image

Geavanceerd spionagevirus verspreidde zich via e-mail

maandag 10 februari 2014, 23:14 door Redactie, 4 reacties

Een nieuw ontdekt spionagevirus wordt door de ontdekkers omschreven als één van de meest geavanceerde spionagecampagnes ooit, maar de infecties verliepen voor zover bekend op traditionele wijze. De nieuwe malware heet 'The Mask' en heeft meer dan 380 slachtoffers in 31 landen gemaakt.

Slachtoffers ontvingen een spear phishingmail met een linkje dat naar een filmpje of nieuwsartikel leek te wijzen. Zodra de ontvanger de link opende werd die naar een website doorgestuurd die de computer probeerde te infecteren. Vervolgens werd de website geladen waar de link in de e-mail in eerste instantie naar leek te wijzen. Eenmaal actief probeerde The Mask allerlei informatie van de besmette computer te stelen, zoals documenten, encryptiesleutels, SSH-sleutels, VPN-configuraties en RDP-bestanden.

De malware werd door Kaspersky Lab ontdekt toen het een lek in de virusscanners van het Russische anti-virusbedrijf probeerde te misbruiken. Door van dit lek gebruik te maken zou de malware onzichtbaar voor de virusscanner zijn. Het lek in de anti-virussoftware werd in 2008 door Kaspersky gepatcht. De spionagecampagne zou echter al sinds 2007 actief zijn. Tijdens het onderzoek naar de malware in januari van dit jaar werd de campagne opeens gestopt.

Verspreiding

Vorige week kwam Kaspersky al met de vooraankondiging van The Mask en liet weten dat de malware zich via "hoogwaardige exploits" verspreidde en Windows-, Mac- en Linuxcomputers kon infecteren. Uit de analyse blijkt dat het spionagevirus zich vooral op traditionele wijze verspreidde, namelijk social engineering en beveiligingslekken die niet door slachtoffers waren gepatcht.

Het gaat om een exploit voor een Java-lek dat in 2011 door Oracle werd gepatcht en een exploit voor een lek in Adobe Flash Player waar in 2012 een update voor verscheen. Dit lek in Flash Player was ontdekt door het Franse beveiligingsbedrijf VUPEN, dat het tijdens de Pwn2Own-wedstrijd gebruikte om Google Chrome te hacken. Kaspersky heeft echter geen hard bewijs dat het lek werd gebruikt voordat er een patch beschikbaar was, zodat het als een zero-day-lek geclassificeerd zou kunnen worden.

Het is bekend dat VUPEN informatie over kwetsbaarheden aan bepaalde partijen verkoopt en Kaspersky sluit niet uit dat de makers van The Mask bij het Franse beveiligingsbedrijf de exploit voor het Flash Player-lek hebben gekocht. Daarbij wordt nog naar een verhaal op ZDNet gewezen, maar ook daarin staat geen concrete informatie. VUPEN heeft inmiddels op de aantijgingen gereageerd en stelt dat de gebruikte Flash-exploit niet van het Franse bedrijf afkomstig is en waarschijnlijk is ontdekt door het analyseren van Adobe's eigen patch voor Flash Player.

Browserplug-ins

Naast het gebruik van exploits zouden de aanvallers ook kwaadaardige browserplug-ins hebben ingezet. Via een plug-in voor Firefox zouden op deze manier mogelijk Linuxcomputers zijn geïnfecteerd. Deze plug-in installeerde vervolgens de backdoor. Kaspersky kon de gebruikte plug-in echter niet veiligstellen, waardoor meer details achterwege blijven. Naast Firefox werden er ook plug-ins voor Google Chrome gebruikt. Deze waren echter op Windowsgebruikers gericht. Gebruikers moesten de extensie zelf installeren en kregen daarbij een waarschuwing van de browser dit niet te doen.

Aanvallers

Ondanks de afwezigheid van zero-day-lekken en de eenvoud waarmee slachtoffers zich hadden kunnen beschermen stelt virusonderzoeker Costin Raiu van Kaspersky dat de aanvallers achter de campagne beter zijn dan de makers van het geavanceerde Flame-virus. Dit vanwege de manier waarop ze de infrastructuur beheerden. Flame wordt als zeer geavanceerde malware beschouwd die zich via Windows Update wist te verspreiden. De malware zou door de NSA, CIA en het Israëlische leger zijn ontwikkeld en had overeenkomsten met de geavanceerde Stuxnetworm.

Wat The Mask betreft is het onbekend wie de malware heeft ontwikkeld. Aan de hand van de code stellen de onderzoekers dat het erop lijkt dat de malware door Spaanstalige programmeurs is gemaakt, wat zeer opmerkelijk is. Zeker weten doen ze dit echter niet. Ook wordt, gezien de complexiteit van de malware, niet uitgesloten dat The Mask door een land is ontwikkeld. Wederom zijn er geen keiharde bewijzen.

Hoewel Kaspersky The Mask als een zeer geavanceerde spionagecampagne omschrijft hadden slachtoffers zich eenvoudig kunnen beschermen door hun software up-to-date te houden, niet zomaar op links in e-mailberichten te klikken en geen ongevraagde plug-ins van onbekende websites te installeren.

Image

Reacties (4)
11-02-2014, 05:45 door [Account Verwijderd]
[Verwijderd]
11-02-2014, 13:24 door [Account Verwijderd] - Bijgewerkt: 11-02-2014, 13:31
[Verwijderd]
11-02-2014, 16:09 door Mysterio
Geavanceerde malware die zich via email verspreidt. Tja... Daarnaast is Spaans de 2e wereldtaal, na Chinees en voor Engels. Ik vind het al met al maar een beetje een vreemd bericht met nogal wat aannames waar ik niet zo veel mee kan.

Was VUPEN medeverantwoordelijk voor MASK? Ik vraag me af of dat de juiste vraag is. Al zouden ze het zijn dan is dat vergelijkbaar met de traditionele wapenhandel waar nieuwe ontwikkelingen ook min of meer vrij verhandeld worden. Daar hebben we met z'n allen ook geen probleem mee.
11-02-2014, 22:43 door Anoniem
Tsja,wat doe je er tegen? Iedereen ontvangt weleens e-mail,de meesten dagelijks en meerdere mailtjes.Zaak is software-gaten te patchen,zaak is dat Microsoft,pc fabrikanten en de antivirusboeren z.s.m..een manier vinden om deze malware toch te vinden en te verwijderen.En ik hoop dat in het geval er landen getroffen worden door deze waarschijnlijk Amerikaanse en/of Israelische malware (bijv.Rusland,China,Iran,N-Korea,maar ook de EU) dat deze landen proberen om de malware-schrijvers van deze geavanceerde malware te achterhalen en defintitief uit te schakelen door hen fysiek te elimineren.De wereld is de digitale spionage en het digitale hacking&malware-terrorisme van de VS en Israel meer dan zat! Het wordt dan ook hoog tijd dat de EU harde maatregelen neemt tegen de VS en Israel! Ik denk aan een tijdelijk verbod op zaken doen met Amerikaanse&Israelische bedrijven en de Amerikaanse overheden,maar ook het ontzeggen vd toegang en het uitzetten van Amerikaanse&Israelische diplomaten en staatsburgers uit alle EU-landen.En NEE,de ekonomische,financieele belangen van NL en de EU gaan NIET voor de rechten en belangen (o.a. betreffende de privacy) vd Nederlandse en andere EU-burgers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.