Belgische justitie onderzoekt grootschalige malware-aanval overheidsdiensten

België is zwaar getroffen door een omvangrijke aanval met de MiniDuke-malware en onder andere een hele reeks overheidsinstellingen is getroffen. Het federaal parket in het land blijkt dit jaar een onderzoek gestart te zijn om de aanval in kaart te brengen.

Malware Een woordvoerster van het federaal parket wil alleen tegen De Tijd bevestigen dat er dit jaar een onderzoek is gestart, waardoor de omvang van de malware-aanval bij de overheidsdiensten onbekend is. De krant weet wel te melden dat België een van de zwaarder getroffen landen ter wereld is. De Federal Computer Crime Unit van het land onderzoekt daarom de omvang en herkomst van de aanval. Donderdag onthulde De Tijd ook al dat het Ministerie van Buitenlandse Zaken een onderzoek is gestart naar een hack die begin vorig jaar is ontdekt. Die aanval staat los van de nieuwe onthullingen.

Kaspersky ontdekte begin dit jaar een MiniDuke-aanval, maar de malware is al sinds 2011 bekend. Het beveiligingsbedrijf constateerde in februari 2013 al dat overheidsdiensten slachtoffer waren. De malware maakt misbruik van een kwetsbaarheid in Adobe Reader en de aanvallers verspreiden MiniDuke door doelwitten ertoe te verleiden om een e-mailbijlage met een besmet pdf-bestand te openen. Na infectie wordt een klein in assembly geschreven malwarebestand op de computer geplaatst, die al zijn communicatie met de buitenwereld versleutelt met een voor die machine unieke code. De malware wordt als geavanceerd omschreven en kan zichzelf bijvoorbeeld uitschakelen wanneer deze detecteert dat deze in een virtuele omgeving wordt gedraaid.

Volgens De Tijd droegen de pdf-bestanden namen die verwezen naar mensenrechtenconferenties en NAVO-lidmaatschappen. Het bericht komt een aantal dagen na uitspraken van de Belgische minister van Buitenlandse Zaken Didier Reynders, dat NAVO-landen en de Belgische Federale Overheidsdienst Buitenlandse Zaken in 2011 slachtoffer waren van een grootschalige spionage-aanval, waarbij hij volgens HLN naar Chinese bedrijven verwees.

Het nieuws komt ook na een week waarin onthuld werd dat Belgacom slachtoffer was van overheidsspionage. Uit documenten van klokkenluider Snowden blijkt dat de Britse inlichtingendienst daar achter zat.

IT-banen

Reacties (20)

kritischelezer 21 september 2013 13:10

Wat zal China nu voor waarde hechten aan informatie van (lokale) overheden uit Belgie...

In onderstaand document (ja het is een pdf) valt te lezen dat Belgie nou niet echt mee doet in de internationale handel.
http://www.abh-ace.be/nl/..._NL_WEB_tcm448-198675.pdf

De Belgische
handelsbalans
met de Volksrepubliek China vertoont traditioneel een deficit. Het tekort, dat in 2006
EUR
7.282,2
miljoen bedroeg, liep op tot EUR
9.977,4
miljoen in 2008. Door de daling van de import en de verdere
toename van de export is het tekort in 2009 sterk afgenomen. In 2010 nam het deficit opnieuw toe met EUR
525,8
miljoen
tot EUR -6.702,9
miljoen.

[Reactie gewijzigd door kritischelezer op 30 juli 2024 20:20]

Yoshi @kritischelezer • 21 september 2013 13:25

misschien niet... Maar je document laat wel alleen wat cijfertjes zien inzake export en import. Laten we bijvoorbeeld kijken naar de aanwezigheid van bv Bekaert, Barco, Solvay, Umicore in China... Dat alleen al is een serieus statement en kan je niet afleiden uit jouw document. En zo zijn er tal van bedrijven die er wel toe doen. Maar an sich maakt het inderdaad niet zoveel uit. Maar dat heeft minder met jouw cijfers te maken dan doet vermoeden. We zijn gewoon een klein land ;-).

