Geavanceerde spionage-rootkit besmet offline computers
Onderzoekers van een Duits anti-virusbedrijf hebben naar eigen zeggen één van de meest geavanceerde rootkits ooit ontdekt, die offline computers kan infecteren en voor spionagedoeleinden werd gebruikt. De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen.
Vanwege het rootkit-onderdeel is de malware zeer lastig te identificeren. Aan de hand van de structuur zeggen onderzoekers van het Duitse anti-virusbedrijf G Data dat Uroburos het werk van zeer ervaren programmeurs is. Daarbij wordt er zelfs aangenomen dat de ontwikkelaars aan nog geavanceerdere versies werken die nog ontdekt moeten worden.
Offline
De malware is ontwikkeld om in peer-to-peer-mode te werken, zodat het ook computers kan infecteren die niet op het internet zijn aangesloten. Via een computer die wel online is kunnen de aanvallers vervolgens de computers die offline zijn aansturen. Bestanden die de aanvallers willen stelen worden via de offline computers naar de online computer doorgestuurd, waarna de data naar de aanvallers gaat.
De oudste driver van Uroburos dateert uit 2011, wat mogelijk inhoudt dat de malware drie jaar langer verborgen bleef. Hoe Uroburos zich verspreidt, door wie die ontwikkeld is en wie de doelwitten zijn, is onbekend. In de code van de malware werden wel Russische woorden aangetroffen, wat er mogelijk op duidt dat de ontwikkelaars Russisch spreken, aldus de onderzoekers.
Die vermoeden dat de groep die de malware ontwikkelde ook achter een aanval tegen het Amerikaanse leger in 2008 zat. Een worm genaamd Agent.BTZ wist toen allerlei computers en netwerken van het leger te infecteren, wat uiteindelijk voor een verbod op USB-sticks zorgde. Uroburos controleert op de aanwezigheid van Agent.BTZ. Wordt de worm aangetroffen, dan voert de spionage-rootkit geen verdere handelingen uit en blijft inactief.
Ik verwacht dan ook dat mijn laptop, die geen actieve netwerkaansluiting heeft, op geen enkele wijze opgenomen kan worden in dit peer-to-peer netwerk.
Wat in het artikel staat, duidt eerder op een exfiltratie machine die een verbinding heeft met internet en met de (eveneens) besmette computer. Maar dat is oud nieuws. Dat wordt al jaren gedaan bij APT aanvallen.
Peter
Haal offline maar uit het artikel want dat klopt niet. Bedoeld is dat de computers niet op Internet hoeven te zitten.
Een computer zonder internetverbinding zou ik toch wel offline willen noemen
Tja, als de utp-kabel uit m'n PC is, het ding kan geen Wifi aan, dan wil ik wel eens zien hoe m'n PC besmet raakt met deze malware.
Via het lichtnet mischien, en dan de voeding van m'n PC in en dan verder via het moederbord naar de HDD en dan het OS in?
Als fabrikanten van PC voedingen en moederborden verplicht worden bepaalde frequenties niet uit de voeding te filteren dan zou in theorie een FSK-sginaal op het lichtnet gebruikt kunnen worden om geheugenadressen in een computer te overschrijven met mallware code. De mallware zou de gestolen info kunnen verpakken op gebrande CD's of USB sticks om ze op een ander device via Internet te versturen. Wellicht dat een slimme meter gebruikt kan worden als zender voor het signaal; zo worden alleen de computers in een bepaald gebouw besmet. Het zou wel het 'verplicht' gebruik van deze meter goed kunnen verklaren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
