image

Officiële nieuwssite Noord-Korea verspreidt malware

dinsdag 13 januari 2015, 12:38 door Redactie, 3 reacties

De officiële nieuwssite van Noord-Korea blijkt malware te verspreiden, zo heeft een beveiligingsonderzoeker die zichzelf InfoSecOtter noemt ontdekt. Op de website van het Korean Central News Agency (KCNA) vond de onderzoeker een zip-bestand dat aan bezoekers wordt aangeboden en zich zogenaamd als update voor Flash Player voordoet.

In werkelijkheid blijken de twee exe-bestanden in het zip-bestand, genaamd "Install Flash Player 10 ActiveX.exe" en "Install Flash Player 10 Plugin.exe", malware te zijn, die door 42 van de 55 virusscanners op VirusTotal worden herkend. Opmerkelijk is ook dat de malware als Flash Player 10 wordt aangeboden, want Flash Player 16 is namelijk de meest recente versie. Wat de malware precies doet op een computer zal de onderzoeker in een volgende analyse bespreken. Op deze manier zou mogelijk duidelijk kunnen worden wie erachter zit, hoewel er geen garanties zijn merkt de onderzoeker op.

Ondanks het feit dat het internet in Noord-Korea zeer beperkt is en het land één internetprovider heeft, wil dat niet zeggen dat de systemen in het land immuun voor malware zijn, zo laat Andrew Conway van spambestrijder Cloudmark weten. Een Noord-Koreaans IP-adres blijkt namelijk met de Wapomi-worm besmet te zijn en te zijn gebruikt voor het versturen van spam. Ook anti-spamorganisatie Spamhaus bevestigt dat het IP-adres spam verstuurt en op een blocklist is geplaatst.

De malware in kwestie verspreidt zich via usb-sticks en gedeelde netwerkschijven en geeft aanvallers volledige controle over de computer. Onlangs stelde de FBI nog dat Noord-Korea achter de aanval op Sony zit, maar volgens Conway laat de malware-infectie zien dat het gebruik van een besmet Noord-Koreaans systeem door de aanvallers niet kan worden uitgesloten. "Tenzij de FBI meer specifieke details over hun dossier tegen Noord-Korea vrijgeeft, waaronder e-mailheaders en mailserverlogs, zullen sommige experts blijven twijfelen of ze het wel bij het rechte eind hebben", besluit hij.

Reacties (3)
13-01-2015, 14:06 door Erik van Straten
Mooier kun je het "bewijs" dat NK achter de Sony-hack zit niet onderuit halen...
13-01-2015, 14:23 door Anoniem
Mooier kun je het "bewijs" dat NK achter de Sony-hack zit niet onderuit halen...

Dit artikel zegt bar weinig over de Sony hack. Dat een host compromised kan zijn, dat weten we allemaal. In Noord Korea, of waar dan ook. Dit artikel voegt daar weinig aan toe.

Ook anti-spamorganisatie Spamhaus bevestigt dat het IP-adres spam verstuurt en op een blocklist is geplaatst.

Je kunt ook gewoon geheel Noord Korea blokkeren, indien je geen communicatie wenst met dat land. Hieronder de gehele public IP space van Noord Korea (alles daaracht gebruikt private IP's) :

175.45.176.0/24 Ryugyong-dong (North Korea)
175.45.177.0/24 Ryugyong-dong (North Korea)
175.45.178.0/24 Ryugyong-dong (North Korea)
175.45.179.0/24 Ryugyong-dong (North Korea)
13-01-2015, 17:13 door Erik van Straten
13-01-2015, 14:23 door Anoniem:
13-01-2015, 14:06 door Erik van Straten: Mooier kun je het "bewijs" dat NK achter de Sony-hack zit niet onderuit halen...

Dit artikel zegt bar weinig over de Sony hack. Dat een host compromised kan zijn, dat weten we allemaal.

Allemaal? Uit http://www.wired.com/2015/01/fbi-director-says-north-korean-hackers-sometimes-failed-use-proxies-sony-hack/:
By Andy Greenberg, 07-01-2015: “In nearly every case, [the Sony hackers known as the Guardians of Peace] used proxy servers to disguise where they were coming from in sending these emails and posting these statements. But several times they got sloppy,” FBI director James Comey said. “Several times, either because they forgot or because of a technical problem, they connected directly and we could see that the IPs they were using…were exclusively used by the North Koreans.”

“They shut it off very quickly once they saw the mistake,” he added. “But not before we saw where it was coming from.”

Daarnaast blijkt de door de NK ontwikkelde Linux variant kennelijk genaamd "Red Star OS" ook niet vulnerability-vrij, zie bijv. http://www.theregister.co.uk/2015/01/11/surprise_norks_linux_disto_has_security_vulns/.

M.a.w., dat een aanval vanaf een specifiek IP-adres lijkt te komen, wil nog helemaal niet zeggen dat de aanvaller een legitieme gebruiker is van dat IP-adres.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.