image

Geavanceerde Snake-rootkit besmette Belgisch ministerie

dinsdag 13 mei 2014, 10:06 door Redactie, 9 reacties
Laatst bijgewerkt: 14-05-2014, 09:21

Een zeer geavanceerde rootkit genaamd Snake heeft computers van het Belgische Ministerie van Buitenlandse Zaken geïnfecteerd. Dat laten bronnen aan de Belgische krant De Standaard weten. Vorige week werd bekend dat aanvallers via de malware documenten over de Oekraine hadden gestolen.

Nu blijkt dat het in ieder geval om één vertrouwelijk diplomatiek rapport over de Oekraïne gaat. Het verslag in kwestie werd naar verluidt via een onbeveiligde mailbox van een ambtenaar van Buitenlandse Zaken verstuurd. Vanwege de infectie werd gisteren besloten om alle computers binnen het ministerie van het internet af te sluiten. Dit was nodig om verdere diefstal van documenten tegen te gaan en de malware van de machines te verwijderen.

Snake

Snake staat ook bekend als Uroburos en werd eind februari ontdekt. Volgens het Duitse anti-virusbedrijf G Data kan de malware vertrouwelijke documenten stelen en netwerkverkeer onderscheppen. Vanwege het rootkit-onderdeel is Snake daarnaast zeer lastig te identificeren. De virusbestrijder noemde Snake zelfs één van de meeste geavanceerde rootkits ooit ontdekt. De malware zou dan ook door zeer ervaren programmeurs ontwikkeld zijn.

Verder onderzoek naar Snake wees uit dat de rooktit de beveiliging van de Windowskernel op een geheel nieuwe manier omzeilt. Zowel G Data als beveiligingsbedrijf BAE Systems, dat een uitgebreide analyse van Snake publiceerde, stellen dat de malware specifiek voor cyberspionage is ontwikkeld. Volgens BAE Systems zou de malware al sinds 2005 actief zijn. Wie Snake heeft ontwikkeld of gebruikt is onbekend.

Reacties (9)
13-05-2014, 10:10 door Mysterio
Geeft dit misschien de inspiratie aan de verschillende AV-boeren om mee te doen in de discussie of traditionele AV dood is?
13-05-2014, 10:41 door [Account Verwijderd]
[Verwijderd]
13-05-2014, 10:54 door Mysterio
Door Peter V.:
Door Mysterio: Geeft dit misschien de inspiratie aan de verschillende AV-boeren om mee te doen in de discussie of traditionele AV dood is?
Wat ik graag zou willen weten of onze Belgische vrienden deze documenten wel versleuteld hadden?
De Tijd meldt dat de premier al had aangegeven dat er extra geld beschikbaar was gesteld om de ICT op orde te brengen naar aanleiding van de PRISM onthullingen, maar dat het geld niet geïnvesteerd was.

Ik heb zo'n koffiebruin vermoeden dat versleuteling nog niet meer is geweest dan een puntje op een agenda.
13-05-2014, 12:13 door Anoniem
Als het via een onbeveiligde inbox in te zien was dan zal het document zelf hoogstwaarschijnlijk niet versleuteld geweest zijn. Een andere optie zou zijn dat de rootkit het wachtwoord heeft onderschept of de cryptokey uit het geheugen gevist.
13-05-2014, 12:51 door Anoniem
Sengoku kan een verwijzing zijn naar: http://en.wikipedia.org/wiki/Sengoku_period

"A period in Japanese history marked by social upheaval, political intrigue and near-constant military conflict."

"The "eastern" army of the Hosokawa family and its allies clashed with the "western" army of the Yamana."

Samen met de gevonden namen in de code lijkt het op een Oost-Europese/Russische actie te lijken. Of iemand wil het daar op laten lijken. Tja, attributie is een groot probleem ...
13-05-2014, 19:08 door Anoniem
Door Anoniem: Of iemand wil het daar op laten lijken. Tja, attributie is een groot probleem ...

Dat is altijd een leuk spelletje.
13-05-2014, 21:30 door [Account Verwijderd]
het gaat wel over buitenlandse zaken en niet binnenlandse zaken......
http://datanews.knack.be/ict/nieuws/buitenlandse-zaken-gehackt-met-spionagevirus-snake/article-4000621519289.htm
btw eindelijk heeft onze eerste minister goedkeuring gegeven voor 10 miljoen euro vrij te geven voor cybersecurity van Belgie.
14-05-2014, 11:24 door Mysterio
Door mitchell: het gaat wel over buitenlandse zaken en niet binnenlandse zaken......
http://datanews.knack.be/ict/nieuws/buitenlandse-zaken-gehackt-met-spionagevirus-snake/article-4000621519289.htm
btw eindelijk heeft onze eerste minister goedkeuring gegeven voor 10 miljoen euro vrij te geven voor cybersecurity van Belgie.
Die goedkeuring lag er al een tijdje, er was alleen nog niets mee gedaan.
14-05-2014, 11:43 door Anoniem
Een leuke Tom Clancy plot...

NSA-tech> shit, ze hebben onze malware ontdekt
NSA-bobo> probeer de selfdestruct
NSA-tech> werkt niet!
NSA-bobo> zoek naar russische documenten !
NSA-tech> shit, geen russische, maar wel iets wat er op lijkt..
NSA-bobo> Ah, oekrains, nog mooier. stuur deze via de onbeveiligde server naar buiten, dan vinden zelfs die BELGEN het nog wel.
NSA-tech> done...

Jammer is wel dat dankzij de NSA Tom Clancy boeken niet meer fictie zijn :-(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.