Kaspersky legt cyberspionage-malware NetTraveler bloot

Beveiligingsfirma Kaspersky zegt malware te hebben ontdekt die bij meer dan 350 bedrijven en overheden gevoelige data heeft buitgemaakt. De zogeheten NetTraveler-malware zou vanuit China gebruikt zijn sinds 2004 en vooral zijn benut voor spionageactiviteiten.

Kaspersky zegt dat de NetTraveler-malware in meer dan veertig landen is ontdekt en vooral in de periode 2010-2013 veel activiteit heeft getoond. Onder andere overheidsinstellingen, ambassades, bedrijven in de olie- en gassector, onderzoekscentra, militaire bedrijven en activisten zouden zijn getroffen. De malware zou onder andere uit zijn op gegevens over ruimteverkenning, nanotechnologie, energieproductie, kernenergie, lasers, geneeskunde en communicatie.

NetTraveler zou een modulaire opbouw hebben waardoor de mogelijkheden om bestanden buit te maken steeds aangepast kunnen worden. De code zou volgens Kaspersky vooral bedoeld zijn voor cyberspionage. De malware kan een Windows-systeem besmetten door misbruik te maken van twee bekende en gedichte kwetsbaarheden in Microsoft Office. Om de exploits te benutten maken de aanvallers gebruik van spear fishing, het doelgericht versturen van gemanipuleerde e-mails met besmette bijlages.

Volgens Kaspersky wordt NetTraveler als 'data exfiltration tool' vanuit China ingezet. Het beveiligingsbedrijf schat in dat er circa vijftig personen betrokken zijn bij de aansturing van de malware en het verzamelen van buitgemaakte data. Ook denkt het bedrijf dat NetTraveler circa 22GB aan veelal gevoelige data heeft gestolen.

NetTraveler-malware

Door Dimitri Reijerman

Redacteur

Feedback • 04-06-2013 19:44 31

04-06-2013 • 19:44

31

Lees meer

Vijf leidinggevenden verlaten Kaspersky om meningsverschil
Vijf leidinggevenden verlaten Kaspersky om meningsverschil Nieuws van 3 mei 2014
Microsoft: aantal malware-infecties in Nederland neemt af
Microsoft: aantal malware-infecties in Nederland neemt af Nieuws van 29 oktober 2013
Opera-gebruikers zijn mogelijk besmet via valse update
Opera-gebruikers zijn mogelijk besmet via valse update Nieuws van 27 juni 2013
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie Nieuws van 3 juni 2013
'Beveiligingsupdate Windows 7 veroorzaakt blue screen of death'
'Beveiligingsupdate Windows 7 veroorzaakt blue screen of death' Nieuws van 12 april 2013
Kaspersky: eerste 64bit-Windows-malware met geldig certificaat ontdekt
Kaspersky: eerste 64bit-Windows-malware met geldig certificaat ontdekt Nieuws van 11 april 2013
Bug in Kaspersky-firewall maakt systeemcrash mogelijk
Bug in Kaspersky-firewall maakt systeemcrash mogelijk Nieuws van 8 maart 2013
Kaspersky: digitale oorlogsvoering is onverstandig
Kaspersky: digitale oorlogsvoering is onverstandig Nieuws van 27 februari 2013
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars'
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars' Nieuws van 26 februari 2013
Java-patch lost vijftig beveiligingsproblemen op
Java-patch lost vijftig beveiligingsproblemen op Nieuws van 4 februari 2013
Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt
Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt Nieuws van 14 januari 2013
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab China Malware

Reacties (31)

-Moderatie-faq
31
31
25
3
0
4
Wijzig sortering
Firesphere 4 juni 2013 19:50
Ik ben geen expert op het gebied van dergelijk research, maar toch verbaasd met me dat virussen/malware soms zo lang onder de radar kan blijven met bedrijven als Kaspersky, Symantec, EICAR etc. die actief zoeken naar nieuwe malware.

Goed, een nieuwe connectie of een nieuwe indexing-methode hoeft niet direct malware te betekenen.

Mooi dat het door een instituut is gevonden nu natuurlijk, maar als het al sinds 2004 actief zou zijn, danwel semi-actief, krijg ik bij sommige vira die gevonden worden een beetje een "hier is X bedrag als jij je waffel houdt" gevoel.

Tot slot is 22GB aan data in bijna 10 jaar niet extreem veel natuurlijk. Tenminste, lijkt mij.
Guido001 @Firesphere4 juni 2013 19:54
In het blog van Kaspersky staat er meer info over. Staat ook dat ze op het moment dat ze de C&C servers bestudereerde dat er 22GB aan data stond. Maar dat het erop leek dat de aanvallers vaak data verwijderde van deze servers.
Dus voor het zelfde geld kan het TB's zijn dat er gestolen is.
Verwijderd @Firesphere4 juni 2013 19:55
22GB is in verhouding niet veel in 10 jaar, maar het ligt er maar net aan welke data is buitgemaakt. 1 A4-tje met namen van geheim agenten is veel en veel meer waard dan de 22GB die ze hebben buitgemaakt.
Firesphere @Verwijderd4 juni 2013 19:57
Da's natuurlijk waar, in acht nemende wat Guido001 zegt, kan er natuurlijk veel meer zijn gestolen.
Maar toch, een dergelijk stuk malware is gericht op non-discriminating-information-gathering, lijkt mij. Dus gewoon alles wat maar enigszins belangrijk lijkt opsturen naar C&C.
gjmi @Firesphere4 juni 2013 22:40
Je spreekt jezelf tegen :)
Enigszins belangrijk is niet non-discriminating
notsonewbie @Firesphere4 juni 2013 19:57
Wel als een groot deel er van uit digibete politici emails bestaat bijv.
Of puur namen en passwords plus andere ID en bank gegevens.
Bijv,. 90% van die 22 GB 'aan tekst' is namelijk wel heel veel.

[Reactie gewijzigd door notsonewbie op 25 juli 2024 03:48]

Shark.Bait @notsonewbie4 juni 2013 21:37
Als de gemiddelde bieb 10.000 boeken heeft, en dat past op 2 GB volgens sommige bronnen, dan is 22 GB 11 bibliotheken vol tekst, oftewel 110.000 boeken, een enorme hoeveelheid tekst.
Aikon @Shark.Bait5 juni 2013 08:26
Of het is nog geen 2% van de grootste foto ter wereld... Er is niks zinnigs over te zeggen, al helemaal omdat die 22GB een momentopname is.
lordfragger @Firesphere4 juni 2013 20:04
Dat zijn altijd spear attacks, heel gerichtte aanvallen op enkele personen of instellingen dus. De kans dat zo'n aanval gedetecteerd wordt is relatief klein, zeker als de malware professioneel geschreven is.

De malware die snel ontdekt wordt is meestal maar van bedenkelijke (programmeer)kwaliteit en verraadt zich door enorm snel te verspreiden, fouten te geven op een systeem of andere opvallende activiteiten. Malware die specifiek geschreven is om langdurig zijn werk te doen gaat zichzelf niet verspreiden, gaan data in kleine stukken naar de schrijvers terugsturen, gaat nooit teveel resources gebruiken...
lord4163 @Firesphere5 juni 2013 08:41
22GB aan tekst is erg veel, probeer maar eens eens een tekst bestand te maken en vullen met tekst.
Verwijderd @lord41635 juni 2013 11:34
psies :)
Finder 4 juni 2013 20:43
Het valt me toch heel vaak op dat Kaspersky de eerste is met dit soort ontdekkingen. Destijds met Stuxnet ookal. Hebben zij zo'n verstaande onderzoekscentra?
Bluepenguin @Finder4 juni 2013 22:32
Het ligt denk ik iets gecompliceerder dan wat Firesphere betoogt:
• misschien dat Kaspersky jou het meest is bijgebleven of dat de media berichten van Kaspersky vrijwel altijd groot oppakken, want bijv. F-secure en Symantec zijn zeker ook erg ver op het gebied van onderzoek. En ook 'kleintjes' als bijv. VBA en Vipre hebben af en toe interessante nieuws. Veel daarvan wordt niet gepubliceerd in de dagelijkse kranten / journaals.
• Kaspersky is één van de bedrijven die zich het langst in informatiebeveiliging heeft gespecialiseerd
• Eugène Kaspersky (en zijn echtgenote) is een visionair, net als bijv. Mikko Hyppönen (F-secure). Anti-virus voor mobieltjes? Kaspersky en F-secure (en Eset) waren daar veel eerder mee dan de rest van de anti-virus 'fabrikanten'.
• de geografische spreiding van Kaspersky onderzoekslaboratoria, men heeft in bovengemiddeld veel landen onderzoeksvestigingen. Dat is belangrijk, omdat malware nogal verschilt per werelddeel. Een geraffineerde grootschalige aanval kan eigenlijk ook alleen goed gedetecteerd worden bij een grote spreiding van onderzoeksvestigingen. Dan blijven er nog maar weinig bedrijven naast Kaspersky over.
• In tegenstelling tot bijv. McAfee is Kaspersky altijd geleid door een stabiele groep 'managers', die stabiele bedrijfsvoering betaalt zich over de lange termijn uit. En in tegenstelling met bijv. Symantec zijn de aandeelhouders van minder grote invloed, de familie Kaspersky heeft een fors deel van de aandelen in handen.

