Surinaams ministerie verspreidde malware via website

Het Surinaamse ministerie van financiën heeft per ongeluk malware geserveerd, evenals enkele honderden andere grote websites. Dat blijkt uit onderzoek van beveiligingsbedrijf Fox-IT. De malware werd alleen in bepaalde gevallen geserveerd, via een .htaccess-bestand.

Fox-IT ontdekte de infectie bij het Surinaamse ministerie van financiën bij een onderzoek naar de aanval, waar ook veel andere sites bij zijn getroffen. "Het gaat om honderden websites", zegt Yonathan Klijnsma van het beveiligingsbedrijf tegenover Tweakers Ook onder meer een website die iPhone-abonnementen aanbiedt, een website die gebruikers gastenboeken laat aanmaken en een Amsterdamse bioscoop waren besmet.

Inmiddels is de website van het Surinaamse ministerie weer virusvrij. "Een weekend nadat we contact met ze hebben opgenomen waren ze alweer schoon", aldus Klijnsma. Niet alle besmette websites zijn inmiddels weer schoon, waarschuwt Klijnsma. Het Surinaamse ministerie was niet bereikbaar voor commentaar.

Klijnsma denkt dat de aanvallers op zoek zijn gegaan naar grote websites die ze binnen konden dringen. Hoe ze specifiek bij het Surinaamse ministerie wisten in te breken, is niet bekend. "Ze zoeken naar populaire zoektermen op Google en proberen websites die vooraan staan binnen te dringen", aldus Klijnsma. "Denk aan verouderde versies van WordPress en Joomla", aldus Klijnsma.

De aanval was geraffineerd. De aanvallers plaatsten een .htaccess-bestand in verschillende folders op de website, zo schrijft onderzoeker Klijnsma in een blogpost. Dat .htaccess-bestand zorgde ervoor dat bezoekers alleen in bepaalde gevallen werden doorgestuurd naar een pagina met malware. Dat gebeurde bijvoorbeeld bij referers vanaf sociale media of zoekmachines. Terugkerende bezoekers en mensen die rechtstreeks naar de site gingen, werden niet doorgestuurd. Daardoor was het probleem voor beheerders niet of nauwelijks op te nemen.

Als bezoekers werden doorgestuurd naar de pagina met malware, werd een exploitkit geserveerd. Het gaat om de zogenoemde Zuponcic-exploitkit, die via gaten in Java in combinatie met Internet Explorer malware -probeerde te installeren. Wie niet over IE in combinatie met Java beschikte, kreeg een .zip-bestand voorgeschoteld, in de hoop dat de gebruiker het tegen beter weten in zou openen en de executable er in zou aanklikken.

Opvallend aan de Java-applet die is geserveerd, is dat valide certificaten zijn gebruikt. Het gaat om certificaten die zijn uitgegeven door vertrouwde certificaatautoriteiten als VeriSign en GlobalSign. Dat duidt er op dat ze zijn gestolen van servers van bedrijven die certificaten bij die autoriteiten hebben gekocht.

Wie is geïnfecteerd, wordt onderdeel van een botnet. Botnets bestaan uit geïnfecteerde computers die instructies krijgen van command-and-control-servers, zoals het meewerken aan nieuwe aanvallen, het versturen van spam of het uitvoeren van ddos-aanvallen.

Door Joost Schellevis

Redacteur

Feedback • 19-12-2013 16:0026

19-12-2013 • 16:00

26 Linkedin

Lees meer

Oracle dicht tientallen ernstige kwetsbaarheden in Java Nieuws van 11 januari 2014
Hacker claimt jailbreak-methode voor PlayStation 4 - update Nieuws van 1 december 2013
Auteur BlackHole-exploitkit is opgepakt Nieuws van 8 oktober 2013
Chrome gaat traditionele plug-ins uitfaseren Nieuws van 24 september 2013
Telegraaf.nl verspreidde malware via banners - update Nieuws van 1 augustus 2013
Nu.nl serveerde urenlang malware - update Nieuws van 6 juni 2013
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie Nieuws van 3 juni 2013
Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken Nieuws van 8 februari 2013
'Speedtest.net verspreidde malware' Nieuws van 7 februari 2013
125 websites kwetsbaar door lek in site Spoorwegmuseum Nieuws van 13 maart 2012
Meer producten en artikelen
Netwerk en systeembeheer Malware

Reacties (26)

-Moderatie-faq
26
19
9
1
0
0
Wijzig sortering
Dr.Root
19 december 2013 16:25
even een TIP, hoe herken ik een Botnet en hoe kan ik deze eventueel verwijderen / verdedigen tegen een botnet.

