Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties

Het Surinaamse ministerie van financiŽn heeft per ongeluk malware geserveerd, evenals enkele honderden andere grote websites. Dat blijkt uit onderzoek van beveiligingsbedrijf Fox-IT. De malware werd alleen in bepaalde gevallen geserveerd, via een .htaccess-bestand.

SurinameFox-IT ontdekte de infectie bij het Surinaamse ministerie van financiën bij een onderzoek naar de aanval, waar ook veel andere sites bij zijn getroffen. "Het gaat om honderden websites", zegt Yonathan Klijnsma van het beveiligingsbedrijf tegenover Tweakers  Ook onder meer een website die iPhone-abonnementen aanbiedt, een website die gebruikers gastenboeken laat aanmaken en een Amsterdamse bioscoop waren besmet.

Inmiddels is de website van het Surinaamse ministerie weer virusvrij. "Een weekend nadat we contact met ze hebben opgenomen waren ze alweer schoon", aldus Klijnsma. Niet alle besmette websites zijn inmiddels weer schoon, waarschuwt Klijnsma. Het Surinaamse ministerie was niet bereikbaar voor commentaar.

Klijnsma denkt dat de aanvallers op zoek zijn gegaan naar grote websites die ze binnen konden dringen. Hoe ze specifiek bij het Surinaamse ministerie wisten in te breken, is niet bekend. "Ze zoeken naar populaire zoektermen op Google en proberen websites die vooraan staan binnen te dringen", aldus Klijnsma. "Denk aan verouderde versies van WordPress en Joomla", aldus Klijnsma.

De aanval was geraffineerd. De aanvallers plaatsten een .htaccess-bestand in verschillende folders op de website, zo schrijft onderzoeker Klijnsma in een blogpost. Dat .htaccess-bestand zorgde ervoor dat bezoekers alleen in bepaalde gevallen werden doorgestuurd naar een pagina met malware. Dat gebeurde bijvoorbeeld bij referers vanaf sociale media of zoekmachines. Terugkerende bezoekers en mensen die rechtstreeks naar de site gingen, werden niet doorgestuurd. Daardoor was het probleem voor beheerders niet of nauwelijks op te nemen.

Als bezoekers werden doorgestuurd naar de pagina met malware, werd een exploitkit geserveerd. Het gaat om de zogenoemde Zuponcic-exploitkit, die via gaten in Java in combinatie met Internet Explorer malware -probeerde te installeren. Wie niet over IE in combinatie met Java beschikte, kreeg een .zip-bestand voorgeschoteld, in de hoop dat de gebruiker het tegen beter weten in zou openen en de executable er in zou aanklikken.

Opvallend aan de Java-applet die is geserveerd, is dat valide certificaten zijn gebruikt. Het gaat om certificaten die zijn uitgegeven door vertrouwde certificaatautoriteiten als VeriSign en GlobalSign. Dat duidt er op dat ze zijn gestolen van servers van bedrijven die certificaten bij die autoriteiten hebben gekocht.

Wie is geïnfecteerd, wordt onderdeel van een botnet. Botnets bestaan uit geïnfecteerde computers die instructies krijgen van command-and-control-servers, zoals het meewerken aan nieuwe aanvallen, het versturen van spam of het uitvoeren van ddos-aanvallen.

Zuponic malware aanval

Moderatie-faq Wijzig weergave

Reacties (26)

even een TIP, hoe herken ik een Botnet en hoe kan ik deze eventueel verwijderen / verdedigen tegen een botnet.

-Je computer is ineens traag, vooral dingen die met internet te maken hebben.
-Je pc heeft het bijzonder druk, HDD ratelt lampjes knipperen etc..(niet vooruit te branden :P)
-Irritante reclame meldingen, foutmeldingen etc (o.a. als je de PC opstart, tijdens het gebruik en als je hem al een tijdje ongemoeid aan hebt gelaten)
-Je Antivirus geeft allerlei meldingen of wordt zelfs uitgeschakeld
-Startpagina van je browser veranderd ineens
-Nieuwe iconen op je desktop (ineens)
-Ongevraagde toolbars in je browser
-Verkeerd invullen van URL kom je voortaan op een pagina met reclame, wat eerst niet zo was.
-Mensen in je mailbox ontvangen vage e-mails vanuit jouw.

Kortom, je pc verliest de controle een beetje:)

Tools waarmee ik dit soort shit verwijder/tegenhoudt:
-Kaspersky rescue disc (voor rootkits etc, scant op startup)
-Hitman pro 3.0
-Anti malware bytes
-CC Cleaner
-Antivirus? (meerdere) NOD32 I know it sux.. (AVG/Avast/geen betaalde shizzle..) NIET TEGELIJK KAN VERWARRING VEROORZAKEN
-Wees ervan bewust en download niet zomaar troep en klik niet overal maar OK op (vertel ik dit nu serieus aan medeTweakers? Jawel, I care about you :P)

[Reactie gewijzigd door Dr.Root op 19 december 2013 16:30]

Als je voorkeur naar windows uitgaat zul je niet gauw overstappen op de o.s. die jij benoemt. Linux duurt even voor je het doorhebt en mac is ook allang al niet meer zo veilig als menigeen denkt. Toch bedankt voor je waardevolle invulling van dit topic!

Tevens wordt de meeste malware geschreven voor linux omdat ongeveer van alle servers wereld wijdt 80 tot 90% gebruik maakt van Linux.

[Reactie gewijzigd door Dr.Root op 19 december 2013 17:21]

Linux en Mac zijn niet veiliger dan Windows, voor Linux is er erg veel malware in omloop aangezien veel servers op Linux draaien. Voor Mac is er wel minder malware, maar aan de andere kant wordt er ook weer meer onderzoek gedaan naar malware op Windows, wat er weer voor zorgt dat nieuwe malware sneller wordt herkend. In de praktijk kun je dus op ieder platform malware krijgen.

Mensen op Windows zijn wel weer vaker geÔnfecteerd, maar Linux en Mac hebben dan ook een ander publiek dan Windows, mensen met een Windows PC geven vaak veel minder om hun beveiliging. Ik mag aannemen dat elke Tweaker wel de moeite heeft genomen om zich een beetje te beveiligen en dan ook tenminste een fatsoenlijke scanner draait.

Overigens vraag ik me af hoeveel malware nog steeds op onze PCs staat die niet herkend wordt, je hebt inmiddels zoveel virusscannen draaien en ik vraag me dan ook af ook wel alles kan verwijderen met Avast, MBAM, MBAR en TDSSKiller.
Ik vind het wel fijn computeren, die waslijst die Dr.Root geeft is echt niet nodig, Avast met MBAM is meer dan genoeg. En in het geval dat ik malware niet verwijderd krijg dan vindt ik het juist erg prettig dat ik voor Windows altijd een tooltje kan vinden om het te verwijderen. Niet dat het nodig is, want ik heb al jaren geen malware gehad op mijn PC.

Maar laten we nu even eerlijk, het OS is helemaal niet belangrijk. Waar het echt om gaat is hoe jij met jouw computer om gaat. Als jij standaard Java draait (wat overigens Chrome en Firefox automatisch niet doen) dan loop je inderdaad veel risico om malware te krijgen. Als je zo maar elke executable van het internet opent, ja dan moet je ook niet opkijken als je een virus krijgt. En als je niet eens een gratis anti-virus pakket installeert (zoals Avast, wat overigns ook veel malware blokkeert), tja dan is het je eigen schuld. Zelf draai ik ook nog een adblocker en noscript wat de kans nog kleiner maakt om malware te krijgen.

Over het algemeen gaan Linux en Mac (alhoewel die ook vaak denken dat ze geen malware op de Mac kunnen krijgen) gewoon iets zuiniger met hun systeempje om.
De waslijst die ik op heb gegeven zijn tools die ik voornamelijk gebruik.

Om deze allemaal op 1 systeem toe te passen is iets te.. enthousiast! :)
hmm. gelukkig kom ik (hopelijk) niet op dat soort sites. en zodra ik merk dat er iets opent waar ik niet om vroeg negeer ik het. of ik klik het weg en laat daarna altijd voor de zekerheid toch meerdere scanners over me PC gaan. just to be sure :D

[Reactie gewijzigd door Godgeneral16 op 19 december 2013 16:19]

Het gaat om enkele honderden grote websites volgens het artikel en er worden 3 voorbeelden genoemd die in de verste verte niets met elkaar te maken hebben. Nogal vreemd om dat over 'dat soort sites' te spreken.
Dit kan in feite bij elke site gebeuren. In Nederland is bijvoorbeeld nu.nl ook een keer gehackt zodat er malware werd geserveerd. Zoiets zou ook gewoon bij tweakers.net kunnen gebeuren als er een gerichte aanval word op gedaan.
Belangrijker is hoe snel erop gereageerd word door de beheerders van de site. Uit het artikel blijkt het niet heel duidelijk, maar als het in het geval van het Surinaamse ministerie een weekend duurde vind ik dat vrij lang. Als de site in de tussentijd onbereikbaar was om de boel te fixen vind ik het redelijk.
Ja zeker als je denk deze site is "veilig" dan kan je er echt wel naast zitten

Enige tijd geleden Was een goede vriend van mij een echte Bob Dylan FAN
op de site van deze muzikant en hoppa het wel bekende POLITIE virus was aanwezig op zijn pc


Dus WEES op de hoede |:(

is mijn Motto
Meerdere scanners? Je weet dat het onveilig is om meerdere virusscanners te gelijk te hebben draien? Lijkt me geen strak plan!

