image

Flame-virus verstopte zich achter Nederlandse IP-adressen

zondag 4 november 2012, 09:04 door Redactie, 0 reacties

Deze week werd bekend dat het geavanceerde spionagevirus Flame geen slachtoffers in Nederland heeft gemaakt, maar mogelijk wist de 'supermalware' wereldwijd 10.000 systemen te infecteren. Dat vertelt Costin Raiu, hoofd onderzoek van het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.nl. Flame werd begin dit jaar ontdekt. Het bleek een zeer geavanceerd, maar met 20MB in omvang, ook een heel groot spionagevirus te zijn.

De malware wist lange tijd onopgemerkt slachtoffers te bespioneren en allerlei gevoelige documenten te stelen. In een vervolgrapport publiceerde Kaspersky Lab een analyse van een Command & Control-server van Flame, waarmee de aanvallers besmette computers aanstuurden. Tijdens de analyse werden acht Nederlandse IP-adressen gezien, Kaspersky Lab zette vervolgens in het rapport dat er acht slachtoffers in Nederland waren. Dat riep Kamervragen op van SP-Kamerlid Sharon Gesthuizen.

IP-adressen
Minister Opstelten van Veiligheid en Justitie gaf deze week antwoord en stelde dat er voor zover bekend geen infecties in Nederland hebben plaatsgevonden. Ronald Prins van Fox-IT liet vervolgens via Twitter weten dat de door Kaspersky waargenomen IP-adressen afkomstig van Tor exit-nodes waren. Dat zou niet alleen de locatie, maar ook het aantal slachtoffers op losse schroeven zetten.

Meerdere machines zouden op deze manier verbinding kunnen maken, terwijl de onderzoekers alleen maar een handjevol Tor exit-nodes zouden zien. Een andere mogelijkheid is dat een machine via verschillende Tor exit-nodes verbinding maakt, waardoor het lijkt alsof er meerdere infecties zijn.

Tor is een anonimiseringsnetwerk waarbij het verkeer over verschillende nodes loopt en het bijna onmogelijk is om vast te stellen waar vandaan een bepaalde gebruiker opereert. De laatste node, waar het verzoek van de gebruiker uitkomt, bijvoorbeeld om een website te bekijken, is een Tor exit-node.

Slachtoffers
Toen Kaspersky Flame ontdekte heeft het de Nederlandse IP-adressen met een aantal instanties gedeeld, hoewel Raiu niet wil zeggen welke dit precies waren. "Toen konden ze de IP-adressen en clients controleren. Als de overheid vervolgens zegt dat er geen slachtoffers zijn kan ik daar volledig achter staan."

Raiu besloot de Nederlandse IP-adressen nog eens te bekijken, maar kon niet vaststellen dat het om Tor exit-nodes ging. "Zonder grondige controle is het lastig om te bepalen of het om Tor gaat." Wel kan de onderzoeker stellen dat het om proxies of VPN-verbindingen of virtual private servers ging. "Gegeven dat de meeste Flame-slachtoffers Windows gebruiken, is het vreemd om VPS verbindingen te zien."

Van alle acht de IP-adressen denkt Raiu dat het om VPN of geanonimiseerde verbindingen gaat. Aan de hand van het aantal verbindingen van de IP-adressen stelt Kaspersky dat het éémn of meerdere slachtoffers betreft. "Aan de hand van de timers die Flame gebruikt, lijkt het erop dat achter elk IP-adres één slachtoffer van Flame zit."

Flame zou vanaf besmette computers met specifieke vertragingen verbinding met de Command & Contol-server maken. Van de gevonden IP-adressen werd een klein aantal verbindingen waargenomen, wat overeenkomt met het gedrag van een uniek slachtoffer.

Bewijs
In tegenstelling tot de geavanceerde malware Gauss, dat voor elk slachtoffer een aparte identifier gebruikte, beschikt Flame niet over een dergelijk telmechanisme. Bij Gauss was het daardoor mogelijk de slachtoffers te tellen ook al maakten ze verbinding vanaf andere IP-adressen. In het geval van Flame is dat niet mogelijk.

In het overzicht van Kaspersky werden in totaal zo'n 5.000 slachtoffers genoemd. De meesten daarvan bevonden zich in Iran. De in het rapport gepubliceerde gegevens zijn afkomstig van een Command & Control-server die over een periode van twee weken werd geanalyseerd. Aangezien de campagne verschillende jaren liep voordat die ontdekt werd en de aanvallers 30 verschillende Command & Control-servers gebruikten, schat Raiu het wereldwijde aantal Flame-slachtoffers op rond de 10.000.

Eind mei werd detectie van Flame aan de Kaspersky virusscanner toegevoegd. Daardoor werden wereldwijd 500 infecties gevonden. Een laag aantal, wat Raiu doet vermoeden dat de meeste slachtoffers geen virusscanner gebruikten of dat Flame zichzelf van de machine verwijderde. De malware werd na de ontdekking uitgebreid met een module genaamd 'shredder', die alle sporen van Flame moest vernietigen.

Morgen het tweede deel van het interview met Costin Raiu over Flame

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.