Botnet vernietigt computers binnen 10 dagen
Een botnet dat in maart verschillende Zuid-Koreaanse websites platlegde, heeft alle besmette computers in het netwerk vernietigd. Veertig sites van de Zuid-Koreaanse overheid, het leger en kritieke infrastructuur, alsmede Amerikaanse websites, waren het doelwit van de aanvallers. Veertien van de aangevallen websites waren ook al in 2009 via een omvangrijke Distributed Denial of Service aanval platgelegd.
Net als de aanval uit 2009, werden de gebruikte machines na de aanval vernietigd. De malware bevatte een zelfvernietigingscode die binnen tien dagen werd geactiveerd. De code overschrijft het begin van elke fysieke schijf in de computer met nullen. Hierdoor wordt de computer zo goed als onbruikbaar gemaakt, aldus anti-virusbedrijf McAfee. "Doordat de master boot record (MBR) is overschreven, kan de computer niet meer starten." Ook worden bepaalde bestanden vervangen en verwijderd. "De combinatie van deze twee vernietigende technieken veroorzaakt maximale schade op de gecompromitteerde host en diens gebruikers."
De malware uit 2009 verwijderde allerlei bestanden met xml, .xls, .ppt, .doc, .pdf, .c en .cpp extensies. Voor het verwijderen werden alle bestande met een gzip algoritme gecomprimeerd en vervolgens met een wachtwoord versleuteld. Deze eigenschap was ook in de 2011 code aanwezig, maar niet actief. De malware werd voornamelijk op een Zuid-Koreaanse bestandsuitwisselingssite verspreid. In 2009 bestond het botnet uit meer dan 150.000 machines, hoeveel machines er nu betrokken zijn laat McAfee niet weten.
Noord-Korea
De virusbestrijder stelt dat de aanval door meerdere individuen met verschillend inzicht in de architectuur van de code is ontwikkeld. Daarbij zou het mogelijk een test kunnen zijn, om te zien hoe goed Zuid-Korea op cyberaanvallen is voorbereid. "Mogelijk door Noord-Korea of hun sympathisanten", aldus de beveiliger.
Verder zou de code en botnet-architectuur geavanceerd zijn, maar geldt dat niet voor de aanval. Mogelijk zouden de aanvallers hebben willen zien hoe snel de aanval werd opgemerkt en geanalyseerd. "Gewapend met deze kennis, zou de aanvaller cyberaanvallen, in combinatie met kinetische aanvallen kunnen lanceren, met een betere kennis van hoe Zuid-Korea op incidenten reageert", besluit McAfee.
De aanvallen in 2009 vielen ongeveer samen met de "Ulchi-Freedom Guardian" Joint US/Korea exercise, en een van de doelstellingen van deze oefeningen is het testen van de weerbaarheid van Zuid-Koreaanse systemen tegen cyberaanvallen.
"Ulchi Freedom Guardian also includes drills to defend South Korea from North Korea’s cyber and terrorist attacks of bombs, chemical warfare, and biological and radioactive weapons. A series of provocations by Pyongyang have encouraged Seoul and Washington to strengthen such exercises" (Bron: Donga)
Het zouden dus in theorie "mock attacks" kunnen zijn, zodat men aan de hand van de conclusies de beveiliging van de Zuid-Koreaanse infrastructuur kan verbeteren, terwijl het tegelijkertijd een goede gelegenheid is om weer eens met een stok richting het Noorden te slaan, en te wijzen op de 'clear and present danger' van Noord-Koreaanse cyberaanvallen.
De vermeende motivatie van Noord-Korea in 2009 zou de deelname zijn van Zuid-Korea aan de Cyberstorm cyberwar oefeningen, volgens de Zuid-Koreaanse lezing van de gebeurtenissen, zie bijvoorbeeld :
S. Korean Puppets' Move to Participate in U.S.-led Cyber Storm Exercises Blasted
http://www.kcna.co.jp/item/2009/200906/news27/20090627-20ee.html
Cyber attack retaliation against Seoul`s move to join `Cyber Storm`
http://www.koreaherald.com/specialreport/Detail.jsp?newsMLId=20090710000075
Was Noord-Korea de schuldige achter de DDoS aanvallen, of speelt Zuid-Korea "Wag The Dog" ?
McAfee had dit rapport ook uitgebracht zonder de overname door McAfee. Ook wordt er niet verwezen naar hardware matige AV oplossingen om deze dreiging tegen te gaan.
McAfee had dit rapport ook uitgebracht zonder de overname door McAfee. Ook wordt er niet verwezen naar hardware matige AV oplossingen om deze dreiging tegen te gaan.
Nee. De verwijzing ontbreekt. Maar lijkt het je niet logisch? Er is straks, n.a.v. dit soort berichten, goud te verdienen in dat marktsegment. De tot nu toe aangeboden software faalt op alle fronten schijnbaar.
Dat goede OS waar jij waarschijnlijk naar verwijst gebruik ik al jaren en ik ben er blij mee.
Een dualboot systeem is mogelijk immuun voor deze aanvallen op dit moment bedenk ik me nu ineens. Tenminste, als je Linux na Windows installeert. De malware moet in dat geval eerst GRUB verwijderen en het is (voor mij) de vraag of dat momenteel ingebakken is en uitgevoerd kan worden. Iemand daarover iets gelezen misschien?
Een dualboot systeem is mogelijk immuun voor deze aanvallen op dit moment bedenk ik me nu ineens. Tenminste, als je Linux na Windows installeert. De malware moet in dat geval eerst GRUB verwijderen en het is (voor mij) de vraag of dat momenteel ingebakken is en uitgevoerd kan worden. Iemand daarover iets gelezen misschien?
Ook bij dual boot start je computer niet meer gewoon op als je MBR is overschreven. Je BIOS zal dat toch moeten lezen voordat het OS aan de beurt komt om wat te doen. Het enige voordeel van dual boot is dat je waarschijnlijk met een bootable CD de boel wel weer op kunt starten.
Een oplossing zou kunnen zijn om je windows omgeving virtueel te draaien. Ik weet niet of dat virus door die virtualisatielaag heen kan komen om direct de MBR te overschrijven of dat je dan alleen een niet startende VM hebt. En dat los je op door iedere keer een snapshot te maken van je virtuele disk en die terug te zetten.
Peter
Houd nu eens op met dit soort opmerkingen. Wanneer het door jou bedoelde OS dezelfde verspreiding zou hebben als Windows (want daar doel je op) dan is het nog maar de vraag of er niet net zoveel ellende voor bedacht werd. Wanneer genoeg destructieve geesten zich ergens op storten, wordt het moeilijk om de sluizen dicht te houden.
Als de MBR overschreven is wel uiteraard. Ik vroeg me alleen af of deze malware dat kan en ook doet.
Overigens kun je met een Windows installatie cd/dvd de MBR ook repareren via de herstelconsole en met een dualboot kan dan ook altijd. Misschien met alleen een Linux cd of samen met een Windows cd.
Hmmz.. Dit heeft niets met de vernietiging van een computer te maken; de kop slaat nergens op. De computer wordt onbruikbaar. Tijdelijk.
Ik verwacht van security.nl iets beters dan dit soort 'spraakmakende' [sic] koppen.
Houd nu eens op met dit soort opmerkingen. Wanneer het door jou bedoelde OS dezelfde verspreiding zou hebben als Windows (want daar doel je op) dan is het nog maar de vraag of er niet net zoveel ellende voor bedacht werd. Wanneer genoeg destructieve geesten zich ergens op storten, wordt het moeilijk om de sluizen dicht te houden.
Hou nu eens op met dit soort opmerkingen. Bekijk de beveiligingen nu eens op een reeel niveau. Hou Windows en Linux (want daar doel ik op) eens tegen het licht en heb het lef om ze allebei critisch te beoordelen, want dan zul je erachter komen dat de interne motor van Linux toch echt veel beter in elkaar zit. Linux beveiligd alles van binnenuit, maar Windows blijft maar muren om de buitenkant heen bouwen. Beide hebben natuurlijk geen verdediging tegen social enginering, want de gebruiker is altijd de zwakste schakel, maar als het om aanvallen van buitenaf gaat, verliest Windows toch echt GRUWELIJK.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