OT: Hoe groot wordt de kans geschat dat de eigenaars zelf die malware hebben geplaatst? Daar zie ik een regering nog wel voor aan. Zoniet wil ik wel weten hoe de hackers zo'n staaltje werk voor elkaar hebben gekregen. Daarna hopen dat het lek gedicht wordt.
Ik heb 1 virusscanner. maar draai ondertussen ook andere soorten scanners.
hmm. gelukkig kom ik niet op dat soort sites.
Dat weet je niet. Ze infecteren populaire sites, dus tenzij je volledig anders bent dan gemiddeld loop je ook risiko.
en zodra ik merk dat er iets opent waar ik niet om vroeg negeer ik het. of ik klik het weg en laat daarna altijd voor de zekerheid toch meerdere scanners over me PC gaan. just to be sure :D
Je krijgt pas iets bijzonders voorgeschoteld als je geen bestaande exploits bij je kunnen vinden. Je methodiek is dus niet compleet veilig.
..maar dat maakt mij niet uit. ik kom sowieso niet zo snel op onbekende sites.

en dat hmm. gelukkig kom ik niet op dat soort sites, moet eigenlijk nog (Hopelijk) bij komen.
Herhalen van je argument maakt het nog niet waar. Zie boven ;)
Dat krijg je als je overheidswebsite's zo veroudert zijn.
http://www.belastingdienst.sr/downloads.html
Voor wie geinteresseerd is, ze draaien momenteel:
Apache/2.2.22 Unix mod_ssl/2.2.22 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Via http://toolbar.netcraft.c...://www.belastingdienst.sr

Frontpage-extensie, wie gebruikt dat nog? :)
Apache 2.2.22 is van januari 2012!
Staat vaak standaard aan bij hosts. Een jaar of 2 geleden tot die ontdekking gekomen toen ik die header zag staan in de phpinfo van mijn VPS. Ik denk dat CPanel hier de "schuldige" is.
Hoe gek het ook klinkt , internet in Suriname staat echt nog in zijn kinderschoenen en is niet te vergelijken met hier in Nederland. Ook de experts zijn ver te zoeken en komen veelal uit het buitenland.
Het wordt steeds beter , maar gaat zeeeeer langzaam ;)
@Kr44nVogel,

Het wordt beter daar er geen ouwe troep meer te koop is en electronica steeds goedkoper wordt. Daarnaast worden apps steeds minder afhankelijk van lokale faciliteiten. Ik adviseer lokale klanten nu Google DNS servers te gebruiken ipv lokale. Tot de komst van Internet kon niemand je exact vertellen hoe laat het excact was. Op dit moment holt Suriname snel richting de afgrond, prijzen rijzen de pan uit en steeds meer mensen gaan terug naar Nederland. Het is bijvoorbeeld in 10 jaar tijd nog nooit zo rustig met kerst op straat geweest. Bijna iedereen is blut en heeft moeite de eindjes aan elkaar te knopen, terwiijl het drie jaar geleden totaal anders was. De activiteiten van de top van het land trekken Suriname niet alleen lokaal, maar ook internationaal de afgrond in. Nooit begrepen dat Surinamers zo onverstandig konden zijn en niks geleerd hebben van het verleden en binnen 20 jaar weer dezelfde fout maken en mensen met lange strafbladen op de hoogste posities wilden hebben.
Vorige week is er nog een certificaat ingetrokken, maar dat was er niet een die hier gebruikt is.
http://technet.microsoft.com/en-us/security/advisory/2916652
Voor de mensen welke het niet weten, maar Suriname ligt mijlenver achter op ICT gebied. Ten eerste zijn de lonen erg laag, waardoor het voordeel van kosten grotendeels wegvalt. Daarnaast wordt het grote geld verdient door barieres op te werpen, niet door zaken efficient op elkaar af te stemmen. Zo geeft Digicel Suriname bewust incorrect CLI informatie door van de tegenpartij zodat je niet makkelijk kunt terugbellen. Daarnaast worden banen bij de overheid weggegeven als beloning voor politieke steun, bij deze regering ongeacht kennis en ervaring. Om de mensen niet duimen te laten draaien worden het papier nog veelvuldig gebruikt, nog veel handgeschreven ook. Daarnaast wordt het maken van fouten eigenlijk niet echt bij het personeel aangerekend. Er heerst nog volop de manaŮa mentaliteit.
We hadden zelfs een fout in het Netwerk ontdekt waarmee je met de IP van een ander kon Internetten. De Surinaamse KPN regeerde amper en hebben het zover ik weet nog steeds niet opgelost. Dus als je echt zaken wil uitvoeren welke niet traceerbaar zijn, gebruik Surinaams ADSL
.

[Reactie gewijzigd door gepebril op 19 december 2013 18:06]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True