Nieuws

Geavanceerde spionage-rootkit besmet offline computers

vrijdag 28 februari 2014, 15:30 door Redactie, 6 reacties

Onderzoekers van een Duits anti-virusbedrijf hebben naar eigen zeggen één van de meest geavanceerde rootkits ooit ontdekt, die offline computers kan infecteren en voor spionagedoeleinden werd gebruikt. De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen.

Vanwege het rootkit-onderdeel is de malware zeer lastig te identificeren. Aan de hand van de structuur zeggen onderzoekers van het Duitse anti-virusbedrijf G Data dat Uroburos het werk van zeer ervaren programmeurs is. Daarbij wordt er zelfs aangenomen dat de ontwikkelaars aan nog geavanceerdere versies werken die nog ontdekt moeten worden.

Offline

De malware is ontwikkeld om in peer-to-peer-mode te werken, zodat het ook computers kan infecteren die niet op het internet zijn aangesloten. Via een computer die wel online is kunnen de aanvallers vervolgens de computers die offline zijn aansturen. Bestanden die de aanvallers willen stelen worden via de offline computers naar de online computer doorgestuurd, waarna de data naar de aanvallers gaat.

De oudste driver van Uroburos dateert uit 2011, wat mogelijk inhoudt dat de malware drie jaar langer verborgen bleef. Hoe Uroburos zich verspreidt, door wie die ontwikkeld is en wie de doelwitten zijn, is onbekend. In de code van de malware werden wel Russische woorden aangetroffen, wat er mogelijk op duidt dat de ontwikkelaars Russisch spreken, aldus de onderzoekers.

Die vermoeden dat de groep die de malware ontwikkelde ook achter een aanval tegen het Amerikaanse leger in 2008 zat. Een worm genaamd Agent.BTZ wist toen allerlei computers en netwerken van het leger te infecteren, wat uiteindelijk voor een verbod op USB-sticks zorgde. Uroburos controleert op de aanwezigheid van Agent.BTZ. Wordt de worm aangetroffen, dan voert de spionage-rootkit geen verdere handelingen uit en blijft inactief.

Britse overheid geeft miljoenen aan bestrijding mobiele malware

XS4ALL gaat FRITZ!box-modems klanten op afstand updaten

Reacties (6)

28-02-2014, 16:29 door Anoniem

Ik kan in het oorspronkelijke verhaal nergens iets vinden over offline computers. Ja, er is wat onderzoek gedaan naar gebruik van microfoons en luidsprekers om informatie door te geven, maar ik heb niet echt idee dat deze malware daar gebruik van maakt.

Ik verwacht dan ook dat mijn laptop, die geen actieve netwerkaansluiting heeft, op geen enkele wijze opgenomen kan worden in dit peer-to-peer netwerk.

Wat in het artikel staat, duidt eerder op een exfiltratie machine die een verbinding heeft met internet en met de (eveneens) besmette computer. Maar dat is oud nieuws. Dat wordt al jaren gedaan bij APT aanvallen.

Peter

28-02-2014, 16:42 door Anoniem

Dat klinkt interessant, dan moet er toch een kabel of wireless/bluetooth in aan staan om peer to peer besmet te raken.
Haal offline maar uit het artikel want dat klopt niet. Bedoeld is dat de computers niet op Internet hoeven te zitten.

28-02-2014, 17:32 door Anoniem

By commanding one infected machine that has Internet connection, the malware is able to infect further machines within the network, even the ones without Internet connection.

Een computer zonder internetverbinding zou ik toch wel offline willen noemen

28-02-2014, 17:52 door vimes

Een beetje vreemd verhaal. Een doorsnee worm verspreidt zich ook prima over netwerken zonder dat er verbinding met internet is. Niks nieuw onder de zon dus. En een dergelijke situatie als offline beschouwen is mi onjuist. Een computer is pas offline als er totaal geen verbinding met een andere computer mogenlijk is. En voor de paranoia's onder ons liever ook geen lichtnet.

01-03-2014, 03:56 door Anoniem

Dit ruikt naar een G Data promotieverhaal.
Tja, als de utp-kabel uit m'n PC is, het ding kan geen Wifi aan, dan wil ik wel eens zien hoe m'n PC besmet raakt met deze malware.

Via het lichtnet mischien, en dan de voeding van m'n PC in en dan verder via het moederbord naar de HDD en dan het OS in?

01-03-2014, 13:36 door Anoniem

Verklaard misschien wel het flikkeren van led lampen, wat overal alleen maar lijkt toe te nemen.

Als fabrikanten van PC voedingen en moederborden verplicht worden bepaalde frequenties niet uit de voeding te filteren dan zou in theorie een FSK-sginaal op het lichtnet gebruikt kunnen worden om geheugenadressen in een computer te overschrijven met mallware code. De mallware zou de gestolen info kunnen verpakken op gebrande CD's of USB sticks om ze op een ander device via Internet te versturen. Wellicht dat een slimme meter gebruikt kan worden als zender voor het signaal; zo worden alleen de computers in een bepaald gebouw besmet. Het zou wel het 'verplicht' gebruik van deze meter goed kunnen verklaren.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer