image

Nederlandse Linux-server spil in Duqu-spionagenetwerk

woensdag 30 november 2011, 17:16 door Redactie, 12 reacties

Een gehackte Nederlandse server speelde een rol in Duqu-spionagenetwerk, zo blijkt uit nieuw gepubliceerde details. Duqu is één van de meest geavanceerde virussen ooit ontdekt en is tegen een klein aantal bedrijven ingezet om naar alle waarschijnlijkheid zeer vertrouwelijke informatie te stelen. Veel details over de malware ontbreken nog. Onlangs werd bekend dat besmette computers de vertrouwelijke documenten naar servers in India en België stuurden. Nu meldt het Russische anti-virusbedrijf Kaspersky Lab dat ook een Nederlandse server betrokken was.

Inmiddels heeft de virusbestrijder meer dan een dozijn Duqu Command & Control-servers (C&C) ontdekt die de afgelopen drie jaar actief waren. De servers werden niet alleen gebruikt voor het versturen van gestolen informatie, maar ook als proxy, waardoor de aanvallers hun sporen wisten. Inmiddels zijn er meer dan twaalf verschillende Duqu-varianten ontdekt, die verbinding met servers in India, België, Vietnam en Nederland maakten. Alle gehackte servers draaiden CentOS, een op Red Hat Linux gebaseerd besturingssysteem. Het gaat om versie 5.2, 5.4 en 5.5, zowel 32-bit als 64-bit. Volgens analist Vitaly Kamluk kan dit toeval zijn, maar is het ook mogelijk dat de aanvallers een exploit voor CentOS hadden.

Schoonmaak
Het onderzoek naar Duqu wordt bemoeilijkt omdat de aanvallers hun sporen grondig hebben gewist, meldt Kamluk. Op 20 oktober vond er een grootschalige schoonmaakoperatie binnen het netwerk plaats. De aanvallers wisten alle servers die al sinds 2009 in gebruik waren. Ondanks deze schoonmaak is de werking van het C&C-netwerk iets duidelijker geworden.

Zo werd de Vietnamese C&C-server gebruikt om bepaalde Duqu-varianten in Iran te besturen. Verdere details werden in eerste instantie niet op deze machine gevonden. "Soms is het op Linux nog mogelijk om verwijderde bestanden terug te halen, in dit geval konden we niets vinden. Hoe we ook zochten, alle sectoren waar bestanden zouden moeten staan, waren leeg en vol met nullen", zegt Kamluk.

Door het brute-force scannen van de ongebruikte ruimte in ‘/’ partitie, werden wel gedeeltes van het sshd.log bestand teruggehaald. "Dit was onverwacht en een uitstekende les over Linux en de werking van het ext3 bestandssysteem; het verwijderen van een bestand betekent niet dat er geen sporen of delen zijn terug te halen."

Logbestand
Uit het logbestand blijkt dat een gebruiker twee keer van hetzelfde IP-adres inlogde, de laatste keer om alle informatie te verwijderen. Verdere informatie wijst uit dat de aanvallers een nieuwe versie van OpenSSH op het systeem installeerden. Kaspersky Lab analyseerde ook de Duitse C&C-server en wist weer een deel van de sshd.log terug te halen. Deze server fungeerde als proxy voor het doorsturen van verkeer naar de echte C&C-server.

Hoe de aanvallers de servers wisten over te nemen is nog altijd niet duidelijk. Mogelijk via een onbekend lek in OpenSSH 4.3 voor CentOS. Een andere mogelijkheid is het brute-forcen van het wachtwoord, waar ook aanwijzingen voor zijn. Verder is het ook onduidelijk waarom de aanvallers de OpenSSH versie vervingen. Eerst draaide versie 4.3 op het systeem, later werd OpenSSH 5.8 geïnstalleerd. "Er moet een goede reden zijn waarom de aanvallers zich zoveel zorgen maakten dat ze OpenSSH 4.3 naar versie 5 updaten, helaas weten we niet het antwoord op deze vraag", merkt Kamluk op.

Image
Een ander opmerkelijk punt is dat de aanvallers volgens de analist niet erg bekend met 'de iptables' syntax waren en ook het sshd_config bestandsformaat niet goed kenden, aangezien ze de handleiding aanriepen. Kamluk concludeert dat de operatie waarschijnlijk al sinds 2009 gaande is en dat de aanvallers ook het nodige geluk hebben gehad.

De meest interessante server was de C&C proxy in India. Die werd een aantal uren voordat het hostingbedrijf akkoord ging met het maken van een image, door de aanvallers gewist. Was deze image eerder gemaakt, dan hadden de onderzoekers veel meer inzicht in het Duqu-netwerk gekregen. "Vooralsnog blijft het echt Duqu-moederschip een mysterie, net als de identiteit van de aanvallers."

Reacties (12)
30-11-2011, 17:56 door Eerde
Uhhh, verreweg de meeste servers draaien Linux, wat is nu het nieuws ?
30-11-2011, 18:37 door elmo2you
Ik vraag me toch af wat de kop zou zijn geweest als er Windows op die server had gestaan. Ben er vrijwel zeker van dat het niet "Nederlandse Windows-server spil in Duqu-spionagenetwerk" zou zijn geweest. Overigens, iedere slecht onderhoud server is vatbaar voor exploits, ongeacht of het nu een Linux of Windows server is. Verder blijft het slordig dat het de beheerder van de server nooit is opgevallen dat er vreemd verkeer over gelopen heeft.

Anyways, wat meer mijn aandacht trok is dat in het artikel staat dat de servers al drie jaar actief waren voor Duqu. Staat dat gegeven niet een beetje haaks op de propaganda dat Duqu een nazaat van Stuxnet zou zijn?
30-11-2011, 18:59 door Anoniem
"Er moet een goede reden zijn waarom de aanvallers zich zoveel zorgen maakten dat ze OpenSSH 4.3 naar versie 5 updaten, helaas weten we niet het antwoord op deze vraag", merkt Kamluk op.

Toevallig gisteren over de kwetsbaarheden van SSHv1 zitten lezen, staat opzich los van de OpenSSH versie, maar vind het toch wel interessant erbij te vermelden. Zie slide 13: http://openbsd.org/papers/OpenSSH-whats-new-2011-eurobsdcon.pdf
30-11-2011, 19:07 door _Peterr
Ik dacht dat Linux zo veilig was?
30-11-2011, 21:51 door Thaddy
Linux is niet alleen voor leken ook gewoon security by obscurity. Recente (server en 7) Windows zijn best goed.
Al werk ik in server omgevingen zelf liever met Linux. (Nog liever met SE, of BSD varianten)
Allemaal 1 pot nat. Schaal is waar het om gaat voor scriptkiddies en muntjes voor de echte crimi's.
Welk OS maakt echt geen f*ck uit om een target te zijn.
30-11-2011, 22:05 door Thaddy
Door elmo2you: Overigens, iedere slecht onderhoud server is vatbaar voor exploits, ongeacht of het nu een Linux of Windows server is. Verder blijft het slordig dat het de beheerder van de server nooit is opgevallen dat er vreemd verkeer over gelopen heeft

Laat dat slecht en onderhoud maar weg, geeft zo'n schijnveiligheid. Of ken je alle zerodays al een dag eerder?
Of heb je de aanvallen al ontdekt die speciaal voor jouw netwerk zijn gemaakt en nooit in de pers komen omdat niemand anders er last van heeft?


Anyways, wat meer mijn aandacht trok is dat in het artikel staat dat de servers al drie jaar actief waren voor Duqu. Staat dat gegeven niet een beetje haaks op de propaganda dat Duqu een nazaat van Stuxnet zou zijn?

Daar heb je een punt, viel mij ook op.
30-11-2011, 22:06 door Goeroeboeroe
Ik heb 'n redelijk hoge pet op van Kaspersky, maar nu vraag ik me toch even af...
Mijn voornaamste computer draait Linux, maar ik ben absoluut geen Linux-expert. Maar zelfs ik weet dat bij 'n ext3-systeem bestanden niet echt worden verwijderd, als je geen extra handelingen verricht. En soms is het zelfs helemaal onmogelijk ze volledig te verwijderen, afhankelijk van je instellingen.
Dat staat gewoon hartstikke duidelijk in de handleidingen enz. over dat systeem. En in tig handleidingen over wipe-tools voor Linux. Het komt toch wat eigenaardig over als Kaspersky dit kennelijk net heeft ontdekt. Ik geloof dat ik mijn Kaspersky-pet maar fors minder hoog ga maken.
30-11-2011, 23:50 door Anoniem
Door Goeroeboeroe: Ik heb 'n redelijk hoge pet op van Kaspersky, maar nu vraag ik me toch even af...
Mijn voornaamste computer draait Linux, maar ik ben absoluut geen Linux-expert. Maar zelfs ik weet dat bij 'n ext3-systeem bestanden niet echt worden verwijderd, als je geen extra handelingen verricht. En soms is het zelfs helemaal onmogelijk ze volledig te verwijderen, afhankelijk van je instellingen.
Dat staat gewoon hartstikke duidelijk in de handleidingen enz. over dat systeem. En in tig handleidingen over wipe-tools voor Linux. Het komt toch wat eigenaardig over als Kaspersky dit kennelijk net heeft ontdekt. Ik geloof dat ik mijn Kaspersky-pet maar fors minder hoog ga maken.


En daar heb je het dus: elke noob kan een Linux-server opzetten (en dat ding blijft heus wel draaien) om er vervolgens niet meer naar om te kijken.
01-12-2011, 07:41 door [Account Verwijderd]
[Verwijderd]
01-12-2011, 19:02 door rob
"Dit was onverwacht en een uitstekende les over Linux en de werking van het ext3 bestandssysteem; het verwijderen van een bestand betekent niet dat er geen sporen of delen zijn terug te halen."

Lol..
01-12-2011, 19:19 door rob
Dat gelul over de verbazing dat het Linux systemen zijn die gehacked zijn.

De gasten achter duqu zochten servers die geschikt zijn om C&C software op te draaien. Kennelijk hebben ze een voorkeur om die software op Linux te hebben draaien. Als je de resources hebt om complexe malware als Duqu te maken, kun je zelf wel uitkiezen welk soort servers met wat voor soort OS je gaat compromitteren. M.a.w.: ze hebben niet voor Linux gekozen omdat het makkelijker was. Maar omdat deze systemen beter aan hun eisen voldeden.

Verder hebben ze de keuze uit miljoenen Redhat of CentOS systemen, en kunnen ze een kwetsbare er tussenuit pakken. Voor een C&C server maakt het niet uit waar de server van is, of waar ie draait. Zolang ie maar niet te goed wordt gemonitored. Dus ook het feit dat er een server in Nederland tussen zit, is niet relevant.

Wat ik vreemd vind is dat als de aanvallers een nieuwe SSH versie erop zetten, ze niet meteen een aangepaste versie erop zetten die hun eigen activiteiten niet logt naar een logfile. Dat klinkt bijna amateuristisch. Ook het feit dat ze uberhaupt SSH gebruikten, terwijl die hun toegang logt is een beetje vreemd.

Dat de aanvaller een manpage van sshd_config opvroeg vind ik niet opmerkelijk. Zelfs experts moeten soms even naar de docs kijken om iets zeker te weten. Wel zo fijn een wijziging te controleren als je niet 100% zeker bent, voordat je je service onderuit haalt door een config fout.

Het is tevens ook heel waarschijnlijk dat de C&C servers door andere lui werden gebruikt, dan degenen die de Duqu malware hebben geprogrammeert.

Als je normaal een bestand verwijderd in Linux (met een ext3 filesystem althans), dan worden de pointers in de inode die naar de blokken waar de data staat verwijzen gezeroed. Niet de data zelf. Als je dus inderdaad het hele filesystem op patronen gaat doorzoeken, dan ga je ook 'verwijderde' bestanden terugvinden. Het verbaasd me dat er wordt geschetst dat dit een 'uitstekende les' was. Je mag toch verwachten dat ze dat wisten. Ik neem aan dat de aanvallers verder de andere gewiste files hebben *overschreven* alvorens ze te unlinken. Misschien hebben ze de sshd logs enkel getruncate, waardoor de reeds geschreven data er nog op staat. Dat is wel vrij slordig...
06-12-2011, 09:03 door Anoniem
Het is simpel als je op linux het root account weet te capturen of binnen Windows het Administrator account.. Kan je alles...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.