image

Engelse overheid waarschuwt voor grote internet aanval

donderdag 16 juni 2005, 12:05 door Redactie, 13 reacties

De Engelse overheid heeft bedrijven gewaarschuwd voor een grote internet aanval waarbij overheidsinstellingen en financiele ondernemingen het doelwit zijn. Volgens het National Infrastructure Security Co-ordination Centre (NISCC) lopen zowel thuisgebruikers als bedrijven het risico om aangevallen te worden. De aanvallen, die via met Trojaanse paarden geinfecteerde e-mails worden uitgevoerd, lijken afkomstig uit het "Verre Oosten".

De Trojaanse paarden die de nog onbekende aanvallers gebruiken zijn ontworpen om economische en financiele informatie te stelen, en worden sinds januari naar overheidsinstellingen gestuurd. De ontdekking heeft ertoe geleid dat het NISCC nu meer dan 300 ondernemingen en instellingen heeft gewaarschuwd om de security van hun systemen te verbeteren. De Trojans zouden ook in de rest van Europa, VS en Australie actief zijn, en zijn zeer complex. De hele operatie is waarschijnlijk zeer groot opgezet en komt goed georganiseerd over.

De e-mails waarmee de Trojaanse paarden verstuurd worden lijken afkomstig van betrouwbare contacten of overheidsinstellingen, en bevatten tekst die de geadresseerde zover moet krijgen om het bestand te openen. Eenmaal geopend hebben de aanvallers volledige toegang en controle over de computer.

Reacties (13)
16-06-2005, 12:39 door Anoniem
Om de een of andere reden krijg ik het gevoel alsof ze in GB
veel serieuzer omgaan met aanvallen via het internet dan in
Nederland. Ik zie de overheid hier niet snel echte actie
ondernemen bij een aanval, laat staan een dreiging.
16-06-2005, 12:41 door G-Force
Ongevraagd toegestuurde e-mails worden bij standaard via Mailwasher
ontdekt en verwijderd via de DELETE-knop.
16-06-2005, 13:24 door Anoniem
Hebben ze dat nu pas ontdekt? Het is al meer dan een jaar gaande. Dit is
spionage met als doelen overheid en bepaalde gevoelige bedrijfstakken.

Het zijn Word documenten met exploit waardoor code wordt uitgevoerd. Je
kunt niet aan de buitenkant zien dat het een trojan is. Sommige scanners,
zoals McAfee kunnen de exploit herkennen (zie de PDF). De patch is al
lang verkrijgbaar bij Microsoft. Zonder patch kan de code automatisch
vrijwel ongemerkt worden uitgevoerd.

De oorsprong is inderdaad waarschijnlijk Azie, meer bepaald Chinees
sprekende landen. Er zit inderdaad waarschijnlijk een goed georganiseerd
netwerk achter.
16-06-2005, 14:44 door Anoniem
Door Peter V.
Ongevraagd toegestuurde e-mails worden bij standaard via Mailwasher
ontdekt en verwijderd via de DELETE-knop.
Nou geweldig voor je. Mag ik hopen dat je er bij stilstaat dat alle e-mail die
spontaan binnenkomt omdat iemand contact zoekt dus ongevraagd is,
tenzij het vooraf is aangemeld. Ongewenst is dan weer heel wat anders.
16-06-2005, 17:20 door Anoniem
een goede firewall en anti spam doen wonderen.
aanrader volgens data news => brightmail anti spam
16-06-2005, 20:39 door Anoniem
Door Anoniem
een goede firewall en anti spam doen wonderen.
aanrader volgens data news => brightmail anti spam

Een firewall helpt je niet hier tegen. De verbinding zijn namelijk uitgaand
en dat mag van de firewall.

Brightmail is anti-spam, wat heeft dat hier mee te maken?
16-06-2005, 23:06 door Frans E
Door Peter V.
Ongevraagd toegestuurde e-mails worden bij standaard via Mailwasher
ontdekt en verwijderd via de DELETE-knop.


De mailtjes worden zorvulldig samengesteld en lijken stuk voor stuk
custom made net als de worm zelf.

Ze worden verstuurd met als afzender een collega of relatie en zelf de
onderwerpen komen overeen met onderwerpen waar met die fake
afzender al eerder over gecorrespondeerd is.

Je zou dus de conclussie kunnen trekken dat de afzender die in de e-mail
wordt genoemd al gehacked is.

Het geheel heeft veel weg van de
[url=http://www.security.nl/article/10903/1/Trojaans_paard_schandaal_treft
_internationale_bedrijven.html]wormgate[/url] die in Israel plaatsvond
waarbij ook geheimen over de productie van zwaar water voor de productie
van waterstof bommen vrijkwamen.

Het begint ook internationaal nu wat serieuze vormen aan te nemen
aangezien nu ook de
[url=http://www.ocipep.gc.ca/opsprods/info_notes/IN05-001_e.asp]Canada
[/url] en [url=http://www.dsd.gov.au/_lib/pdf_doc/advisories/DA-2005-01.pdf]
Australie[/url] waarschuwen voor dit gevaar.

Nu alleen govert.nl nog :)
17-06-2005, 00:02 door Anoniem
Door Frans E
De mailtjes worden zorvulldig samengesteld en lijken stuk voor stuk
custom made net als de worm zelf.

Ze worden verstuurd met als afzender een collega of relatie en zelf de
onderwerpen komen overeen met onderwerpen waar met die fake
afzender al eerder over gecorrespondeerd is.

Je zou dus de conclussie kunnen trekken dat de afzender die in de e-mail
wordt genoemd al gehacked is.

Het geheel heeft veel weg van de
[url=http://www.security.nl/article/10903/1/Trojaans_paard_schandaal_treft
_internationale_bedrijven.html]wormgate[/url] die in Israel plaatsvond
waarbij ook geheimen over de productie van zwaar water voor de productie
van waterstof bommen vrijkwamen.

Het begint ook internationaal nu wat serieuze vormen aan te nemen
aangezien nu ook de
[url=http://www.ocipep.gc.ca/opsprods/info_notes/IN05-001_e.asp]Canada
[/url] en [url=http://www.dsd.gov.au/_lib/pdf_doc/advisories/DA-2005-01.pdf]
Australie[/url] waarschuwen voor dit gevaar.

Nu alleen govert.nl nog :)

Het is geen worm, het is een trojan.

De documenten hebben meestal een inhoud die de ontvanger zou kunnen
aanspreken. Is het een vliegtuigproducent, dat gaat het over vliegtuigen.
De berichten zelf zijn vaak afkomstig van nieuwssites en ze ogen normaal.

Het is niet nodig dat de afzender van deze berichten gehackt is. Spoofen
van e-mails is heel makkelijk.

Dit soort custom trojans worden sinds een jaar of 8 gebruikt voor
spionage.

Men denkt al gauw dat een firewall voldoende bescherming is. Dat is
volledig onterecht. Het is heel gemakkelijk hooggeplaatste mensen bij
grote bedrijven op deze manier te voorzien van een trojans die aan home-
calling doet. Dat werkt in 95% van de bedrijven, want:

1. Het is een Word document, wordt dus niet tegengehouden door mail
scanners.
2. De meeste bedrijven gebruiken gewoon een proxy voor webverkeer naar
buiten. Daar zit doorgaans geen vorm van authenticatie op.

Dat is natuurlijk gewoon een designfout. Helaas wordt vaak door
security "deskundigen" een proxy scanner aangeraden. Uit eigen ervaring
weet ik dat het moeilijk is opdrachtgevers ervan te doordringen dat een
proxyscanner niet helpt tegen dit soort inbraken. Je zult de desktop moeten
isoleren van de proxy, bijvoorbeeld via sessies op een computer met
Internet access.
18-06-2005, 01:08 door Anoniem
Tja,

Ik blijf bij al deze berichten hier toch elke keer weer tot
eenzelfde slotsom te komen, en die is dat het toch telkens
weer neerkomt op exploit in e.o.a. Windows -os.
Begrijp me goed, niet dat al het andere perfect is, maar
daar vliegt die raceauto (worm/trojan or whatever) uit de
bocht en beland................
IN DE ZANDBAK
18-06-2005, 02:52 door Anoniem
Door Anoniem
Door Anoniem
een goede firewall en anti spam doen wonderen.
aanrader volgens data news => brightmail anti spam

Een firewall helpt je niet hier tegen. De verbinding zijn
namelijk uitgaand
en dat mag van de firewall.

Brightmail is anti-spam, wat heeft dat hier mee te maken?


Owja joh ? sinds wanneer mag dat van de firewall???? ik weet
niet welke firewall jij gebruikt , maar veel goeds kan het
niet zijn als ie z'n werk maar half doet
19-06-2005, 12:32 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
een goede firewall en anti spam doen wonderen.
aanrader volgens data news => brightmail anti spam

Een firewall helpt je niet hier tegen. De verbinding zijn
namelijk uitgaand
en dat mag van de firewall.

Brightmail is anti-spam, wat heeft dat hier mee te maken?


Owja joh ? sinds wanneer mag dat van de firewall???? ik weet
niet welke firewall jij gebruikt , maar veel goeds kan het
niet zijn als ie z'n werk maar half doet

Jouw firewall staat uitgaand http verkeer niet toe?
19-06-2005, 17:00 door Anoniem
Iedere Unix/Linux guru weet dat je al jaaaaaren security om
de tuin kan leiden door netcat en reverse telnet.... het
verwacht alleen "medewerking" van een of enkele
(gebruiker(s)) en hun pc in het intranet....maar zelfs dat
is met een trojan (die hetzelfde doet) niet eens meer nodig.

En de beveiligers stonden erbij en......zien het niet eens.
19-06-2005, 23:46 door Anoniem
Door Anoniem
En de beveiligers stonden erbij en......zien het niet eens.

Inderdaad, het is een nauwelijks zichtbare dreiging die altijd al speelde,
maar waar je verrassend weinig over hoort. Degenen die gehacked zijn
merken daar meestal niets van.

Overigens kun je over nogal wat protocollen moeilijk als zodanig
herkenbare informatie sturen in twee richtingen, op meerdere niveau's,
bijvoorbeeld icmp en http (headers of content). Dat betekent dat er
besturing op afstand mogelijk is, de informatie kan immers ook een
opdracht zijn voor de trojan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.