image

Identiteit Googlehackers bijna bekend

vrijdag 12 februari 2010, 13:58 door Redactie, 6 reacties

De Chinese hackeraanval op Google en tientallen andere grote bedrijven is nog altijd gaande, maar de identiteit van de daders begint langzaamaan bekend te worden. Toen Google begin januari "Operatie Aurora" onthulde, bleek dat ook 33 andere bedrijven waren gehackt, waaronder Adobe. Verder vermoeden experts dat er ook is ingebroken bij Yahoo, Symantec, Juniper Networks, Rackspace, Northrop Grumman en Dow Chemical, hoewel deze bedrijven dit niet hebben bevestigd of ontkend. Het Internet Explorer-lek wat de aanvallers gebruikten mag dan inmiddels gepatcht zijn, dat betekent niet het einde van Operatie Aurora. "De aanval is nog steeds gaande en is veel groter", zegt Greg Hoglund, oprichter en CEO van beveiligingsbedrijf HBGary.

Ook Hoglund heeft geen direct bewijs dat de Chinese overheid achter de aanvallen zit, maar dat wil niet zeggen dat het er niet is. Het kan best zijn dat andere onderzoekers of functionarissen hier wel over beschikken, maar het geheim houden, aldus de beveiliger. Het bedrijf heeft een analyse van de gebruikte malware online gezet. De sporen die de onderzoekers in de Aurora code aantroffen, zijn erg kenmerkend voor de ontwikkelaar die de malware compileerde. HBGary zou "markers" in de code hebben aangetroffen die de identiteit van de ontwikkelaar verraden. Wat voor markers dit precies zijn wil het bedrijf niet zeggen. "Dat staat niet in het rapport, omdat we niet willen dat hij weet dat we zijn programmeren kennen. Het is algoritmisch van nature."

Exploit
Inmiddels is er allerlei andere malware verschenen die dezelfde IE-exploit gebruikt, maar die bevatten niet deze specifieke markers. Daardoor konden onderzoekers vaststellen dat dezelfde aanval bij andere bedrijven is ingezet. "Het voelt alsof we een aantal van hen aan hun programmeren kennen, we herkennen hun handelsmerken...tot op de persoon", voegt Kevin Mandia van beveiligingsbedrijf Mandiant toe.

Wat de aanval zelf betreft, is Hoglund van mening dat er niet alleen een lek in Internet Explorer 6 is gebruikt. Ook zou er niet alleen met phishingmails zijn gewerkt voor het verspreiden van de IE-exploit.

Reacties (6)
12-02-2010, 14:17 door Anoniem
"HBGary zou "markers" in de code hebben aangetroffen die de identiteit van de ontwikkelaar verraden. Wat voor markers dit precies zijn wil het bedrijf niet zeggen. "Dat staat niet in het rapport, omdat we niet willen dat hij weet dat we zijn programmeren kennen. Het is algoritmisch van nature."


tja, als die markers uit naam, telefoon n° en adres van de programmeur bestaan dan is het ietsje makkelijker hé... :o
12-02-2010, 14:47 door monica8
Dus je zegt dat je zijn programmeren herkent, maar je wil niet dat hij dat weet, waarom zeg je dat dan. Omdat je bewijzen hebt, maar die wil je niet publiceren. Weer typisch geklets van "experts" met technische bewijzen en analyses waar je geen boef mee vangt of criminele activiteit mee stopt.
12-02-2010, 17:00 door MrBil
Bijna maar nog niet helemaal!
12-02-2010, 17:30 door Anoniem
Ja wat nou: ken je ze nou of ken je ze niet? Of ben je een beetje zwanger misschien?
13-02-2010, 19:41 door Anoniem
De markers waar ze het over hebben zijn wederkerende stukken code. Of specifieke manieren om aanroepen te doen, of eventueel zelfs (als het er al in voor komt) stukjes commentaar, manieren van iteratie, ...

Iedereen heeft zo zijn stijl van programmeren.

- dark
15-02-2010, 12:32 door Anoniem
Heeft iemand misschien een whitepaper over het herkennen van deze 'code markers'? Op wikipedia staat dat de code 'chinees gebaseerd' is, maar aangezien ze niet zo aardig geweest zijn de source te geven en je uit de binary geen variabelnamen/comments/functienamen kan halen vraag ik me toch af hoe de fuck ze dat weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.