'Omvangrijke malware-aanval trof ook geheime diensten'

Het Turla-virus, dat al eerder aan het licht kwam, trof twee geheime diensten in Europa en het Midden-Oosten. Dat blijkt uit onderzoek van Kaspersky. Ook honderden andere overheidsinstellingen zijn getroffen door de malware.

Vorig jaar kwam het bestaan van de malware al aan het licht en in maart meldde Kaspersky al dat honderden overheidsinstellingen met de malware zijn besmet. Daaronder zijn echter ook twee geheime diensten, zo blijkt nu. Het zou gaan om één geheime dienst in het Midden-Oosten en een in de Europese Unie, meldt persbureau Reuters. Volgens Kaspersky is het de eerste digitale spionagecampagne waarbij geheime diensten zijn geïnfecteerd.

Kaspersky vermoedt dat een overheid achter de aanval zit. De aanval richtte zich op geheime diensten en overheidsinstellingen als ministeries en ambassades, maar ook toeleveranciers van het leger en farmaceutische bedrijven. De grootste aantallen slachtoffers zouden zich bevinden in Frankrijk, het Verenigd Koninkrijk, Rusland, Wit-Rusland, Duitsland, Roemenië en Polen.

Het is onbekend waar de aanval precies vandaan komt. Een rapport van Kaspersky, dat tijdens de Black Hat-beveiligingsconferentie in Las Vegas wordt vrijgegeven, zou suggereren dat de hackers Russisch spraken, maar dat betekent niet per se dat ze uit Rusland komen. Kaspersky wil niet aangeven waar het denkt dat de hackers vandaan komen; Symantec, dat later ook met een rapport over de aanval komt, eveneens niet.

Bij de aanval zouden tools zijn gebruikt die bij twee eerdere aanvallen zijn ingezet, en die volgens Westerse geheime diensten aan Rusland zouden zijn toe te schrijven. Dat onder de slachtoffers ook instellingen uit Rusland waren, is geen tegenargument voor betrokkenheid van Rusland: het kan gaan om diplomatieke posten van andere landen en vestigingen van buitenlandse bedrijven in Rusland.

De malware werd verspreid door websites die waarschijnlijk door slachtoffers zouden worden bezocht, te infecteren. Daaronder waren opvallend genoeg ook overheidswebsites. Na infectie zou de malware proberen in te schatten of het slachtoffer interessant genoeg is, bijvoorbeeld als hij of zij werkzaam is bij een overheidsinstelling. De malware die de aanvallers gebruikten zou specifiek op zoek zijn gegaan naar documenten met termen als 'Navo', 'EU-energiedialoog' en 'Boedapest'.

Door Joost Schellevis

Redacteur

Feedback • 07-08-2014 17:2431

07-08-2014 • 17:24

31 Linkedin

Lees meer

NSA en NCSC: Russische staatshackers kaapten tools van Iraanse collega's Nieuws van 21 oktober 2019
'Sinds 2016 actieve Gazer-backdoor richt zich op ambassades en ministeries' Nieuws van 30 augustus 2017
'Russische hackgroepering kaapt satellietverbindingen' Nieuws van 9 september 2015
Linux-variant van Turla-malware is jarenlang onopgemerkt gebleven Nieuws van 9 december 2014
'Britten moeten minder digitale vrijheid accepteren voor meer veiligheid' Nieuws van 7 oktober 2014
Navo: digitale aanval kan worden beantwoord met militair geweld Nieuws van 5 september 2014
Kaspersky: wie niets fout doet, heeft niets te verbergen - update Nieuws van 29 augustus 2014
Belgisch ministerie van economische zaken blijkt te zijn gehackt Nieuws van 15 mei 2014
'CIA tipte Belgische militaire inlichtingendienst over hackende Russen' Nieuws van 14 mei 2014
Ministerie België is in digitale quarantaine geplaatst wegens omvangrijke hack Nieuws van 12 mei 2014
'Russische malware valt Europese overheden aan' Nieuws van 8 maart 2014
Meer producten en artikelen
Politiek en recht Privacy Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
27
12
2
0
3
Wijzig sortering
SurfHost
7 augustus 2014 17:32
Detectie en removal van Turla is o.a. mogelijk met Norton Power Eraser
Iftert
@SurfHost7 augustus 2014 17:39
Voor de grap even op de PC op mijn werk gedraaid, hij vond 1 register sleutel en 1 false positive. Helaas niet al te duidelijk wat die registersleutel nu was.

edit : en om hier nu die hele xml neer te plempen is ook wat overdreven :P

[Reactie gewijzigd door Iftert op 7 augustus 2014 17:40]

Ortep
@Iftert7 augustus 2014 21:38
Ik heb hem ook gedraaid, hij zag Calibre en de hulpprogramma's er van als zeer verdacht. Hij kende het niet. Jammer dat het ongeveer het meest gebruikte bibliotheekprogramma in de wereld is. En dat is het al vele jaren

downloads: Calibre 1.47

Ik heb niet zoveel vertrouwen in de tool

[Reactie gewijzigd door Ortep op 7 augustus 2014 21:40]

svenk91
@Ortep8 augustus 2014 01:38
Bij mij gaf hij Calibre en bijbehorende .exe's enkel een unknown status, merkte ze niet aan als zeer verdacht.

Ook een .exe die bij me asus geluidskaart hoort herkende hij niet.

PC lijkt dus schoon te zijn :)
Anoniem: 249623
@Iftert7 augustus 2014 18:00
Je kunt erop klikken en krijg je een ander scherm te zien. ;)
Iftert
@Anoniem: 3821507 augustus 2014 17:50
Het is heel makkelijk om af te geven op Norton (ik vind het ook geen geweldige virusscannert) Maar feit is dat dit een werkbaar tooltje is, en die geven ze nog gratis uit ook. Dus ik snap jou flaimbate hier niet helemaal.

@ Pim0377, elk bedrijf maakt wel eens een fout, het gaat er dan om hoe je er als gebruiker mee om weet te gaan.
Anoniem: 382150
@Iftert7 augustus 2014 19:56
O begrijp me niet verkeerd. Ik heb ook altijd Norton gehad. Ik vindt het alleen een zwaar over rated programma!
kamisama
@Iftert7 augustus 2014 23:03
Kijk als persoon die op een reparatie dienst werkt, deel ik exact dit sentiment. Norton draagt niet echt mijn voorkeur, maar dit is gratis en kan wel nog eens van pas komen. Meteen op de usb stick gezet.
Pim0377
@Anoniem: 3821507 augustus 2014 17:46
Ja idd, kan me nog van vroeger de Norton Anti-crash guard herinneren.....enige wat die deed was zorgen dat programma's crashten. LOL
RickDB
@Pim03777 augustus 2014 18:32
Ach en Mcafee bracht een definitie update uit wat elke Windows machine een bsod gaf en alleen gemaakt kon worden met hun recovery cd.

Kortom elk bedrijf maakt wel eens een foutje alhoewel Symantec er een kunst van lijkt te maken :P
P van H
@RickDB7 augustus 2014 21:07
Mbam ook nog niet zo lang geleden, maar moet wel zeggen dat de verschillende producten die ik van Norton heb gehad meer problemen opleverden dan oploste.
thepillow86
7 augustus 2014 17:37
Ik vraag me af hoe zo'n onderzoek precies in z'n werk gaat. Hoe komen ze erachter dat een geheime dienst besmet is? Het lijkt me niet dat geheime diensten meewerken aan onderzoeken hierover...
lordfragger
@thepillow867 augustus 2014 19:37
De meeste malware communiceert met een of meer command & control servers. Door zo'n server te hacken of de dns alias over te nemen kunnen ze veel te weten komen over wat de malware precies doet en van welke ip's (= geïnfecteerde computers) er connecties binnenkomen. Op basis van die informatie en publieke whois data kom je al een heel eind.

Als de malware ook op particuliere systemen terechtkomt is het voor een anti virusmaker niet moeilijk om de binary vast te krijgen. Als je daar dan reverse engineering op toepast kan je (me heel veel geduld en kennis) grotendeels uitvogelen wat de malware kan. Als de programmeurs dan nog leesbare tekst achtergelaten hebben (onvoldoende obfuscated dus) valt ook snel op te maken welke taal ze als moedertaal hebben.
Kain_niaK
@lordfragger7 augustus 2014 20:20
De goedkopere rootkits communiceren met een of meer command & control server en zijn afhankelijk van harde IP addressen of domeinnamen (die makkelijk uit de lucht gehaald kunnen worden) . De wat meer geavanceerde rootkits zijn al overgeschakelt naar P2P systemen via onder andere TOR en werken gelijkaardig aan het DHT systeem dat bittorrent ook gebruikt.

FTFY

[Reactie gewijzigd door Kain_niaK op 7 augustus 2014 20:22]

Soldaatje
@thepillow867 augustus 2014 17:56
Misschien wordt hun anti-malware gedraaid bij die instellingen en rapporteert die dat weer terug aan hun dat het geheime diensten zijn, al lijkt me dat wel wat ver gaan. :P
RGAT
@Soldaatje7 augustus 2014 23:27
\\NSA_PC001 en \\AIVD_KANTOOR_001_PC? :p
Hoe weten ze dat het geheime diensten zijn, hebben die speciale contracten oid?
stresstak
7 augustus 2014 18:26
Overheidsdiensten en Geheime diensten die hun zaakjes niet op orde hebben, hebben evenveel recht op malware als ik. Voor de malware maakt het niet uit wie het is; die discrimineert niet.
jpsch
@stresstak7 augustus 2014 18:41
Zou er niet op rekenen. Aan de hand van je instellingen kun je prima alleen malware naar bepaalde taalgebieden sturen b.v. Belgische overheid.
stresstak
@jpsch7 augustus 2014 18:50
Men schijnt de infectie bij het bezoek aan websites opgelopen te hebben. En in geval van verschillende bezoekers kun je inderdaad Belgen kiezen als zij hun beveiliging niet op orde hebben.

Zie ook laatste alinea.
Workaholic
8 augustus 2014 07:54
Norton power remover even gebruikt :)

multipar.exe (false positive!)
contextmenu.dll (false positive --> synology cloudstation)
iconOverlay.dll (false positive)

Vroeger al geen goed pakket.. en nu nog steeds niet :P
Anoniem: 140847
8 augustus 2014 12:58
Norton is goed bezig, het is ze zelfs gelukt om dit tooltje bij mij te laten crashen, hahahahah.
Onderstaande veelzeggende melding werd gegeven voordat er ook maar een scan uitgevoerd kon worden

An error has occured
Niet nader omschreven fout
Error Code: 0x80004005,n5,nC0

Hulde, ze maken hun reputatie helemaal waar, crapware
HMC
7 augustus 2014 18:51
AUB Reuters inmiddels met een korreltje zout nemen.
Eerst zelf even verder kijken als tweaker.
Zeker over tech nieuws, maar eigenlijk over alle nieuwsberichten die zij spuien.
Reuters=geheime diensten. Yes, Alu-style :P
Wampa1
7 augustus 2014 21:23
Damn het gaat maar door. Vroeger bagatelliseerde ik malware aanvallen gewoonweg doordat ze vaak overduidelijk waren maar ze worden tegenwoordig zo sluw. Net lees ik op me banksite bijv. over een valse email in de omloop en die ziet er verdomd echt uit.
gertjankoot
8 augustus 2014 08:18
Valt me op dat dit soort meldingen steeds vaker in de publiciteit komen. Zijn er nu ook meer aanvallen? Heb ergens gelezen dat er wordt gesproken over het 'nieuwe internet', hoever staat het daarmee. Of is dit een utopie?
FreshMaker
@gertjankoot8 augustus 2014 11:58
Valt me op dat dit soort meldingen steeds vaker in de publiciteit komen. Zijn er nu ook meer aanvallen? Heb ergens gelezen dat er wordt gesproken over het 'nieuwe internet', hoever staat het daarmee. Of is dit een utopie?
Als je nog geen mail of examenoproep gekregen hebt voor dat netwerk, dan duurt het inderdaad nnog even.
Ze werken van bovenaf, eerst de meest slimme en intelligente gebruikers, daarna wij pas.

Beetje zoals de reddingsboten op de Titanic, vrouwen en kinderen eerst, maar alleen als ze genoeg geld hebben.
lv0
@reflex1967nl8 augustus 2014 01:55
Nou ja, lie?

Samen werken met, of tegen.
Valt wel op idd dat Kaspersky vaak dicht bij de 'bron' zit.

En als reactie in lijn met het vorige artikel. Wanneer er en mogendheid of land achter zou zitten, dan zou ik ook mij eigen land (server dummies) in de code opnemen.
"Kijk!, wij worden ook aangevallen!"
reflex1967nl
@lv08 augustus 2014 10:24
ben het met je niet eens tegenwoordig zijn beveiliging niet meer zo goed werkend zijn meer spionage software geworden !

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee