Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Het Turla-virus, dat al eerder aan het licht kwam, trof twee geheime diensten in Europa en het Midden-Oosten. Dat blijkt uit onderzoek van Kaspersky. Ook honderden andere overheidsinstellingen zijn getroffen door de malware.

Vorig jaar kwam het bestaan van de malware al aan het licht en in maart meldde Kaspersky al dat honderden overheidsinstellingen met de malware zijn besmet. Daaronder zijn echter ook twee geheime diensten, zo blijkt nu. Het zou gaan om één geheime dienst in het Midden-Oosten en een in de Europese Unie, meldt persbureau Reuters. Volgens Kaspersky is het de eerste digitale spionagecampagne waarbij geheime diensten zijn geïnfecteerd.

Kaspersky vermoedt dat een overheid achter de aanval zit. De aanval richtte zich op geheime diensten en overheidsinstellingen als ministeries en ambassades, maar ook toeleveranciers van het leger en farmaceutische bedrijven. De grootste aantallen slachtoffers zouden zich bevinden in Frankrijk, het Verenigd Koninkrijk, Rusland, Wit-Rusland, Duitsland, Roemenië en Polen.

Het is onbekend waar de aanval precies vandaan komt. Een rapport van Kaspersky, dat tijdens de Black Hat-beveiligingsconferentie in Las Vegas wordt vrijgegeven, zou suggereren dat de hackers Russisch spraken, maar dat betekent niet per se dat ze uit Rusland komen. Kaspersky wil niet aangeven waar het denkt dat de hackers vandaan komen; Symantec, dat later ook met een rapport over de aanval komt, eveneens niet.

Bij de aanval zouden tools zijn gebruikt die bij twee eerdere aanvallen zijn ingezet, en die volgens Westerse geheime diensten aan Rusland zouden zijn toe te schrijven. Dat onder de slachtoffers ook instellingen uit Rusland waren, is geen tegenargument voor betrokkenheid van Rusland: het kan gaan om diplomatieke posten van andere landen en vestigingen van buitenlandse bedrijven in Rusland.

De malware werd verspreid door websites die waarschijnlijk door slachtoffers zouden worden bezocht, te infecteren. Daaronder waren opvallend genoeg ook overheidswebsites. Na infectie zou de malware proberen in te schatten of het slachtoffer interessant genoeg is, bijvoorbeeld als hij of zij werkzaam is bij een overheidsinstelling. De malware die de aanvallers gebruikten zou specifiek op zoek zijn gegaan naar documenten met termen als 'Navo', 'EU-energiedialoog' en 'Boedapest'.

Moderatie-faq Wijzig weergave

Reacties (31)

Detectie en removal van Turla is o.a. mogelijk met Norton Power Eraser
Voor de grap even op de PC op mijn werk gedraaid, hij vond 1 register sleutel en 1 false positive. Helaas niet al te duidelijk wat die registersleutel nu was.

edit : en om hier nu die hele xml neer te plempen is ook wat overdreven :P

[Reactie gewijzigd door Iftert op 7 augustus 2014 17:40]

Ik heb hem ook gedraaid, hij zag Calibre en de hulpprogramma's er van als zeer verdacht. Hij kende het niet. Jammer dat het ongeveer het meest gebruikte bibliotheekprogramma in de wereld is. En dat is het al vele jaren

downloads: Calibre 1.47

Ik heb niet zoveel vertrouwen in de tool

[Reactie gewijzigd door Ortep op 7 augustus 2014 21:40]

Bij mij gaf hij Calibre en bijbehorende .exe's enkel een unknown status, merkte ze niet aan als zeer verdacht.

Ook een .exe die bij me asus geluidskaart hoort herkende hij niet.

PC lijkt dus schoon te zijn :)
Je kunt erop klikken en krijg je een ander scherm te zien. ;)
Het is heel makkelijk om af te geven op Norton (ik vind het ook geen geweldige virusscannert) Maar feit is dat dit een werkbaar tooltje is, en die geven ze nog gratis uit ook. Dus ik snap jou flaimbate hier niet helemaal.

@ Pim0377, elk bedrijf maakt wel eens een fout, het gaat er dan om hoe je er als gebruiker mee om weet te gaan.
O begrijp me niet verkeerd. Ik heb ook altijd Norton gehad. Ik vindt het alleen een zwaar over rated programma!
Kijk als persoon die op een reparatie dienst werkt, deel ik exact dit sentiment. Norton draagt niet echt mijn voorkeur, maar dit is gratis en kan wel nog eens van pas komen. Meteen op de usb stick gezet.
Ja idd, kan me nog van vroeger de Norton Anti-crash guard herinneren.....enige wat die deed was zorgen dat programma's crashten. LOL
Ach en Mcafee bracht een definitie update uit wat elke Windows machine een bsod gaf en alleen gemaakt kon worden met hun recovery cd.

Kortom elk bedrijf maakt wel eens een foutje alhoewel Symantec er een kunst van lijkt te maken :P
Mbam ook nog niet zo lang geleden, maar moet wel zeggen dat de verschillende producten die ik van Norton heb gehad meer problemen opleverden dan oploste.
Ik vraag me af hoe zo'n onderzoek precies in z'n werk gaat. Hoe komen ze erachter dat een geheime dienst besmet is? Het lijkt me niet dat geheime diensten meewerken aan onderzoeken hierover...
De meeste malware communiceert met een of meer command & control servers. Door zo'n server te hacken of de dns alias over te nemen kunnen ze veel te weten komen over wat de malware precies doet en van welke ip's (= geÔnfecteerde computers) er connecties binnenkomen. Op basis van die informatie en publieke whois data kom je al een heel eind.

Als de malware ook op particuliere systemen terechtkomt is het voor een anti virusmaker niet moeilijk om de binary vast te krijgen. Als je daar dan reverse engineering op toepast kan je (me heel veel geduld en kennis) grotendeels uitvogelen wat de malware kan. Als de programmeurs dan nog leesbare tekst achtergelaten hebben (onvoldoende obfuscated dus) valt ook snel op te maken welke taal ze als moedertaal hebben.
De goedkopere rootkits communiceren met een of meer command & control server en zijn afhankelijk van harde IP addressen of domeinnamen (die makkelijk uit de lucht gehaald kunnen worden) . De wat meer geavanceerde rootkits zijn al overgeschakelt naar P2P systemen via onder andere TOR en werken gelijkaardig aan het DHT systeem dat bittorrent ook gebruikt.

FTFY

[Reactie gewijzigd door Kain_niaK op 7 augustus 2014 20:22]

Misschien wordt hun anti-malware gedraaid bij die instellingen en rapporteert die dat weer terug aan hun dat het geheime diensten zijn, al lijkt me dat wel wat ver gaan. :P
\\NSA_PC001 en \\AIVD_KANTOOR_001_PC? :p
Hoe weten ze dat het geheime diensten zijn, hebben die speciale contracten oid?
Overheidsdiensten en Geheime diensten die hun zaakjes niet op orde hebben, hebben evenveel recht op malware als ik. Voor de malware maakt het niet uit wie het is; die discrimineert niet.
Zou er niet op rekenen. Aan de hand van je instellingen kun je prima alleen malware naar bepaalde taalgebieden sturen b.v. Belgische overheid.
Men schijnt de infectie bij het bezoek aan websites opgelopen te hebben. En in geval van verschillende bezoekers kun je inderdaad Belgen kiezen als zij hun beveiliging niet op orde hebben.

Zie ook laatste alinea.
Norton power remover even gebruikt :)

multipar.exe (false positive!)
contextmenu.dll (false positive --> synology cloudstation)
iconOverlay.dll (false positive)

Vroeger al geen goed pakket.. en nu nog steeds niet :P
Norton is goed bezig, het is ze zelfs gelukt om dit tooltje bij mij te laten crashen, hahahahah.
Onderstaande veelzeggende melding werd gegeven voordat er ook maar een scan uitgevoerd kon worden

An error has occured
Niet nader omschreven fout
Error Code: 0x80004005,n5,nC0

Hulde, ze maken hun reputatie helemaal waar, crapware
AUB Reuters inmiddels met een korreltje zout nemen.
Eerst zelf even verder kijken als tweaker.
Zeker over tech nieuws, maar eigenlijk over alle nieuwsberichten die zij spuien.
Reuters=geheime diensten. Yes, Alu-style :P
Damn het gaat maar door. Vroeger bagatelliseerde ik malware aanvallen gewoonweg doordat ze vaak overduidelijk waren maar ze worden tegenwoordig zo sluw. Net lees ik op me banksite bijv. over een valse email in de omloop en die ziet er verdomd echt uit.
Valt me op dat dit soort meldingen steeds vaker in de publiciteit komen. Zijn er nu ook meer aanvallen? Heb ergens gelezen dat er wordt gesproken over het 'nieuwe internet', hoever staat het daarmee. Of is dit een utopie?
Valt me op dat dit soort meldingen steeds vaker in de publiciteit komen. Zijn er nu ook meer aanvallen? Heb ergens gelezen dat er wordt gesproken over het 'nieuwe internet', hoever staat het daarmee. Of is dit een utopie?
Als je nog geen mail of examenoproep gekregen hebt voor dat netwerk, dan duurt het inderdaad nnog even.
Ze werken van bovenaf, eerst de meest slimme en intelligente gebruikers, daarna wij pas.

Beetje zoals de reddingsboten op de Titanic, vrouwen en kinderen eerst, maar alleen als ze genoeg geld hebben.
Nou ja, lie?

Samen werken met, of tegen.
Valt wel op idd dat Kaspersky vaak dicht bij de 'bron' zit.

En als reactie in lijn met het vorige artikel. Wanneer er en mogendheid of land achter zou zitten, dan zou ik ook mij eigen land (server dummies) in de code opnemen.
"Kijk!, wij worden ook aangevallen!"
ben het met je niet eens tegenwoordig zijn beveiliging niet meer zo goed werkend zijn meer spionage software geworden !

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True