is dat er door bedrijven geen alternatieven worden gebruikt. Aan particulieren heb ik vaker gewoon Foxit reader aangeraden.

Het probleem zit hem toch echt in de populariteit van het programma. Heel veel gebruikers installeren de PDF reader van Adobe omdat ze niets anders kennen en gewend zijn. Daardoor is het voor aanvallers natuurlijk ook een stuk aantrekkelijker om die software te onderzoeken en misbruiken. Hetzelfde geldt overigens voor flash. Als oplossing voor de PDF reader van Adobe, zie ik nu nog steeds Foxit, puur omdat het niet zo'n populaire PDF reader is als die van Adobe, waardoor die dus minder aantrekkelijk is om aan te vallen.

Met de ingebouwde PDF readers van de web browsers tegenwoordig komen we ook al een heel eind en sluit dat ook weer wat risico's uit.
sharkwouter @Batiatus27 februari 2013 18:44
Het is tegenwoordig lastig om adobe reader niet te installeren, het word bijgelerd bij bijna alle cd's met software of drivers.
Armin
@sharkwouter27 februari 2013 19:07
Het probleem is de Acrobar Reader plugin, niet Acrobat Reader zelf.

Zonder de plugin, krijg je een 'download of open' popup bij zo'n PDF. En zelfs behoorlijk onervaren gebruikers voelen dan nattigheid. En zo niet, maakt dit nep-PDF bestand meestal gebruik van een specifiek lek in de browser-plugin, welke mogelijk niet aanwezig is (of in ieder geval niet compatible) met de gewone reader applicatie zelf.

En persoonlijk vind ik het altijd irritant om die PDF's in de browser te lezen, omdat een groot deel van de zoom en aanverwante opties altijd verborgen worden.

Dus deactiveer de browser plugin en je bent veilig voor dit soort aanvallen.

Deactiveer verder de Java plugin en je hebt er nog meer uitgesloten.

En ikzelf zou ook overwegen Flash de deur uit te doen. Dat is meer problematisch, maar ik heb Flash helemaal de deur uit gedaan op al mijn PC's. Ik kijk YouTube wel op mijn telefoon en verder is Flash in mijn beleving toch vooral een platform voor adds.

=> Met het afscheid van de Java plugin, Reader plugin en Flash plugin heb je aldus de meeste statistieken tevens meer dan 90% van alle exploits en malware aanvallen van de laatste paar jaar afgeweerd!
MicScott @Batiatus27 februari 2013 16:54
Als veel mensen zo'n alternatief gaan gebruiken, wordt het natuulijk aantrekkelijker om die alternatieven aan te vallen. Massaal steeds maar naar alternatieve software overstappen lijkt me ondoenlijk binnen de bedrijfswereld.
Damic 27 februari 2013 16:36
Hoe kun je zien of dat je programma in een VM draait of niet?
the-dark-force @Damic27 februari 2013 17:20
een mogelijkheid is natuurlijk simpelweg naar de hardware specificaties kijken of de geladen drivers.
een virtuele machine heeft eigenlijk altijd dezelfde hardware, kan op dit moment niet in een vm kijken ter controle maar naar mijn weten heeft vmware bijvoorbeeld altijd een vmware svga 3d graphics adapter, de naam zegt het al. :+
er zullen wel ingewikkelde constructies te bedenken zijn om een vm op een fysieke machine te laten lijken (kijkt de malware naar gpu specificaties, zoja gebruik pci passtrough om gpu specs te veranderen) maar het gebruiken van een fysieke machine zou dan makkelijker kunnen zijn aangezien er vast wel weer een alternatieve detectiemethode gevonden word naast de gpu check waardoor de malware alsnog verdwijnt.

andere readers gebruiken zijn wel tijdelijke oplossingen maar lossen weinig op
myskylinedrive
"simpele oplossing, lekker foxit gebruiken, ben je ook van die irritante vele updte meldingen af"
ja erg handig, die "irritante" updatemeldingen zorgen ervoor dat jij wel je beveiliging op orde hebt en niet je hele netwerk in gevaar brengt.
foxit bevat vast ook wel lekken net als andere alternatieven, er werken minder developers aan en er zijn minder gebruikers (en dus feedback en beveiligingsupdates) klinkt dat veiliger ?
er word minder malware voor gemaakt omdat zo weinig mensen het gebruiken ?
net als linux en mac gebruikers magischerwijs veilig zijn zeker ?
kost je 40$ heb je 3 maand een r.a.t. dat volledig encrypted werkt op ubuntu, windows & mac.

als de malware zich uitschakeld in een vm, waarom dan niet elke gebruiker trainen op het gebruik van virtuele machines om daarin bestanden van buitenaf of onbekende afkomst in te verwerken ?
Bacchus @the-dark-force27 februari 2013 18:26
Vergelijk de downloadgrootte van een eenvoudige pdf-reader als Foxit eens met die van Adobe Reader en bedenk dat al die extra MB's niet-essentiele functie's in Adobe Reader vertegenwoordigen die wel een beveiligingsgat kunnen bevatten.
Daarnaast is Adobe Reader een veel te makkelijk doelwit, inderdaad alleen al omdat je ervan uit kunt gaan dat 3/4 van de PC's er een versie van bevat. Als dat getal daalt, daalt ook de aantrekkelijkheid als malwaredoelwit.
hackerhater @Damic27 februari 2013 17:03
Dit kan je oa aan de hardware drivers herkennen.
omgevingen als vmware en virtual box hebben kenmerkende virtuele hardware.
useruser @Damic28 februari 2013 09:30
Hoe kun je zien of dat je programma in een VM draait of niet?
MAC adressen verraden dat bijvoorbeeld. Een MAC adres van VMware begint altijd met 00:50:56 of 00:0C:29 . Zo zijn er nog wel meer van die details :)
OrangeTux 27 februari 2013 15:58
Fascinerend hoe doordacht de malware is. Ik ben onder de indruk van de creativiteit van de ontwikkelaars. Helaas dat het ten kwade wordt gebruikt.
biest 27 februari 2013 16:07
Is dit lek gedicht in de laatste patches, oa 10.1.6 van Reader X ?
Anoniem: 428562 27 februari 2013 17:10
Wie man in den wald hineinruft so schallt es heraus

Des te meer overheden internet willen controleren des te meer zullen overheden het slachtoffer worden van cyber attacks. Overheden zullen altijd achterlopen op de feiten. Personen met veel kennis en talent om zero day attacks te ontwikkelen zullen nooit voor een overheid willen werken, het verdient niet genoeg en de hiërarchische verhoudingen staan hun tegen.

Voor overheden zullen alleen mensen werken die second best zijn.
_Thanatos_ @Anoniem: 42856228 februari 2013 01:08
Mensen die virussen kunnen schrijven, zijn niet per definitie slimmer dan mensen die een virusscanner kunnen schrijven.
[Remmes] 27 februari 2013 15:58
Best geniaal gemaakte malware.
Anoniem: 16328 27 februari 2013 16:02
Logisch Adobe Reader is vaker lek dan niet. Adobe heeft zelfs eens geadviseerd om Micrososft EMET (http://support.microsoft.com/kb/2458544/nl) te installeren voor extra bescherming tegen lekken in Reader.
Wampa1 27 februari 2013 19:12
Dit is wel een sterk staaltje malware als ik dat zo lees. Zeker dat uitschakelen bij het detecteren van een virtuele omgeving is geniaal.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq