De zeer geavanceerde spionage-rootkit genaamd Snake die het Belgische Ministerie van Buitenlandse Zaken infecteerde is nog steeds in Europa en het Midden-Oosten actief, zo meldt het anti-virusbedrijf Kaspersky Lab. De virusbestrijder onderzocht de spionagecampagne de afgelopen 10 maanden.
Snake staat ook bekend als Uroburos en werd eind februari ontdekt. Volgens het Duitse anti-virusbedrijf G Data kan de malware vertrouwelijke documenten stelen en netwerkverkeer onderscheppen. Vanwege het rootkit-onderdeel is Snake daarnaast zeer lastig te identificeren. De virusbestrijder noemde Snake zelfs één van de meeste geavanceerde rootkits ooit ontdekt. De malware zou dan ook door zeer ervaren programmeurs ontwikkeld zijn.
Kaspersky onderzocht onder andere hoe de malware zich verspreidt. De aanvallers blijken verschillende tactieken te gebruiken. Zo worden er drinkplaats-aanvallen gebruikt waarbij potentiële slachtoffers worden aangevallen via websites die ze al uit zichzelf bezoeken. Bij deze aanvallen worden bekende Java-lekken aangevallen en lekken in Flash Player en Internet Explorer 6,7 en 8 die niet konden worden geïdentificeerd.
Ook werd social engineering bij deze drinkplaats-aanvallen toegepast. Bezoekers kregen een pop-up te zien dat ze Flash Player moesten updaten, terwijl dit eigenlijk malware was. Verder werden er ook spear phishingaanvallen uitgevoerd en maakten de aanvallers gebruik van bijlagen die op .SCR eindigden. Een in Windows uitvoerbaar bestand. In het geval van de spear phishingaanvallen werden een lek in Adobe Reader en een rechtenlek in Windows XP en Server 2003 gebruikt.
Symantec laat in deze analyse weten dat de groep achter Snake sinds september 2012 zeker 84 legitieme websites heeft gekaapt voor het uitvoeren van de drinkplaats-aanvallen. Het gaat onder andere om websites van verschillende overheden en internationale agentschappen. Bezoekers van deze gehackte websites werden doorgestuurd naar een webserver waar een "fingerprinting" script werd uitgevoerd.
Dit script verzamelde identificerende informatie over de computer van de bezoekers. Volgens Symantec ging het hier vooral om het verzamelen van inlichtingen over welke browsers en plug-ins bezoekers gebruikten. Dat hielp bij het bepalen van de exploits die het beste zouden kunnen werken.
In de analyse van de spionagecampagne stelt Kaspersky Lab dat de aanvallers tenminste twee zero day-exploits hebben gebruikt waarvoor op het moment van de aanvallen nog geen patch beschikbaar was. Voor zover bekend was het Adobe Reader-lek echter al gepatcht voordat er misbruik van werd gemaakt, iets wat Kaspersky ook tegen Security.NL bevestigt. Voor het lek in Windows XP en Server 2003 bestond op het moment van de aanvallen geen update, maar dit lek kon alleen worden gebruikt in combinatie met een ander lek.
"Op het moment dat de eerste aanvallen werden ontdekt die deze [Adobe - red.] exploit gebruikten, in november 2013, was er inderdaad al een patch beschikbaar. De exploit kan mogelijk tussen november 2012, toen het lek voor het eerst aan het Zero Day Initiative werd gemeld, en augustus zijn gebruikt, maar dat weten we niet zeker", zegt Costin Raiu van Kaspersky Lab tegenover Security.NL.
De virusbestrijder stelt in deze analyse dat het rechtenlek gecombineerd werd met het lek in Adobe Reader. Zodra de aanvallers toegang tot het systeem hadden werd er een backdoor geïnstalleerd. Na verloop van tijd werd de backdoor geüpgraded. Soms bleven beide backdoors op het systeem staan als een vorm van back-up. Als de communicatie met de ene backdoor verloren ging kon die door de ander worden gered.
De malware zou sinds die ontdekt werd honderden computers in meer dan 45 landen hebben geïnfecteerd. Het gaat om ministeries van Buitenlandse Zaken, Handel en Commercie en Binnenlandse Zaken, verschillende ambassades, inlichtingendiensten, farmaceutische bedrijven, onderwijsinstellingen en zelfs het leger in een EU-land zou getroffen zijn. In totaal zouden 13 IP-adressen in Nederland met Snake besmet zijn geraakt. Hoewel de Snake-campagne al verschillende keren in het nieuws is gekomen gaan de aanvallers nog steeds door. De laatste detectie dateert van 5 augustus.
Deze posting is gelocked. Reageren is niet meer mogelijk.