image

Opmerkelijke spionagesoftware in Nederland aangetroffen

vrijdag 4 juli 2014, 14:00 door Redactie, 3 reacties

Opmerkelijke spionagesoftware, die vorig jaar voor het eerst werd ontdekt en zich onder andere op de Belgische overheid richtte, is ook in Nederland actief geweest of nog steeds actief. Het gaat om de MiniDuke-backdoor, die door het anti-virusbedrijf Kaspersky Lab als zeer opmerkelijk wordt omschreven.

De malware is namelijk geschreven in de oude programmeertaal Assembler. Daarnaast gebruikt het een uniek mechanisme om met besmette computers te communiceren, waaronder het gebruik van Twitteraccounts. Als laatste verstuurt het updates door ze in GIF-bestanden te verstoppen, een vorm van steganografie. Verder gebruikt MiniDuke allerlei trucs om detectie te bemoeilijken.

Zo belast de lader van de malware de processor van een aangevallen computer een aantal minuten. Dit maakt niet alleen de analyse lastiger, maar kan ook het functioneren van beveiligingssoftware verstoren. Tevens gebruikt de malware ook een aparte methode om gestolen data te versturen, waarbij de data in kleine pakketjes van 3KB per stuk wordt opgedeeld, die vervolgens worden gecomprimeerd en versleuteld en in een container geplaatst.

Verspreiding

MiniDuke verspreidt zich via e-mailbijlagen, bijvoorbeeld via een document dat misbruik van een beveiligingslek maakt of als een uitvoerbaar bestand dat zich als een document voordoet. Eenmaal geopend kan MiniDuke allerlei soorten bestanden verzamelen en kan het uit een groot aantal programma's wachtwoorden stelen, alsmede toetsaanslagen opslaan.

Na de onthulling van MiniDuke vorig jaar zou de groep achter de malware de luwte hebben opgezocht, maar begin dit jaar zoud de activiteit weer zijn opgevoerd. Naast de oude MiniDuke, die vooral tegen overheidsinstanties is gericht, wordt er ook van een afgeleide variant gebruik gemaakt, genaamd CosmicDuke, die in de programmeertaal C/C++ is geschreven.

Deze malware richt zich tegen een veel grotere groep doelen, zoals energiebedrijven, telecomaanbieders en defensieleveranciers maar ook individuen die zich met de handel in gereguleerde en verboden middelen bezighouden, zoals hormonen en steroïden.

Landen

Op één van de MiniDuke-servers vonden onderzoekers een lijst met landen waar MiniDuke actief is, of is geweest. Het gaat om Australië, België, Frankrijk, Duitsland, Hongarije, Spanje, Oekraïne, de Verenigde Staten en ook Nederland. Slachtoffers in drie van deze landen zouden overheidsinstanties zijn, maar meer details geeft Kaspersky Lab niet.

Het is daardoor onduidelijk wat de impact van de malware in Nederland is en hoeveel organisaties er getroffen zijn. Verder blijft onduidelijk wie de malware heeft ontwikkeld of inzet. Uit de statistieken wanneer de malware is gemaakt blijkt dat de aanvallers vooral door de weeks actief zijn

Reacties (3)
04-07-2014, 16:18 door Vandy
Als je de beschrijving op securelist leest, is het eigenlijk gewoon een stukje vakwerk, met veel slimmigheden.
05-07-2014, 18:29 door Kakhark01
... een stukje vakwerk, dat is gechreven in de taal C/C++ en de oudere variant in assembly: Assembly is geen afgeleide dan wel een taal. De auteur beheerst kennelijk geen assembly.
07-07-2014, 16:36 door Eric-Jan H te D - Bijgewerkt: 07-07-2014, 16:37
oude programmeertaal Assembler

Assembler een oude taal? De meeste zo niet alle "hogere" talen worden
volgens mij nog steeds naar Assembler omgezet als tussentaal voordat
dat dan weer in het uiteindelijke binaire uitvoerbare bestand wordt vertaald.

Bij de tussenstap kan dan bovendien rekening gehouden worden met het
OS, platform en de instructieset waar de doeltaal op gaat draaien.

Wel is het zo dat er nog weinig direct in Assembler geschreven wordt. Dus
als er gestaan had: "de oude kunst van het schrijven in Assembler" dan was
dat meer correct geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.