De uitspraak van Reynders slaagt trouwens op niet veel, want de regering is maar al te blij met de (toekomstige) aankoop van een Genst bedrijf door Huawei. Waardoor Huawei zijn aanwezigheid hier in de Benelux wilt verhogen.

Wat ik evenwel frappant vind, is dat niemand het blijkbaar nodig vind van de UK op vingers te tikken, je mag dan wel klein en onbelangrijk zijn maar ik vind het wel vreemd dat ik nergens kan lezen dat bv de ambassadeur uitleg moet komen verschaffen. Nergens hoor je geluiden dat er ook maar iets degelijk word ondernomen.

Het enige dat we horen is dat onze ICT achter loopt, maar dat weten diezelfde regeringsleiders al 15 jaar, of komen deze onder een steen onderuitgekropen?

@Blokker_1999

Dat is ook net wat ik beweer ;-), dat men verder moet kijken dan onze import-export cijfers... Maar je kan niet om het punt heen, dat we nog steeds een klein land zijn. Wat dan wel weer niet wil zeggen dat we helemaal niets betekenen ;-). Ik vind trouwens dat je een leuk punt aanhaalt. Want ook van die kant hebben we nog niet veel gehoord.

Gaat de NAVO hier wegtrekken? Gaan zij misschien iemand berispen, of wisten ze er gewoon van :-)

[Reactie gewijzigd door Yoshi op 30 juli 2024 20:20]

Blokker_1999

België
Netwerk en systeembeheer

@Yoshi • 21 september 2013 13:33

België is dan wel klein, maar Brussel is 1 van de belangrijkste plaatsen op gebied van diplomatie in de wereld met onder andere de Europese wijk en het NAVO hoofdkwartier. Inbreken bij de belgische overheid of belgische communicatiebedrijven heeft dus wel degelijk een groot nut voor spionagediensten.

kodak @Yoshi • 21 september 2013 15:00

Als er geen bewijs is - en voorlopig lijkt het kunnen aanwijzen van de dader/opdrachtgever slechts speculatie te zijn op basis van ongeverifieerd bewijs - dan is het niet zo vreemd dat een mogelijke verdachte/opdrachtgever nog niet op de vingers is getikt.

Daarbij, waarom zou je verwachten dat enkel een bepaald land elders aan het spioneren is? Dat je van de rest niets hoort wil niet zeggen dat men diplomatiek niet weet wat er werkelijk aan bijv spionage aan de hand is. Het ligt allemaal nogal gevoelig tussen landen en bondgenoten. Zeker zonder hard bewijs.

Wampa1 @kritischelezer • 21 september 2013 13:20

Ik neem aan dat je dit verstuurd hebt van een Tablet o.i.d. De opmaak is niet iets om over naar huis te schrijven..

O.T. Ik weet tegenwoordig niet meer hoe je jezelf tegen dit soort praktijken kan schermen. Ja leuk als je een mooie firewall aanschaft maar wie zegt dat de ontwikkelaars erachter integer zijn en niet alvast hun eigen backdoors en/of afluisterpraktijken hebben geïmplementeerd.

r2504 @Wampa1 • 21 september 2013 14:03

Als de malware al gekend is sinds 2011 dan zou iedere deftige anti-virus oplossing dit moeten vermijden... hoe komt dan dat nog steeds PC's besmet raken ?

the-dark-force @r2504 • 21 september 2013 18:36

scantime av ontwijken is simpel, omdat antivirus vaak gebruikt maakt van hashes om bekende malware te identificeren, gebruik je een crypter of voeg je loze data aan de malware toe dan veranderd de hash en word er dus niets gevonden in de malware database.

runtime is vaak wat lastiger (ervanuitgaande dat er actieve a.v. draait i.p.v. een pasieve scanner eens per dag o.i.d.) omdat er dan bijvoorbeeld gekeken word naar api calls e.d.
dus worden die processen vaak weer verborgen door sub processen of door bijv. een kwetsbaar stukje software (bijv. office 2003, IE6 of verouderde flashplayer) te infecteren met de malware en die de api calls te laten maken (aangezien office "veilig" is zal antivirus geen alarm slaan en is het systeem runtime undetectable.

natuurlijk werkt het niet precies op deze manier maar vaak word er gewoon dezelfde methode gebruikt met een kleine update, een sleep timer hier en een random loop daar... daarom kan bijvoorbeeld poison ivy ondanks dat de sourcecode openbaar is alsnog ongedetecteerd zijn werk doen en mensen het leven zuur maken.

wat ik alleen afvraag is, hoe is er ooit een uitgaande verbinding tot stand gekomen als upnp e.d. uitgezet waren (lijkt me toch een standaard in it beveiliging)
ik ga er vanuit dat de malware van binnen naar buiten contact heeft gemaakt omdat elk ingaand request wel goed gemonitored zal worden.

daarnaast is het virtuele omgeving -afsluiten- vast wel te omzeilen door bijvoorbeeld pci(-e ?) passtrough te gebruiken om zo de geëmuleerde hardware te vervangen voor echte hardware waardoor de malware niet detecteerd dat het een virtuele machine is.

maaargoed wie tegenwoordig nog mailtjes met vage bijlages opent van onbekende afzenders moet toch even het "internet voor dummies" handboek doornemen...

[Reactie gewijzigd door the-dark-force op 30 juli 2024 20:20]

Verwijderd @the-dark-force • 21 september 2013 22:17

daarnaast is het virtuele omgeving -afsluiten- vast wel te omzeilen door bijvoorbeeld pci(-e ?) passtrough te gebruiken om zo de geëmuleerde hardware te vervangen voor echte hardware waardoor de malware niet detecteerd dat het een virtuele machine is.

Ik ben bang dat het iets lastiger is dan dat.
EP_X0FF geeft hier een behoorlijk aantal goede tips .
Voor diegene die hem niet kennen , hij is de maker van RootkitUnhooker .

Sando @r2504 • 21 september 2013 14:22

Overheden geloven niet in anti-virus. Net zoals Filezilla niet in een master-wachtwoord gelooft.

preske @Wampa1 • 21 september 2013 18:51

Als je de staat van Belgische overheids-IT (kennis) kent, is dit heel correct.

Kain_niaK @kritischelezer • 21 september 2013 14:17

Leuk om in een artikel over besmette PDF's zelf een linkje naar een pdf te geven.
Deze zal wel clean zijn maar ik vertrouw pdf's steeds minder.
Gebruik nu Foxit reader en heb ESET Smart Security als virusscanner maar ik vraag me echt af of mijn computer te besmetten is met een geavanceerde rootkit gemaakt door de geheime dienst van een land.

Tegenwoordig vind ik op meer dan 10% van de computers van mijn klanten de rootkit ZeroAcces (aka Sirefef)
Die creëert een layer tussen OS en harde schijf en wanneer antivirus de geïnfecteerde bestanden probeert te scannen detecteert hij dat en verwijst ze naar een virtuele harde schijf partitie met daarop de schone bestanden. Vrij lastig om over remote controll volledig op te schonen.

En dit is niet eens een overheidsvirus .... dus als criminelen tegenwoordig al zo geavanceerde stukjes troep kunnen maken mag ik denk ik wel zeggen dat als je Windows draait je jezelf gewoon niet 100% kunt beveiligen.

[Reactie gewijzigd door Kain_niaK op 30 juli 2024 20:20]

batjes @Kain_niaK • 22 september 2013 01:18

Wees gerust, de inlichtingendiensten breken net zo makkelijk in op linux,osx,unix of elk ander gebruikt os als in windows.

l4mb1k @kritischelezer • 21 september 2013 13:23

Het is misschien makkelijker om via die systemen bij de EU of Navo binnen te komen?

manuarmata 21 september 2013 17:48

Wat een klucht. Heel ons land staat gewoon in z'n onderbroek. Zelfs de twitter account van onze koning blijkt niet meer veilig. Is er dan werkelijk geen enkele ziel in onze overheid die het verstand zou hebben om alles wat overheid gerelateerd is verplicht op vrije software te laten draaien. ik ga hier geen pleidooi afsteken pro-Linux maar wat verwacht men nu eigenlijk als men zulke gevoelige zaken gaat beheren op een proprietair OS dat gemaakt wordt door een amerikaans bedrijf en waar men hoegenaamd geen enkele inzage in heeft? Da's goed voor de PC van Jan met de pet. In China weten ze wel beter, daar gebruiken ze redflag en zelfs uitgerekend de amerikaanse luchtmacht heeft een eigen linux distro gebouwd (LPS Linux) die volledig gericht is op maximale veiligheid.

Over het gebruik van twitter en facebook voor staatszaken of de naam van het huisdier als wachtwoord gaan we nog niet beginnen. Ons land lijkt te worden geregeerd door een bende naieve amateurs.

Yoshi @manuarmata • 22 september 2013 09:53

wat heeft open source te maken met het wachtwoord van bv een twitter account...

Het enige dat 90% veilig is (usb sticks enz) is een systeem afgekoppeld van het internet... Elke grote groepering weet ELK systeem te hacken, en zeker met open "foutjes" in de backbones van het internet.

Mensen denken onterecht dat het hun pc is dat slecht beveiligt is, dit terwijl heel het backbone systeem evenzeer onveilig is, en laten we wel wezen... deze draaien wel net op iets anders als windows.. Wat dus direct aantoont dat die besturingsystemen evenmin 100% veilig zijn..

Ik zou zelfs niet zeggen veiliger...

Maximale veiligheid os, laat me niet lachen... dat is een fictieve wereld, waar je gerust in mag geloven maar wat gewoonweg niet bestaat.

Met de laatste alinea ben ik het spijtig genoeg volledig eens... Je systeem is maar zo veilig als de gebruiker... en die stelt blijbkaar bij ons niet veel voor

But for now, only VUPEN and its "three-letter" government agency customers know the details about the two zero-day vulnerabilities that VUPEN says it exploited and successfully used to bypass Chrome's sandbox and other security features.

Alsof bedrijven zoals Vupen niet weten hoe je een linux systeempje moet kraken... Dan zou het wel heel erg gemakkelijk zijn voor overheden om hun systemen te beveiligen.

[Reactie gewijzigd door Yoshi op 30 juli 2024 20:20]

El_ByteMaster 21 september 2013 14:47

...en het hacken van BelgaCom door de Engelse geheime dienst is weer uit de spotlight. Slim hoor.

RetepV 21 september 2013 14:32

Binnenkort moet de burger zelf malware op overheidscomputers gaan installeren om zonder afgeluisterd te worden te kunnen internetten.

kodak @RetepV • 21 september 2013 15:03

Het zou al enorm helpen als iedereen eens leert wat veilig communiceren is, wat de risico's zijn van onbeveiligd communiceren en waarom je je communicatie voor jezelf zou willen houden.

Eegee 21 september 2013 23:35

Kreeg deze week een rare franstalige e-mail van 3 MB met 2 PDF's binnen, onderwerp FW: Retrait Lot‏‏‏ en een bijlage 33-brochure-homelifts-b2c_LR.pdf en MEDIATHEQUE.GAIN.pdf , maar zal er wel niks mee te maken hebben...

[Reactie gewijzigd door Eegee op 30 juli 2024 20:20]

mutley69 22 september 2013 12:46

Brussel is altijd al een krabbenmand geweest - waar heeft Marx z'n boek geschreven denk je?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (20)

Sorteer op:

Weergave: