image

Cadeau voor Dalai Lama blijkt Trojaans paard

donderdag 5 juli 2012, 11:08 door Redactie, 4 reacties

Morgen viert de Dalai Lama zijn 77ste verjaardag en aanvallers grijpen het moment aan om gerichte aanvallen uit te voeren. Het gaat om een e-mail met als onderwerp 'Dalai Lama’s birthday on July 6 to be low-key affair' en een bijlage. In de tekst staat dat er als cadeau voor de Dalai Lama twee nummers worden gespeeld. De tekst van de nummers zijn als bijlage toegevoegd. Het meegestuurde Word-document gebruikt een beveiligingslek in Microsoft Office 2003, 2007 en 2010 dat Microsoft op 10 april patchte.

Zodra ontvangers het document op een ongepatchte computer openen, wordt de Midhos Trojan geïnstalleerd. De malware maakt verbinding met hetzelfde IP-adres dat ook bij de recente ontdekte aanval tegen Oeigoerse Mac-gebruikers werd gebruikt. Om slachtoffers niets te laten vermoeden toont de exploit een 'vals' document.

Aanvallers
"Bekende personen zoals Tenzin Gyatso, de huidige Dalai Lama, zijn continu het doelwit voor APT-aanvallers. Met de 77ste verjaardag van de Dalai Lama in aantocht, verwachten we dat dit soort aanvallen zullen toenemen", zegt Costin Raiu van anti-virusbedrijf Kaspersky Lab.

Raiu merkt op dat de Midhos Trojan inmiddels 500 keer gedetecteerd is, en zeer populair is bij deze groep aanvallers. De meeste slachtoffers van de malware bevinden zich in de VS, Italië, Canada en Duitsland.

Reacties (4)
05-07-2012, 12:50 door Anoniem
We weten allemaal welk land er tegen deze Dalai Lama is,nl. China.Dus is het erg aannemelijk dat deze malware ook afkmstig is uit China.Ik pleit voor een systeem waarbij het mogelijk is om hele landen bij het uitvoeren van malware aanvallen tijdelijk helemaal van internet af te sluiten.Daartoe zou het beheer van internet door de VN ter hand moeten worden genomen.
05-07-2012, 14:13 door Fab85
Sorry Anoniem, dat een aanval van een IP adres uit China komt zegt nog niks van de organisatie die er achter zitten. Via verschillende technieken is het vrij eenvoudig om de oorsprong van de aanval af te schermen en het te laten lijken dat China verantwoordelijk is, maar de aanval kan net zo goed uit Antarctica komen.
En hoe heb je dat dan in gedachte om rond heel China een firewall te plaatsen? En alle onschuldige mensen die binnen en buiten China dan maar de toegang te weigeren? Heb je wel door hoe onze welvaart en economie afhankelijke is van China, pak maar een willekeurig product en de kans is groot dat het is "made in China".
05-07-2012, 15:02 door Anoniem
Dit is de standaard methode van Chinese aanvallers in alle aspecten. Dergelijke mails worden al een jaar of 8 verstuurd, het is niet iets nieuws.

De From header bevat een naam uit de kring van de ontvanger, een gestolen identiteit dus. De content laat zien dat er een bestaande relatie is. De ontvanger is sterk geneigd de bijlage te openen, die - ook heel standaard - politiek getint is. De bijlage bevat een Office exploit, deze methode geniet de voorkeur van deze aanvallers.

Er zijn natuurlijk andere inlichtingendiensten die de Chinezen tot in detail kunnen imiteren, maar voor hen is de Dalai Lama van heel weinig belang. Dat is dus erg onwaarschijnlijk.
05-07-2012, 23:04 door Fab85
Het gaat er niet om dat we weten wie het gedaan heeft (waarschijnlijk China ), maar het gaat er om dat je het kunt bewijzen. Dit kan niet alleen op IP adres.
Mijn punt is dat Anoniem wil dat de VN het internet gaat reguleren en bij dit soort aanval een heel land maar van het internet te gooien, met andere woorden een heel land DOSen, met alle gevolgen van dien voor binnen en buitenland. Het is maar net welk belang groter is, dat van de Dalai Lama of dat van de rest van de wereld. Anoniem heeft hier duidelijk niet goed over na gedacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.