Maar het belangrijkste: Kaspersky is op de consumentenmarkt redelijk groot, maar vooral een zéér belangrijke speler op het gebied van bedrijfs- en netwerkbeveiliging.
Het bedrijf is veel groter dan je verwacht aan de hand van marktaandeel, omdat de techniek van veel netwerk en bedrijfsbeveiliging giganten bouwt op Kaspersky techniek: denk hierbij aan bijvoorbeeld Bluecoat, Netasq en Juniper Networks.
>> En zo krijgt Kaspersky natuurlijk niet alleen heel veel (en gevarieerde) onderzoeksdata terug, maar ook heeft het op die manier relatief veel budget voor onderzoek.
Het netwerk specialisme is wat Kaspersky een voorsprong geeft op veel concurrenten. Veel van de opzienbarende ontdekkingen door Kaspersky hebben vaak een sterke netwerkcomponent in zich. Stuxnet kon alleen slagen door eerst een netwerk binnen te dringen en zich vervolgens te verspreiden en zo ook deze malware die informatie van overheden en grote bedrijven probeert te kapen.

Aardig weetje in hetzelfde kader is misschien ook dat veel 'blanco' beveiligingssoftware, denk aan telecomproviders die extra antivirus en 'familie filters' aanbieden (zoals KPN PC Veilig), afkomstig is van F-secure.
Op de consumentenmarkt een vrij klein marktaandeel, maar laat ze maar schuiven .... :)

[Reactie gewijzigd door Bluepenguin op 25 juli 2024 03:48]

Firesphere @Finder4 juni 2013 21:38
Ik denk dat een groot deel van de kwaliteit van Kaspersky ligt bij het feit dat het een Russisch bedrijf is waar (old-skool) hackers en crackers werken. Kaspersky is wat dat betreft een beetje het zwarte schaap in de anti-virus familie.

(Tenminste, voor zover ik weet. Ik kan me vergissen)
sc0va 5 juni 2013 00:49
Dit zijn oorlog achtige taferelen maar dan op het internet, Cyber War. Nooit verwacht dat landen zo bij elkaar te werk zouden gaan. Toch vrij ziek was voor informatie China heeft buitgemaakt met deze Malware.

Ik ben er van overtuigd dat ze rare taferelen kunnen uithalen met deze informatie, en zichzelf als land-zijnde kunnen verbeteren op gebied van ruimteverkenning, nanotechnologie, energieproductie, kernenergie, lasers, geneeskunde en communicatie.

Vrij ziek dit. Sta hier toch van te kijken. :X

En zo zie je ook weer hoe belangrijk eigenlijk beveiliging is tegenwoordig, 70% van de maatschappij leeft tegenwoordig op zijn Smartphone en veel overheidsinstellingen slaan gevoelige gegevens op verschillende servers op waar zo'n land als China in bijvoorbeeld misbruik van zou kunnen maken (net een stapje voor zijn met wapens of op economisch gebied).

[Reactie gewijzigd door sc0va op 25 juli 2024 03:48]

Niosus @sc0va5 juni 2013 01:16
Dit gebeurt natuurlijk al heel lang, maar toen was het met fysieke spionnen. Niet dat er geen fysieke spionnen meer zijn, maar vanop afstand is natuurlijk een stuk makkelijker en veiliger.

Het komt uit China, maar het staat natuurlijk ook niet vast dat dit de overheid is. Bedrijfsspionage komt ook gewoon enorm veel voor, overal in de wereld en voor bedrijven maken landsgrenzen weinig uit.

Als je westerse bedrijven wilt bespioneren is het natuurlijk wel leuk om dat te doen vanaf een server waar je geen risico hebt om offline gehaald te worden. Bijvoorbeeld in dit geval is alles wel naar boven gekomen, maar die server staat nog altijd veilig in China, ver buiten eventuele juristieke acties en zelfs als China meewerkt heb je een zee van tijd om alles veilig te stellen en de server te wipen.

Het gaat er hard aan toe, maar China is zeker niet de enige. Andere landen en grote bedrijven doen hier even goed aan mee. Ik zeg niet dat het in dit geval wel of niet China is, gewoon dat je met puur een IP adres enkel kan zeggen waar de server staat en niet WIE er achter zit.
GB2 4 juni 2013 20:01
Dat het vaak niet opgemerkt wordt is wel vaker, ook de zeus trojan heeft waarschijnlijk jaren lang data verzameld en misbruik gemaakt van niet bekende lekken.

Dit bewijst maar weer eens dat je met een normale virusscanner de oorlog niet gaat winnen, vroeger kon je ook nog met een beetje firewall de boel dichthouden maar tegenwoordig gaat dit ook allemaal over poort 80 of 443.
Armin
@GB24 juni 2013 20:38
Voeg daarbij op dat hele volksstammen nog steeds gewoon géén virusscanner hebben. Ik durf te wedden dat een significant deel van de besmettingen nog steeds zo plaats vindt.

Dat wordt versterkt, doordat zo ongeveer elke grote spionage zaak die uitlekt, begonnen is met het klikken op een attachment door een gebruiker.

Basis email beveiliging van Exchange en alle concurende producten staat het gewoon niet toe om executables te draaien, dus het moet al gaan om een 'onschuldig' bestandstype (pdf, etc) wat gebruikt maakt van een lek. En dan moet het ook om een zero-day lek gaan.

Natuurlijk bestaan die, en in dat geval is het erg moeilijk je te wapenen. Maar het schrikbarende is elke keer weer dat in veel gevallen het achteaf toch weer bleek te gaan om gevallen waar het géén zero-day lek was, de email beveiliging (Google mail, Hotmail, Yahoo, etc) wél toestond dat er allerlei bestanden geopend werden, etc. Ook het mengen van prive en werk is een bekende bron van inbraken.

Enerzijds een geruststelling (dat het dus toch niet 'iedereen' zomaar kan overkomen) andersom natuurlijk ook wel schrikbarend dat anno 2013 security zelfs onder professionals vaak zo slecht geregeld is.
webcamjan @Armin4 juni 2013 21:04
"Om de exploits te benutten maken de aanvallers gebruik van spear fishing, het doelgericht versturen van gemanipuleerde e-mails met besmette bijlages."

En net dat is veiligheids regel nummer 1. nooit zomaar bestanden via mail openen als je niet zeker van de afzender bent.
Ik heb al heel wat bank en belasting mails weggegooid hoor, en maar goed ook omdat ik niets met die instellingen te maken had dat ze me wat zouden sturen. Maar de meeste mensen openen het klakkeloos en klikken eveneens domweg op de links in een mail.

Daar helpt een scanner niet veel tegen als het virus ook nog eens met niet eerder gededecteerde waarden werkt.

Een goede adblocker en gezond verstand wat klikken en openen aangaat werkt beter dan menig virus scanner welke altijd per definitie achterloopt.
En zo blijft de discussie over wel en niet een virus scanner doorgaan.
Je kan in wezen rustig zonder (hebben we hier op meerdere systemen ook, deze werken met externe scans welke ook nog nooit iets hebben laten zien) maar je moet een goed beleid hebben wat dat systeem doet en mag en je moet een goed beleid hebben wat de (hardware)firewall allemaal ondervangt. Daar zou eens wat meer de aandacht naar toe moeten.

Maar goed daarom heb ik de laatste 10 jaar ook nooit van dergelijke dingen last gehad op mijn windows (klop klop) Denken voor doen.
3dfx @webcamjan4 juni 2013 21:24
En net dat is veiligheids regel nummer 1. nooit zomaar bestanden via mail openen als je niet zeker van de afzender bent.
Persoonlijk vind ik dat die regel ietwat aangepast zou kunnen worden:
"Nooit zomaar bestanden via mail openen, en ook niet zomaar op linkjes in emails klikken."

Ook al ken je afzender, dat wil nog niet zeggen dat die de beveiliging dusdanig op orde heeft dat hij/zij nooit "enge" mails kan sturen. Of dat z'n account nooit gehackt kan worden.

En daarnaast, het 'spoofen' van de afzender kon al sinds het begin van email, dus het hoeft niet eens echt van die bekende afkomstig te zijn.
webcamjan @3dfx4 juni 2013 21:50
Je kan die regel aanpassen naar believen uiteraard.
Maar het gaat om de basis van de gedachte daarachter die is belangrijk.

p.s. linkjes van een gehackte accounts houd voor 99% dat het via gmail, hotmail en dat soort zooi gaat en daar krijg ik al helemaal geen belangrijke dingen op om de simpele reden dat belangrijke dingen nooiit via dergelijke adressen gaan.

Het kan voor sommigen een stoot tegen het hoofd zijn maar dergelijke mail adressen gebruik je alleen voor registraties op sites e.d. Niet voor zakelijke toepassingen en ja ik weet dat die bedrijven daar pakketen voor hebben toch vertrouw ik ze niet. Wat ook gelijk weer het gevaar van die o zo mooie "cloud" aangeeft.
Jorn1986 @GB24 juni 2013 20:24
Zeus is nog steeds actief overal: zie Zeustracker.abuse.ch.

Daarnaast is Zeus nog steeds slecht op te sporen door veel hedendaagse antivirus scanners.

[Reactie gewijzigd door Jorn1986 op 25 juli 2024 03:48]

RicardoLans 5 juni 2013 07:50
Of je kan gewoon geen mails/bijlagen openen die je niet kent.
In al mijn jaren dat ik een pc/internet gebruik (sinds 1998) is het nog nooit (*klopt even af*) overkomen dat ik een virus/malware op mijn pc heb.

Hoe, simpel lees mijn eerste zin :) Klinkt raar maar aan de afzender + opbouw van email kan ik al opmaken of het een valide email is of niet.

Doordat ik nu dagelijks tussen de 50-100 mails heb te verwerken moet ik toegeven dat het lastiger wordt en meer tijd kost om de mails goed te bekijken, maar geloof mij dat ene uurtje per dag mails wegwerken tegenover een schone (*klopt weer af*) omgeving heb ik er zeker voor over.

@BillyTheClit, dit heeft niks met wel of geen Windows te maken. MacOSx heeft ook zijn kwetsbaarheden alleen die worden (bijna) niet in de media getoond, evenals Linux systemen die open source zijn en zo ook makkelijk te doorgronden zijn voor echte kwaadwillenden.
Dus je redenering klopt in mijn ogen totaal niet. (op het punt dat Windows dominant is na, dat is deze zeker)

[Reactie gewijzigd door RicardoLans op 25 juli 2024 03:48]

hackerhater @RicardoLans5 juni 2013 09:28
Windows heeft wel een geschiedenis van ernstige, remote exploitable, bugs. Dit heeft puur te maken met dat Microsoft vroeger (mischien nu nog?) veiligheid voor gebruikersvriendelijkheid heeft opgeofferd. En dat voor Vista practisch iedereen als admin draaide hielp natuurlijk ook niet.

Maar dit gaat voor elk OS op : geen enkel OS zou zo groot marktaandeel mogen hebben. (Ik vind Android op de smartphone markt ook te groot) Diversiteit is een goed wapen tegen massale aanvallen.
mithe @hackerhater5 juni 2013 11:52
Maar voor sommige spyware is dat niet genoeg hoor.
Denk aan Java, werkt op alle platformen.
Thrashie 4 juni 2013 21:09
  • vooral in de periode 2010-2013 veel activiteit heeft getoond.
Ik zal het wel niet goed begrijpen... maar ze zagen in 2010 al veel activiteit, en nu 3 jaar later is het pas bloot gelegd?
de echte flush 4 juni 2013 21:20
"De malware kan een Windows-systeem besmetten door misbruik te maken van twee bekende en gedichte kwetsbaarheden in Microsoft Office."

at ik wel interessant vindt en niet direct terug vind is welke (kb) updates je moet installeren waar het lek gedicht is. Gewoon om in de organisatie eens te checken of ie wel geïnstalleerd is :)
lord4163 @de echte flush5 juni 2013 08:36
Gewoon alle updates installeren.
Nickvda @lord41635 juni 2013 15:34
'Gewoon om in de organisatie eens te checken of ie wel geïnstalleerd is'

..
BillyTheClit 5 juni 2013 02:51
En waarom blijven we met z'n allen (mezelf inclusief) eigenlijk nog op dat populaire en kwetsbare Windows zitten? De dominantie van dit platform maakt ons tot een hoopje gewillige slachtoffers.
Gelukkig zorgen nieuwe devices (tablets, smartphones) voor meer diversiteit.

Je kan maar best mails lezen op een andere machine dan die waarop je werkt, gewoon om spear fishers geen kans te geven.
iVisionz @BillyTheClit6 juni 2013 05:00
Omdat windows met alles compatible is. Alles wordt gebouwd en gemaakt voor windows

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq