'Geavanceerde malware viel onder meer België aan' - update 3

Onderzoekers van Symantec hebben spionagemalware ontdekt die waarschijnlijk van een overheid afkomstig is en die onder meer Belgische computers zou hebben getroffen. De malware was onder meer in staat om bestanden te stelen.

Vijf procent van de bevestigde infecties van de geavanceerde malware vond plaats in België; de meeste infecties vonden plaats in Rusland en Saoedi-Arabië, respectievelijk 28 en 24 procent. De onderzoekers van Symantec geven niet aan welk land achter de malware zou zitten, maar opvallend is wel dat er geen infecties in de Verenigde Staten zouden hebben plaatsgevonden.

De malware, door de onderzoekers Regin gedoopt, is volgens de onderzoekers modulair opgebouwd. Daardoor kunnen de activiteiten van de malware per slachtoffer worden aangepast. De malware zou onder meer in staat zijn om wachtwoorden te stelen, screenshots te nemen, de muis over te nemen en netwerkverkeer te onderscheppen; gebruikelijke functies voor een spionagetrojan. Ook zou Regin in staat zijn om reeds verwijderde bestanden te achterhalen.

Regin zou onder meer zijn verspreid via gespoofte versies van bekende websites, onder meer met behulp van beveiligingsproblemen. In één geval zou de malware zijn verspreid via een beveiligingsprobleem in Yahoo Messenger, al geven de onderzoekers aan dat ze dat probleem niet hebben kunnen verifiëren.

De makers van de malafide software zouden hun best hebben gedaan om ervoor te zorgen dat hij niet werd ontdekt. Daartoe werd de software bijvoorbeeld versleuteld met een ongebruikelijk cryptografisch algoritme en had de malware zelfs een eigen versleuteld bestandssysteem aan boord. Ook zouden de makers van de malware op ongebruikelijke wijze communiceren met de malware, onder meer via commando's die zijn verstopt in cookies en ping-berichten.

Update, 16:05: Volgens beveiligingsonderzoeker Mikko Hypponen van F-Secure zou deze malware zijn gebruikt om de Belgische hoogleraar databeveiliging Jean-Jacques Quisquater te hacken. Eerder bleek dat die cybercrimeprofessor door de NSA zou zijn gehackt. Dat is een aanwijzing dat de Regin-malware door de NSA is opgezet.

Update, 16:16: De malware is gebruikt bij aanvallen op het Europees Parlement en Belgacom, schrijft Wired.

Update, 16:36: Volgens Ronald Prins van beveiligingsbedrijf Fox-IT is de malware afkomstig van de NSA en zijn Britse evenknie GCHQ. Fox-IT deed het onderzoek naar de vermeende GCHQ-hack van Belgacom.

IT-banen

Reacties (66)

Maurits van Baerle 24 november 2014 09:39

Aangezien deze malware zich niet op consumenten lijkt te richten maar eerder op organisaties en overheden is het niet vreemd dat het in Belgie is aangetroffen.

Met alleen al de Europese Commissie, NATO en SWIFT valt er in Belgie best veel te bespioneren.

B64

@Maurits van Baerle • 24 november 2014 11:13

Niet op consumenten gericht?

Targets include private companies, government entities and research institutes. Almost half of all infections targeted private individuals and small businesses. Attacks on telecoms companies appear to be designed to gain access to calls being routed through their infrastructure.
48%: Private individuals and small businesses
28%: Telecoms Backbones
9%: Hospitality
5%: Energy
5%: Airline
5%: Research

Als er al een reden is waarom de malware in België is aangetroffen, dan heeft het dit keer weinig met de EU, NATO of Swift te maken.

Maurits van Baerle @B64 • 24 november 2014 12:26

Niet op consumenten gericht inderdaad. Het is geen poging om mensen hun login voor internetbankieren te onderscheppen of hun webcam af te luisteren. Het is een poging om op belangrijke knooppunten verkeer te kunnen onderscheppen. Daarom is deze malware dus ook vooral bij ISPs aangetroffen en niet bij Jan de Wit uit de Eerste Van Swindenstraat.

Het zou me zelfs niets verbazen als de malware zichzelf zou verwijderen als het op een consumentenmachine terecht was gekomen. Als dat niet je doel is dan kun je daar ook maar beter niet aanwezig zijn. Hoe meer "bijvangst" hoe groter de kans dat je het ontdekt wordt.

DeBierVampier @Maurits van Baerle • 24 november 2014 12:56

...Daarom is deze malware dus ook vooral bij ISPs aangetroffen en niet bij Jan de Wit uit de Eerste Van Swindenstraat.

Uhm....

48%: Private individuals and small businesses
28%: Telecoms Backbones
9%: Hospitality
5%: Energy
5%: Airline
5%: Research

[Reactie gewijzigd door DeBierVampier op 25 juli 2024 04:21]

jorisk322 @DeBierVampier • 24 november 2014 13:49

Ja, als Telecoms 28% zijn dan gaat het dus om een heel laag aantal individuele personen/kleine bedrijven. Die personen/bedrijven zijn dus gericht geïnfecteerd.

Thystan @DeBierVampier • 25 november 2014 09:50

Check de updates en je ziet dat het gaat om specifieke invdividuals, zoals een beveiligingsexpert

B64

@Maurits van Baerle • 24 november 2014 18:44

Wat versta jij dan onder 'private individuals'? Volgens mij zijn dat individuen, a.k.a. consumenten of privé-personen. NIks grote bedrijven dus.

ColdRain @Maurits van Baerle • 24 november 2014 10:11

En Shape HQ in Bergen (Mons).

Verwijderd 24 november 2014 08:32

""maar opvallend is wel dat er geen infecties in de Verenigde Staten zouden hebben plaatsgevonden.""

Dat kan dus betekenen dat de VS er achter zitten of dat een ander land wil doen voorkomen dat de VS er achter zitten.

Hoe dan ook een pittig beestje als ik het zo lees.

Flo @Verwijderd • 24 november 2014 09:22

"De onderzoekers van Symantec geven niet aan welk land achter de malware zou zitten, maar opvallend is wel dat er geen infecties in de Verenigde Staten zouden hebben plaatsgevonden."

Het Symantec artikel zegt niets over de VS...
Benieuwd waarop Tweakers deze 'verachtmaking' baseerd, en niet naar bijvoorbeeld China wijst die ook niet in het lijstje staat.

bluegoaindian @Flo • 24 november 2014 10:55

Het is de VS omdat als het china was geweest of rusland symantec dat had vermeld!
maar aangezien symantec een amerikaans bedrijf is blijft nu deze verelding achterwege.

r2504 @Flo • 24 november 2014 12:20

De Amerikanen bespioneren massaal hun eigen burgers... dus op zich is dat ook geen argument.

Gepetto @r2504 • 24 november 2014 15:42

Ja en andere landen doen dat natuurlijk niet.

Heb hier nog een mooi voorbeeld voor je dan.

Verwijderd @Flo • 24 november 2014 12:22

Tweakers baseert helemaal geen verdachtmaking maar geeft alleen aan wat Symantec verklaarde

Mel33 @Verwijderd • 24 november 2014 09:38

Ik denk dat wij (NL) dat doen $_/-\o_$ want wij zijn ook niet geïnfecteerd.

aanname

G-bird @Mel33 • 24 november 2014 11:36

Waarom is Belgie elke keer wel geinfecteerd?

Of zou Belgie denken als wij besmet zijn dan zijn we zeker niet verdacht! $_/-\o_$ $_/-\o_$

Borromini @G-bird • 24 november 2014 11:57

Omdat er een hoop internationale instellingen gevestigd zijn. EU, NAVO, ...

Barryke @Verwijderd • 24 november 2014 08:56

Of een ander land dat niet betrapt wil worden door aartsvijand VS. Zoals rusland..

Gepetto @Barryke • 24 november 2014 15:40

Als je die gedachte hebt, dan heb je een tijdje onder een steen geleefd.

De aartvijand van Rusland is momenteel Europa. Als Poetin ergens bang voor is, dan is het wel dat de landen in Oost-Europa te veel naar het westen toetrekken. Het liefst zou hij het ijzeren gordijn opnieuw optrekken, zelfs met de wetenschap dat dit Rusland in een enorme economische crisis zal storten.

SpamLame @Verwijderd • 24 november 2014 08:47

Land aanwijzen is FUD/ speculatie.

Het zou dan evengoed China of Great Brittain kunnen zijn, want ook die lijken niet getroffen
Net zoals de andere 150+ landen als je de geografische spreiding bekijkt.

Verwijderd @SpamLame • 24 november 2014 09:11

Land aanwijzen is FUD/ speculatie.

Welkom op het Internet

SpamLame @Verwijderd • 24 november 2014 11:17

Dank U krijg ik nu ook een welkomst pakket toegestuurt?

PizzaMan79 @SpamLame • 24 november 2014 11:54

Ja, u kunt zich melden op 4chan om het in ontvangst te nemen. ;-)

[Reactie gewijzigd door PizzaMan79 op 25 juli 2024 04:21]

core_dump @SpamLame • 24 november 2014 10:15

Het is op Tweakers automatisch een +1 om Amerika te bashen...

SpamLame @core_dump • 24 november 2014 11:19

Is dat zo? Is mij niet opgevallen, dat gezegd hebbende, ik lees niet zo vaak nieuwsberichten laat staan de reacties.

HMC 24 november 2014 08:56

Vroeger gebruikte ik 2 PC's. De nieuwere voor al mijn dagelijks gebruik, en de oudere voor wat LAN spelletjes tegen elkaar in huis, of ter gebruik van bezoekers.

Ik kreeg nu zowaar een soortgelijk idee. Mijn main PC voor alles, BEHALVE internet.
Daar maar een klein bakkie ernaast voor halen, waar zomaar van alles mis mee zou mogen gaan.

preske @HMC • 24 november 2014 09:27

Wat is het nut daarvan? Al je gevoelige dingen doe je sowieso op de internet-pc. Bankeren, op websites inloggen etc.

HMC @preske • 24 november 2014 10:03

Precies wat ik bedoel dus.
Dus al die zaken alleen op een klein tweede PC'tje doen, die verder niets aan belangrijke data er op heeft, of dingen die je niet kwijt wilt raken.

Gewoon een klein machientje ernaast voor alle online dingen die je opnoemt.
Ik val in herhaling.
Misschien eerst een reactie lezen?
Heb je het artikel uberhaupt wel gelezen?
Iets met stelen van bestanden en zo...

[Reactie gewijzigd door HMC op 25 juli 2024 04:21]

Verwijderd @HMC • 24 november 2014 11:16

Ik denk dat het een goed idee is.

We slaan data over onszelf op, op dezelfde pc die aan het internet hangt. In 2014, na het Snowden verhaal vraag je je af hoe naïef mensen nog willen zijn? Het internet [b][is/b] helemaal zo veilig en leuk niet meer. Het is gewoon de modernste uitspatting van al de vileine corruptie in de naakte aap. Niets nieuws.

Hoe ga je daarmee om? Ik denk dat je persoonlijke data offline moet bewaren. De realiteit zelve als firewall! Data springt niet spontaan over van PC naar PC. Fysieke scheiding is een goed idee. Vroeger dacht niemand daarover na. Toen kregen we interconnectiviteit en stond alles op losse schroeven. Alles kon gedeeld worden, of gehackt.

En nu full circle. Ineens blijkt dat fysiek dingen van elkaar scheiden veiligheid oplevert. Grappig nietwaar?

FicoF @Verwijderd • 25 november 2014 00:15

Hoe moet ik dat doen dan? Foto's maak ik met een apparaat die altijd aan het web hangt. Persoonlijke zaken worden mij per mail toegezonden via whatsapp etc..

Verwijderd @FicoF • 25 november 2014 13:34

Dan koop je geen apparaat dat aan het web hangt. Ik herhaal dit en zal dat blijven doen. De realiteit, simpel gezegd, hoe de samenleving werkt en er uit zsiet is het gevolg van JOUW, ja, jij, van JOUW persoonlijke keuze.

Alls het gaat om keuzes bestaan er geen andere mensen. Immers, als je gaat kijken naar hoe anderen zich gedragen, je je daardoor laat leiden, dan krijg je dat niemand keuzes maakt, want als schapen naar elkaar kijken wie het eerst over de dam gaat, dan gaat er geen een.

Helaas hebben wij als mensen altijd anderen nodig, of denken dat we die nodig hebben om zelf slim gedrag te vertonen. Maar je kunt alleen maar verantwoordelijk zijn voor je eigen denken en doen. Niet meer en niet minder. En dus waarom zou jij een apparaat kopen dat aan het web hangt? Omdat anderen het ook doen? Of ben je de slaaf van je eigen gadget-lust? Prima, ga door zou ik zeggen, maar klaag dan niet over dat jouw gadget van keuze aan het web hangt.

Een fotocamera met GPS, dan zet je de GPS uit. Als dat niet kan, koop hem gewoon niet. Niemand heeft whatsapp nodig. Ik heb er nooit mee gewerkt, dus weet ik precies wat ik niet mis. Ik mis niets. Het leven gaat door. Ik mis dus niets en dus weet ik precies wat ik niet mis. Dát wat ik NIET mis, mis ik níet.
Pure logica.

preske @HMC • 24 november 2014 17:40

Voor bedrijven etc zie ik het nut wel in, maar voor de doorsnee gebruiker? Die gaat heus geen top-secret bestanden op zijn pc hebben die angstvallig van de overheid moeten afgeschermd worden.

Verwijderd @HMC • 24 november 2014 09:22

alleen ga je toch het internet opmoeten wil je bepaalde software legitemeren.

goarilla @HMC • 24 november 2014 09:27

Ik kreeg nu zowaar een soortgelijk idee. Mijn main PC voor alles, BEHALVE internet.

Ik denk dat het dan niet lang gaat duren voordat je extra PC je main PC wordt.

Daar maar een klein bakkie ernaast voor halen, waar zomaar van alles mis mee zou mogen gaan.

Heb je al aan VM's gedacht voor je risicovolle activiteiten ?

HMC @goarilla • 24 november 2014 10:01

Ik doe niet aan risicovole activiteiten, maar zoals we hier lezen is dat nog steeds geen garantie.

DJ Henk @goarilla • 24 november 2014 12:12

Heb je al aan VM's gedacht voor je risicovolle activiteiten ?

De vraag is: wat is risicovol? Alles kan potentieel risicovol zijn.

RaZer0r @HMC • 24 november 2014 09:28

daarvoor kan je toch ook gewoon een firewall plaatsen?
alles naar buiten block behalve wat je zelf wil toestaan...

een 2e pc is nu toch wel lichte overkill :-)

HMC @RaZer0r • 24 november 2014 10:04

Het hoeft dan ook geen monster te zijn.
Als er maar gewerkt kan worden. Dan voldoet een budget systeem, van de BBG hier op Tnet al.

LPEspecial @HMC • 24 november 2014 09:29

Zou ook in een virtual machine moeten kunnen, ware het niet dat die sandboxes ook niet altijd waterdicht zijn.

Zolang als het geen ransomware is, of criminele organisaties zijn die als doel hebben mijn bankrekeningen te plunderen, of mijn identiteit over te nemen, of me in een bot netwerk te plaatsen maak ik me niet zo heel erg veel zorgen. Heb voor de rest niet zo heel erg veel te verbergen. Dus voor mij liever een formele instantie welke meekijkt, als iets anders.

Thystan @LPEspecial • 24 november 2014 11:05

Het komt eigenlijk zeer weinig voor dat een sandbox van een VM niet waterdicht is. Up2date houden en het is gewoon veilig.

Tevens zijn de voorbeelden die je noemt zoals ransomware en botnets, persoonsgegevens en bankgegevens DE dingen die malware van je wilt. Ik wil daarmee zeggen dat dat eigenlijk DE redenen zijn om anti-virus, firewall e.d. te gebruiken.

ongewoongewoon @HMC • 24 november 2014 09:30

Ik vraag mij dan toch af wat voor werkzaamheden je op de main pc zou willen doen. Ik zou knettergek worden als mijn main-pc geen internet had.

bonus 24 november 2014 08:37

die waarschijnlijk van een overheid afkomstig is
Waar is dit vermoeden op gebasseerd dan ? Als je het zo leest is het een zeer gavanceerd stukje software maar dat kan ook een instantie zijn (FBI, CIA ...)

De makers van de malafide software zouden hun best hebben gedaan om ervoor te zorgen dat hij niet werd ontdekt
Dat doen ze toch allemaal

Anders heeft het nauwelijks nut het te proberen, dan pakt de eerste de beste virusscanner / malware software hem er al uit...

SpamLame @bonus • 24 november 2014 08:42

De twee door jou genoemde instanties zijn dan ook overheids instanties....

wjn @bonus • 24 november 2014 08:45

Als de redactie de conclusie van Symantec erbij had gezet, dan was duidelijk wat er wordt bedoelt met:
"De makers van de malafide software zouden hun best hebben gedaan om ervoor te zorgen dat hij niet werd ontdekt".

tinoz 24 november 2014 09:30

Ik vraag me af op welk besturingssysteem dit virus werkt. Is dit alleen Windows of ook andere systemen zoals Linux of OSX?

Anonymoussaurus @tinoz • 24 november 2014 09:39

Aangezien Windows het meest populaire OS is gaan de meeste hackers en aanvallers zich op Windows gebruikers richten.

Ik weet natuurlijk niet wat overheden gebruiken. Ik verwacht Windows 7.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 04:21]

shejaidon @Anonymoussaurus • 24 november 2014 10:38

nouja, onze overheid is nog vooral blijven steken op XP

.

OT: wel heel makkelijk zo om amerika aan te wijzen terwijl er zat andere lander zijn die niet geinfecteerd zijn waaronder Nederland zelf. dus ik neem dan maar domweg aan dat het Nederland is die dit heeft gedaan. clickbait more?

goarilla @Anonymoussaurus • 24 november 2014 11:28

Wel de IE 6 intranet websites werken niet op Windows 7.
De ms access 97 databases en VBA applicaties zouden ook wel is willen tegenwerken, de parallele printer heeft geen drivers, etc ...

De publieke sector heeft meestal geen modern PC-park. Je zou eens moeten
langsgaan bij een kleine school. Daar is het vaak zo dat al hun materiaal gedoneerd is en de technisch aangelegde leraar de IT-taken er maar bijneemt.

Thystan @goarilla • 24 november 2014 14:06

Allemaal dingen die je kan inventariseren en vervolgens (bijvoorbeeld) via virtuele omgeving kan aanbieden.

Behalve de printer, die ook gewoon via een server aangestuurd moet worden eigenlijk en dus niet de drivers nodig heeft op de desktop. En ja, dat hardware soms ook vervangen moet worden als je van besturingssysteem wisselt. Het moet meegenomen in het project van de upgrade en dus bij de kosten worden gerekend van het project.

Nog wel 1 voor AnonymousWP:
Er zijn ~5000 computers met windows XP bij de gemeente

goarilla @Thystan • 24 november 2014 18:06

Mooi dat jij al aan een migratietraject denkt maar is het budget er wel.
Dat is meestal het probleem in deze kleine publieke sector organisaties met grote onafhankelijkheid.

Anonymoussaurus @goarilla • 24 november 2014 11:41

Ja klopt, op mijn vorige school kregen we alleen maar pc's gedoneerd. Daar runde ze Windows 7, en die pc's hadden 2 GB aan RAM. Een matige dualcore. Dat ging erg traag. Toen ik in het laatste jaar zat hadden ze in de mediatheek wel een paar pc's gezet die een prima quad core hadden en toch nog 4GB aan RAM.

satya @tinoz • 24 november 2014 13:43

Aangezien Norton alleen een cleaning tool voor Windows heeft voor deze mallware ga ik uit van Windows.

mvhorssen

24 november 2014 08:34

Zo te lezen een eng stukje software wat goed verstopt zit. Ik vraag me af hoe lang het huidige gebruik van ICT in de samenleving nog vol te houden is. We kopen en verkopen, bankieren, communiceren enz via internet, maar als je de laatste jaren ziet hoe lek heel de boel is. Ook het lekken van bedrijfsgeheimen zie ik als een serieuze bedreiging.

[Reactie gewijzigd door mvhorssen op 25 juli 2024 04:21]

Verwijderd 24 november 2014 09:30

iets met ukraine, onderzoeken en documenten....

rara wie was het?

Thystan @Verwijderd • 24 november 2014 11:06

Zullen we nooit weten, want doofpot: http://www.elsevier.nl/Po...enbaar-te-maken-1647600W/

Verwijderd @Thystan • 24 november 2014 12:33

zullen we nooit weten, gelijk aan een afgebrande auto met iemand met benzine ernaast die roept ik was het niet.

Ach ja, politiek correct spelletje.

Verwijderd 24 november 2014 09:57

Wat ze eigenlijk proberen te zeggen is dat ze aangevallen zijn door een ander land.

Cow_tipping 24 november 2014 16:18

Je zou bijna een kale Windows installeren met alleen dit virus.
Ineens kan je computer allerlei dingen doen; muisdriver, schermbeheer en internettoegang en wie weet wat nog meer.
Dat scheelt toch al weer gauw een paar 100 megabyte met een volledige versie van Windows.

[Reactie gewijzigd door Cow_tipping op 25 juli 2024 04:21]

ATS @iJasja • 24 november 2014 08:58

Gebruikt iJasja de feedback link niet?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: