image

Nederlandse politie klant van Anonymous ontmaskeraar

dinsdag 15 februari 2011, 10:10 door Redactie, 15 reacties

De Nederlandse politie, KLPD, Koninklijke Marechaussee en het ministerie van Binnenlandse Zaken waren allemaal klant van het geplaagde en gehackte beveiligingsbedrijf HBGary, zo blijkt uit de 70.000 gelekte e-mails, waarin ook staat dat de beveiliger zelf aan een ondetecteerbare Windows rootkit werkte. HBGary werd gehackt omdat een werknemer informatie over kernleden van Anonymous zou hebben verzameld, onder andere om aan de FBI te verkopen. Dit zorgde voor een aanval van de anonieme internetbeweging, waarbij de server van het beveiligingsbedrijf werd gehackt en 7GB aan e-mails werd gestolen en geopenbaard.

In deze e-mail wordt gesproken over een rekening voor de KLPD, terwijl de Koninklijke Marechaussee in dit bericht voor een productsleutel bedankt. De KLPD vraagt in deze e-mail om een FastDump download, met de opmerking dat men de geheugenanalysetool wil proberen.

Een forensisch onderzoeker van de Politie Brabant-Noord vraagt in deze e-mail om een evaluatiecode, terwijl het ministerie van Binnenlandse Zaken in verschillende e-mails uit 2009 over onderhoud en ondersteuning langskomt. De e-mails zijn eenvoudig via de HBGary Email Viewer te bekijken, die online werd gezet om eenvoudig door de 70.000 e-mailberichten te zoeken.

Rootkit
Volgens Crowdleaks werkte of had het bedrijf ook plannen voor een ondetecteerbare Windows rootkit, met de codenaam Magenta. Magenta zou een geheel nieuw soort Windows rootkit zijn, dat HBGary als een multi-context rootkit omschrijft. De malware zou daarnaast extreem klein zijn en bijna onmogelijk van een systeem te verwijderen. Of er al aan de rootkit werd gewerkt is onduidelijk, maar Magenta wordt in verschillende berichten genoemd.

Banden
Inmiddels hebben verschillende bedrijven hun banden met HBGary verbroken en zeggen niets met het beveiligingsbedrijf te maken willen hebben. Zo laat Palantir in een verklaring weten dat het geen zaken doet met een bedrijf dat cyberwapens ontwikkelt. Ook Berico meldt dat alleen samenwerkt met bedrijven die dezelfde waarden delen, en daarom de banden verbroken heeft.

Reacties (15)
15-02-2011, 10:22 door Anoniem
zelf aan een ondetecteerbare Windows rootkit werkte.

wat?
15-02-2011, 11:01 door Anoniem
"een bedrijf dat cyberwapens ontwikkelt". Eerder "een bedrijf dat niet in staat is zijn eigen infrastructuur te beveiligen"?
15-02-2011, 11:49 door Anoniem
Door Anoniem: "een bedrijf dat cyberwapens ontwikkelt". Eerder "een bedrijf dat niet in staat is zijn eigen infrastructuur te beveiligen"?


Ik vind de combinatie van de 2 het meest angstaanjagende.
15-02-2011, 11:54 door [Account Verwijderd]
[Verwijderd]
15-02-2011, 12:25 door Bert de Beveiliger
Door Anoniem:
Door Anoniem: "een bedrijf dat cyberwapens ontwikkelt". Eerder "een bedrijf dat niet in staat is zijn eigen infrastructuur te beveiligen"?

Ik vind de combinatie van de 2 het meest angstaanjagende.

Mee eens. Ik denk dat ze technisch niet heel incompetent zijn, maar dat neemt niet weg dat ze wel heel, HEEL erg slordig zijn geweest - misschien nog wel erger.

En de Magenta rootkit is niet zomaar een 'cyberwapen' - het is een akelig stuk malware dat zich net zo hard tegen zijn scheppers zal keren als tegen de slachtoffers!
15-02-2011, 12:38 door [Account Verwijderd]
[Verwijderd]
15-02-2011, 14:34 door Anoniem
Haha toch opmerkelijk hoe zo'n clubje f5'ers van 4chan al die bedrijven op hun knieen weten te krijgen :)
15-02-2011, 14:38 door Anoniem
Hoe kun je je nou een beveiligingsbedrijf noemen als je je eigen netwerk zo slecht beveiligt. Ik ga er toch van uit dat rootkit projecten etc versleuteld op een harde schijf staan?
15-02-2011, 15:01 door Anoniem
Ja meneer Mcafee heeft toch vroeger ook computervirussen geschreven in de 80er jaren?.
Ik heb een boek van hem het Boek Virus,Zo is hij van Virus schrijver vroeger uitgegroeit tot nu een van de grootste makers van beveiligingssoftware zoals de bekende Macafee antivirusproducten en internetsecurity producten.
15-02-2011, 15:28 door SL600
Een beetje rootkit nestelt zich heel strategisch tussen applicatie en os en kan van hier uit alle communicatie 'naar believen verdraaien'. In theorie is een goede rootkit ook niet te detecteren en dat geldt voor Windows, Linux, Mac, etc.

De race van detectie wordt verlegd naar het moment wie er als eerst zich kan nestelen op een systeem:
A vertrouwde scenario) het os + applicatie van een vertrouwde partij met een lijst van checksums van alle onderdelen en
B gecompromitteerde scenario) os + rootkit + applicatie die alle checksum kan faken!

In scenario A kun je detecteren dat er nieuwe of gewijzigde onderdelen op het systeem meedraaien en kan dat een aanwijzing zijn op aanwezigheid van een rootkit.
In scenario B is detectie niet betrouwbaar en dus te laat.
15-02-2011, 17:00 door SirDice
HBGary werd gehackt omdat een werknemer informatie over kernleden van Anonymous zou hebben verzameld, onder andere om aan de FBI te verkopen.
Aaron Barr is de CEO van HBGary federal. HBGary federal is een apart bedrijf welke onder de HBGary vlag werkt.

http://arstechnica.com/tech-policy/news/2011/02/the-ridiculous-plan-to-attack-wikileaks.ars
15-02-2011, 18:02 door Syzygy
Een forensisch onderzoeker van de Politie Brabant-Noord vraagt in deze e-mail om een evaluatiecode,
Ze konden zeker geen keygenerator op The Piratebay vinden hahahahaha
15-02-2011, 21:53 door Anoniem
Alle berichten doorgenomen hebbende zonder ook maar een enkele comp term te gebruiken lees ik de naivitiet tot in de100 derste macht van partijen incl de zgn beveiligingsbedr,over en semi overheden,
in voorgaande jaren heb aan de lijve ondervonden dat de miscommunicatie niet van de lucht is,en onderlinge banen jagers
maar niet te noemen ( de vijandigheid van de mens is hierin de grote gemene viris)

opgemerkt; ninimus anonimus.
16-02-2011, 10:11 door Anoniem
Lolz HBGary .. tjonge tjonge


_____________________________________


did you open something running on high port?


On Feb 6, 2011, at 9:43 PM, Greg Hoglund wrote:

> ok let me know if you need me
>
> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>> tnx.
>> i am also connected to the box, seems some people have download problems -
>> have figured earlier that some chinese used chinese chars on names of files,
>> which then our filtering stripped off when putting db etc. so some db
>> editing
>>
>>
>> _jussi
>>
>> On Feb 6, 2011, at 9:36 PM, Greg Hoglund wrote:
>>
>>> ok ill make sure to get you a new license asap.
>>>
>>> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>>>> np.
>>>> btw i did not shut down the firewall so it still protects with too many
>>>> connections from same source address.
>>>>
>>>> i have also downloaded latest backups from /home/varmi to my homebox,
>>>> just
>>>> in case.
>>>>
>>>> oh, also seem my license is expiring for responder again. o:-) was
>>>> thinking
>>>> to put it into box with more memory.
>>>>
>>>> _jussi
>>>>
>>>> On Feb 6, 2011, at 9:26 PM, Greg Hoglund wrote:
>>>>
>>>>> yup im logged in thanks ill email you in a few, im backed up
>>>>>
>>>>> thanks
>>>>>
>>>>> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>>>>>> nope. your account is named as hoglund
>>>>>>
>>>>>>
>>>>>> On Feb 6, 2011, at 9:23 PM, Greg Hoglund wrote:
>>>>>>
>>>>>>> yes jussi thanks
>>>>>>>
>>>>>>> did you reset the user greg or?
>>>>>>>
>>>>>>> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>>>>>>>> does it work now?
>>>>>>>>
>>>>>>>>
>>>>>>>> On Feb 6, 2011, at 9:17 PM, Greg Hoglund wrote:
>>>>>>>>
>>>>>>>>> if i can squeeze out time maybe we can catch up.. ill be in germany
>>>>>>>>> for a little bit.
>>>>>>>>>
>>>>>>>>> anyway I can't ssh into rootkit. you sure the ips still
>>>>>>>>> 65.74.181.141?
>>>>>>>>>
>>>>>>>>> thanks
>>>>>>>>>
>>>>>>>>> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>>>>>>>>>> ok,
>>>>>>>>>> it should now accept from anywhere to 47152 as ssh. i am doing
>>>>>>>>>> testing
>>>>>>>>>> so
>>>>>>>>>> that it works for sure.
>>>>>>>>>> your password is changeme123
>>>>>>>>>>
>>>>>>>>>> i am online so just shoot me if you need something.
>>>>>>>>>>
>>>>>>>>>> in europe, but not in finland? :-)
>>>>>>>>>>
>>>>>>>>>> _jussi
>>>>>>>>>>
>>>>>>>>>> On Feb 6, 2011, at 9:08 PM, Greg Hoglund wrote:
>>>>>>>>>>
>>>>>>>>>>> no i dont have the public ip with me at the moment because im
>>>>>>>>>>> ready
>>>>>>>>>>> for a small meeting and im in a rush.
>>>>>>>>>>>
>>>>>>>>>>> if anything just reset my password to changeme123 and give me
>>>>>>>>>>> public
>>>>>>>>>>> ip and ill ssh in and reset my pw.
>>>>>>>>>>>
>>>>>>>>>>> thanks
>>>>>>>>>>>
>>>>>>>>>>> On 2/6/11, jussi jaakonaho <jussij@gmail.com> wrote:
>>>>>>>>>>>> hi,
>>>>>>>>>>>>
>>>>>>>>>>>> do you have public ip? or should i just drop fw?
>>>>>>>>>>>> and it is w0cky - tho no remote root access allowed
>>>>>>>>>>>>
>>>>>>>>>>>> On Feb 6, 2011, at 8:59 PM, Greg Hoglund wrote:
>>>>>>>>>>>>
>>>>>>>>>>>> _jussi
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>> jussi
16-02-2011, 10:31 door Jacob Boersma
"De KLPD vraagt in deze e-mail..."

Het is nog altijd 'Het KLPD', beste Security.nl redacteuren (de K staat voor Korps, niet voor Koninklijke zoals veel mensen lijken te denken).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.