-Je computer is ineens traag, vooral dingen die met internet te maken hebben.
-Je pc heeft het bijzonder druk, HDD ratelt lampjes knipperen etc..(niet vooruit te branden :P)
-Irritante reclame meldingen, foutmeldingen etc (o.a. als je de PC opstart, tijdens het gebruik en als je hem al een tijdje ongemoeid aan hebt gelaten)
-Je Antivirus geeft allerlei meldingen of wordt zelfs uitgeschakeld
-Startpagina van je browser veranderd ineens
-Nieuwe iconen op je desktop (ineens)
-Ongevraagde toolbars in je browser
-Verkeerd invullen van URL kom je voortaan op een pagina met reclame, wat eerst niet zo was.
-Mensen in je mailbox ontvangen vage e-mails vanuit jouw.

Kortom, je pc verliest de controle een beetje:)

Tools waarmee ik dit soort shit verwijder/tegenhoudt:
-Kaspersky rescue disc (voor rootkits etc, scant op startup)
-Hitman pro 3.0
-Anti malware bytes
-CC Cleaner
-Antivirus? (meerdere) NOD32 I know it sux.. (AVG/Avast/geen betaalde shizzle..) NIET TEGELIJK KAN VERWARRING VEROORZAKEN
-Wees ervan bewust en download niet zomaar troep en klik niet overal maar OK op (vertel ik dit nu serieus aan medeTweakers? Jawel, I care about you :P)

[Reactie gewijzigd door Dr.Root op 19 december 2013 16:30]

Dr.Root
@Neus19 december 2013 17:20
Als je voorkeur naar windows uitgaat zul je niet gauw overstappen op de o.s. die jij benoemt. Linux duurt even voor je het doorhebt en mac is ook allang al niet meer zo veilig als menigeen denkt. Toch bedankt voor je waardevolle invulling van dit topic!

Tevens wordt de meeste malware geschreven voor linux omdat ongeveer van alle servers wereld wijdt 80 tot 90% gebruik maakt van Linux.

[Reactie gewijzigd door Dr.Root op 19 december 2013 17:21]

Mithrildor
@Neus19 december 2013 17:08
Linux en Mac zijn niet veiliger dan Windows, voor Linux is er erg veel malware in omloop aangezien veel servers op Linux draaien. Voor Mac is er wel minder malware, maar aan de andere kant wordt er ook weer meer onderzoek gedaan naar malware op Windows, wat er weer voor zorgt dat nieuwe malware sneller wordt herkend. In de praktijk kun je dus op ieder platform malware krijgen.

Mensen op Windows zijn wel weer vaker geïnfecteerd, maar Linux en Mac hebben dan ook een ander publiek dan Windows, mensen met een Windows PC geven vaak veel minder om hun beveiliging. Ik mag aannemen dat elke Tweaker wel de moeite heeft genomen om zich een beetje te beveiligen en dan ook tenminste een fatsoenlijke scanner draait.

Overigens vraag ik me af hoeveel malware nog steeds op onze PCs staat die niet herkend wordt, je hebt inmiddels zoveel virusscannen draaien en ik vraag me dan ook af ook wel alles kan verwijderen met Avast, MBAM, MBAR en TDSSKiller.
Mithrildor
@Neus19 december 2013 17:35
Ik vind het wel fijn computeren, die waslijst die Dr.Root geeft is echt niet nodig, Avast met MBAM is meer dan genoeg. En in het geval dat ik malware niet verwijderd krijg dan vindt ik het juist erg prettig dat ik voor Windows altijd een tooltje kan vinden om het te verwijderen. Niet dat het nodig is, want ik heb al jaren geen malware gehad op mijn PC.

Maar laten we nu even eerlijk, het OS is helemaal niet belangrijk. Waar het echt om gaat is hoe jij met jouw computer om gaat. Als jij standaard Java draait (wat overigens Chrome en Firefox automatisch niet doen) dan loop je inderdaad veel risico om malware te krijgen. Als je zo maar elke executable van het internet opent, ja dan moet je ook niet opkijken als je een virus krijgt. En als je niet eens een gratis anti-virus pakket installeert (zoals Avast, wat overigns ook veel malware blokkeert), tja dan is het je eigen schuld. Zelf draai ik ook nog een adblocker en noscript wat de kans nog kleiner maakt om malware te krijgen.

Over het algemeen gaan Linux en Mac (alhoewel die ook vaak denken dat ze geen malware op de Mac kunnen krijgen) gewoon iets zuiniger met hun systeempje om.
Dr.Root
@Mithrildor19 december 2013 20:33
De waslijst die ik op heb gegeven zijn tools die ik voornamelijk gebruik.

Om deze allemaal op 1 systeem toe te passen is iets te.. enthousiast! :)
Godgeneral16
19 december 2013 16:08
hmm. gelukkig kom ik (hopelijk) niet op dat soort sites. en zodra ik merk dat er iets opent waar ik niet om vroeg negeer ik het. of ik klik het weg en laat daarna altijd voor de zekerheid toch meerdere scanners over me PC gaan. just to be sure :D

[Reactie gewijzigd door Godgeneral16 op 19 december 2013 16:19]

Ozzie
@Godgeneral1619 december 2013 16:21
Het gaat om enkele honderden grote websites volgens het artikel en er worden 3 voorbeelden genoemd die in de verste verte niets met elkaar te maken hebben. Nogal vreemd om dat over 'dat soort sites' te spreken.
Dit kan in feite bij elke site gebeuren. In Nederland is bijvoorbeeld nu.nl ook een keer gehackt zodat er malware werd geserveerd. Zoiets zou ook gewoon bij tweakers.net kunnen gebeuren als er een gerichte aanval word op gedaan.
Belangrijker is hoe snel erop gereageerd word door de beheerders van de site. Uit het artikel blijkt het niet heel duidelijk, maar als het in het geval van het Surinaamse ministerie een weekend duurde vind ik dat vrij lang. Als de site in de tussentijd onbereikbaar was om de boel te fixen vind ik het redelijk.
Anoniem: 9741
@Godgeneral1619 december 2013 18:17
Ja zeker als je denk deze site is "veilig" dan kan je er echt wel naast zitten

Enige tijd geleden Was een goede vriend van mij een echte Bob Dylan FAN
op de site van deze muzikant en hoppa het wel bekende POLITIE virus was aanwezig op zijn pc


Dus WEES op de hoede |:(

is mijn Motto
IIsnickerII
@Godgeneral1619 december 2013 16:22
Meerdere scanners? Je weet dat het onveilig is om meerdere virusscanners te gelijk te hebben draien? Lijkt me geen strak plan!

OT: Hoe groot wordt de kans geschat dat de eigenaars zelf die malware hebben geplaatst? Daar zie ik een regering nog wel voor aan. Zoniet wil ik wel weten hoe de hackers zo'n staaltje werk voor elkaar hebben gekregen. Daarna hopen dat het lek gedicht wordt.
Godgeneral16
@IIsnickerII19 december 2013 16:27
Ik heb 1 virusscanner. maar draai ondertussen ook andere soorten scanners.
Durandal
@Godgeneral1619 december 2013 16:15
hmm. gelukkig kom ik niet op dat soort sites.
Dat weet je niet. Ze infecteren populaire sites, dus tenzij je volledig anders bent dan gemiddeld loop je ook risiko.
en zodra ik merk dat er iets opent waar ik niet om vroeg negeer ik het. of ik klik het weg en laat daarna altijd voor de zekerheid toch meerdere scanners over me PC gaan. just to be sure :D
Je krijgt pas iets bijzonders voorgeschoteld als je geen bestaande exploits bij je kunnen vinden. Je methodiek is dus niet compleet veilig.
Durandal
@Godgeneral1619 december 2013 16:24
..maar dat maakt mij niet uit. ik kom sowieso niet zo snel op onbekende sites.

en dat hmm. gelukkig kom ik niet op dat soort sites, moet eigenlijk nog (Hopelijk) bij komen.
Herhalen van je argument maakt het nog niet waar. Zie boven ;)
donnie1992
19 december 2013 16:15
Dat krijg je als je overheidswebsite's zo veroudert zijn.
http://www.belastingdienst.sr/downloads.html
vinx77
19 december 2013 17:24
Voor wie geinteresseerd is, ze draaien momenteel:
Apache/2.2.22 Unix mod_ssl/2.2.22 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Via http://toolbar.netcraft.c...://www.belastingdienst.sr

Frontpage-extensie, wie gebruikt dat nog? :)
Apache 2.2.22 is van januari 2012!
Niosus
@vinx7719 december 2013 20:59
Staat vaak standaard aan bij hosts. Een jaar of 2 geleden tot die ontdekking gekomen toen ik die header zag staan in de phpinfo van mijn VPS. Ik denk dat CPanel hier de "schuldige" is.
Kr44nVogel
19 december 2013 21:35
Hoe gek het ook klinkt , internet in Suriname staat echt nog in zijn kinderschoenen en is niet te vergelijken met hier in Nederland. Ook de experts zijn ver te zoeken en komen veelal uit het buitenland.
Het wordt steeds beter , maar gaat zeeeeer langzaam ;)
gepebril
19 december 2013 21:56
@Kr44nVogel,

Het wordt beter daar er geen ouwe troep meer te koop is en electronica steeds goedkoper wordt. Daarnaast worden apps steeds minder afhankelijk van lokale faciliteiten. Ik adviseer lokale klanten nu Google DNS servers te gebruiken ipv lokale. Tot de komst van Internet kon niemand je exact vertellen hoe laat het excact was. Op dit moment holt Suriname snel richting de afgrond, prijzen rijzen de pan uit en steeds meer mensen gaan terug naar Nederland. Het is bijvoorbeeld in 10 jaar tijd nog nooit zo rustig met kerst op straat geweest. Bijna iedereen is blut en heeft moeite de eindjes aan elkaar te knopen, terwiijl het drie jaar geleden totaal anders was. De activiteiten van de top van het land trekken Suriname niet alleen lokaal, maar ook internationaal de afgrond in. Nooit begrepen dat Surinamers zo onverstandig konden zijn en niks geleerd hebben van het verleden en binnen 20 jaar weer dezelfde fout maken en mensen met lange strafbladen op de hoogste posities wilden hebben.
Alex3
20 december 2013 13:25
Vorige week is er nog een certificaat ingetrokken, maar dat was er niet een die hier gebruikt is.
http://technet.microsoft.com/en-us/security/advisory/2916652
gepebril
19 december 2013 18:00
Voor de mensen welke het niet weten, maar Suriname ligt mijlenver achter op ICT gebied. Ten eerste zijn de lonen erg laag, waardoor het voordeel van kosten grotendeels wegvalt. Daarnaast wordt het grote geld verdient door barieres op te werpen, niet door zaken efficient op elkaar af te stemmen. Zo geeft Digicel Suriname bewust incorrect CLI informatie door van de tegenpartij zodat je niet makkelijk kunt terugbellen. Daarnaast worden banen bij de overheid weggegeven als beloning voor politieke steun, bij deze regering ongeacht kennis en ervaring. Om de mensen niet duimen te laten draaien worden het papier nog veelvuldig gebruikt, nog veel handgeschreven ook. Daarnaast wordt het maken van fouten eigenlijk niet echt bij het personeel aangerekend. Er heerst nog volop de manaña mentaliteit.
We hadden zelfs een fout in het Netwerk ontdekt waarmee je met de IP van een ander kon Internetten. De Surinaamse KPN regeerde amper en hebben het zover ik weet nog steeds niet opgelost. Dus als je echt zaken wil uitvoeren welke niet traceerbaar zijn, gebruik Surinaams ADSL
.

[Reactie gewijzigd door gepebril op 19 december 2013 18:06]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee