image

Anti-virusbedrijf Kaspersky slachtoffer van cyberspionage

woensdag 10 juni 2015, 14:44 door Redactie, 17 reacties
Laatst bijgewerkt: 10-06-2015, 16:22

Het Russische anti-virusbedrijf Kaspersky Lab is eerder dit jaar het slachtoffer van cyberspionage geworden waarbij verschillende interne systemen met geavanceerde malware besmet raakten. Voor het verspreiden van de malware, die tijdens een interne beveiligingscontrole met een nieuw product werd ontdekt, gebruikten de aanvallers een onbekende kwetsbaarheid in de Windows-kernel, dat Microsoft gisteren patchte. Daarnaast sluit de virusbestrijder niet uit dat er ook twee andere zero day-kwetsbaarheden zijn gebruikt die op dit moment al gepatcht zijn.

De originele aanvalsvector is op dit moment nog onbekend, hoewel de aanvallers waarschijnlijk een spear phishingmail gebruikten. Bij één van de eerste slachtoffers bleek namelijk dat zijn mailbox en surfgeschiedenis was gewist om sporen van de aanval te verbergen. Aangezien de besmette machines volledig waren gepatcht denkt Kaspersky dat er een onbekende kwetsbaarheid is aangevallen. De aanval op het bedrijfsnetwerk zou geen impact op de anti-virussoftware of de klanten van het bedrijf hebben.

Volgens Kaspersky waren de aanvallers geïnteresseerd in het intellectueel eigendom van de virusbestrijder, alsmede de technologie van het bedrijf waarmee het spionageaanvallen detecteert en analyseert. Kaspersky stelt in een verklaring dat de beslissing van de aanvallers om de aanval uit te voeren waarschijnlijk zeer lastig was, aangezien die zeker ontdekt zou worden. "Het aanvallen van beveiligingsbedrijven geeft aan dat ze zeer veel vertrouwen hebben dat ze niet worden gepakt, of het ze misschien niets kan schelen als ze worden ontdekt."

Om niet te worden ontdekt verborg de malware zich voornamelijk in het geheugen van besmette computers. Het herstarten van de computer zou in dit geval betekenen dat de infectie verdween. Om computers toch permanent te besmetten infecteerden de aanvallers servers in het netwerk met een hoge up-time, die vervolgens de computers in het domein weer infecteerden. Deze aanpak heeft als nadeel dat bij een stroomstoring alle computers en servers ontsmet zouden zijn. Daarom werden op een klein aantal computers drivers geinstalleerd. Deze drivers kunnen verkeer van buiten het netwerk naar de binnenkant tunnelen. De aanvallers konden zo verbinding via remote desktopsessies maken of via eerder gestolen inloggegevens op servers inloggen.

Verenigde Staten

De aanval is volgens Kaspersky Lab uitgevoerd door de groep die eerder het zeer geavanceerde Duqu-virus maakte. Het Duqu-virus werd gekoppeld aan de organisatie die Stuxnet ontwikkelde. Volgens verschillende experts is Stuxnet door de Amerikaanse overheid gemaakt om het Iraanse atoomprogramma te verstoren. Verschillende geavanceerde spionageoperaties die aan de Amerikaanse overheid zijn toegeschreven werden de afgelopen jaren door Kaspersky Lab openbaar gemaakt.

Ook in het geval van Duqu 2.0, zoals de gebruikte malware wordt genoemd, is er volgens het Russische anti-virusbedrijf sprake van een door een staat uitgevoerde aanval. Dit soort campagnes zouden namelijk zeer kostbaar zijn en veel middelen vereisen. Het framework waarop Duqu 2.0 is gebouwd zou naar schatting 50 miljoen dollar kosten. Daarnaast is ook de afhankelijkheid van het platform van zero day-lekken opmerkelijk. Duqu 2.0 is daarnaast niet voor financiële motieven ontwikkeld, zoals met veel malware van cybercriminelen wel het geval is.

Naast Kaspersky Lab werd de malware ook tegen andere doelen ingezet. Wereldwijd zouden minder dan honderd infecties zijn waargenomen. Bij de eerste Duqu-versie ging het om minder dan vijftig doelen. Slachtoffers van versie 2.0 bevinden zich in westerse landen, het Midden-Oosten en Azië. Net als in 2011 zou ook Duqu 2.0 als doel hebben om het Iraanse atoomprogramma te bespioneren. Symantec meldt dat onder andere een Europese en Noord-Afrikaanse telecomaanbieder via de malware zijn aangevallen, alsmede een fabrikant van elektronische apparatuur in Zuid-Oost Azië.

Reacties (17)
10-06-2015, 15:22 door Anoniem
"gebruikten de aanvallers een onbekende kwetsbaarheid in de Windows-kernel."

Dus de alu-hoedjes die al jaren beweren dat Microsoft en Apple (beide onderdeel van het PRISM spionage programma, net als Google en Facebook) met opzet bepaalde lekken niet repareren om de Amerikaanse overheid (CIA/NSA) toegang
tot alle deze systemen te geven, krijgen steeds vaker gelijk.

Goed dat Linus Torvalds niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.

Ongetwijfeld gaat Amerika nu de "Usual Suspects", China, Noord-Korea, en Iran hier de van schuld geven.

Nu weten we dus ook hoe Amerika wereldwijd al onze computers gaat infecteren.
Het framework staat al klaar:

https://firstlook.org/theintercept/2014/03/12/nsa-plans-infect-millions-computers-malware/
10-06-2015, 16:40 door Anoniem
Grappig.. eigenlijk durft Kaspersky niet te zeggen dat ze blatenly aangevallen zijn door de NSA
10-06-2015, 16:59 door Anoniem
Door Anoniem:
"gebruikten de aanvallers een onbekende kwetsbaarheid in de Windows-kernel."

Dus de alu-hoedjes die al jaren beweren dat Microsoft en Apple (beide onderdeel van het PRISM spionage programma, net als Google en Facebook) met opzet bepaalde lekken niet repareren om de Amerikaanse overheid (CIA/NSA) toegang
tot alle deze systemen te geven, krijgen steeds vaker gelijk.
Je hebt hier ook een bron van?

De kans is namelijk een stuk groter dat de NSA zelf hiervoor op onderzoek is uit gegaan. En fouten gevonden heeft.


Goed dat Linus Torvaldsa niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.
Voordeel van OpenSource is, de bron code is gewoon beschikbaar. Dus waarom zou je moeilijk doen, om bij de bron code te komen? Ze kunnen de fouten zo vinden op het Internet.
De kunnen de fouten gewoon zo vinden. Dus scheelt de NSA een hoop werk, Mogelijke (ik heb geen bron) en lastige aanvallen die ze moeten uitvoeren)
10-06-2015, 17:12 door Anoniem
Door Anoniem:
Goed dat Linus Torvalds niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.
Inderdaad, alleen wil Linus Torvalds helaas niet grsecurity in de Linux kernel integreren, dit bevat technieken zoals PaX(DEP) en ASLR, die het uitvoeren van exploits bemoeilijken, en ook in Windows Vista en hoger standaard zijn. Er is ook haast geen distro die dit standaard toepast, waardoor gebruikers gedwongen worden om zelf de kernel met grsecurity te compilen, wat nou ook niet echt voor iedereen weggelegd is.
10-06-2015, 17:24 door FlamingFireFunky
Door Anoniem: Grappig.. eigenlijk durft Kaspersky niet te zeggen dat ze blatenly aangevallen zijn door de NSA

Blatenly? Als je dan zo nodig Engelse woorden moet gebruiken doe het dan goed.
10-06-2015, 18:26 door Anoniem
Dus men installeerde drivers op de machines en dit werd niet ontdekt voor een ruime tijd?
juist.....
Steeds meer redenen om Kaspersky te verwijderen van al mijn devices.
Gezien die gasten een eigen cloud service hosten, kan dit net zo goed aangevallen zijn.

Mij niet gezien meer.

En dat hele Duqu, who the hell cares qua consumers en reguliere bedrijven?
Ze targetten governmental en gerelateerde bedrijven, leuk dat men dit vol in de media knalt maar voor de average joe helemaal niet interessant.
10-06-2015, 20:06 door Anoniem
Wow, ik was vandaag nog aan het denken geweest om over te schakelen naar kaspersky! Dan maar toch voor het goedkopere alternatief gaan: Dr Web. antivirus voor 14 euro per jaar (zonder support).
10-06-2015, 20:37 door karma4
Bij de loodgieter lekt de kraan. Eenvoudiger kunnen we niet maken.
Iets wat ze uitgebreid onderzoek hebben zou 3 jaar later nieuw zijn
http://www.wired.com/2012/03/duqu-mystery-language-solved/
10-06-2015, 21:56 door Anoniem
@Anoniem 16:59.

De kans is namelijk een stuk groter dat de NSA zelf hiervoor op onderzoek is uit gegaan.

Heeft u daar een bewijs, c.q. een linkje van?

U zegt namelijk dat Microsoft en Apple zelf absoluut niet capabel zijn om fouten in hun eigen software te vinden?

Natuurlijk ben ik het met u eens dat de NSA ook voortdurend naar zwakke plekken zoekt.

Maar op deze site heeft u ook kunnen lezen dat Microsoft al een paar keer gewaarschuwd
werd voor bepaalde lekken en deze lekken dan vervolgens gewoon jaren (!) laat zitten.

Leg dat dan eens uit.

"Perhaps a certain three-letter agency that asked Linus Torvalds to add backdoors to Linux might know."[.b]

Een backdoor voor Linux zou je het beste in het zwakste punt kunnen maken, namelijk de netwerk drivers.
Bijna niemand is er namelijk echt happig op om met de code hiervoor te werken.
Er gaat ook heel veel tijd in zitten om fouten uit een driver te halen.
Dus de kans op ontdekking is iets van "de (zeer) lange duur".
10-06-2015, 22:56 door Anoniem
Aan de Anoniem van 16:59:

Jij zegt: "De kans is namelijk een stuk groter dat de NSA zelf hiervoor op onderzoek is uit gegaan. En fouten gevonden heeft." Geen linkje?

Ik denk dat je de NSA (Onderdeel van de CIA) niet goed inschat.
Ze zouden enorm veel specialisten voor alle systemen in dienst moeten nemen en dan enorm veel tijd moeten besteden aan het zoeken naar backdoors.

In de praktijk gebruiken ze veel snellere en goedkopere CIA methoden:

Ze bedreigen en / of chanteren bedrijven en /of individuele programmeurs om achter backdoors te komen.
Omkopen behoort ook de mogelijkheden. Een "leuk" weekendje in een geheime Poolse CIA gevangenis?
Alles kan en mag.

Dit onfrisse programma staat bekend onder de naam "BULLRUN".

Lees er over op "Schneier on Security": "How the NSA Gets Its Backdoors".

https://www.schneier.com/blog/archives/2013/10/defending_again_1.html
10-06-2015, 22:59 door [Account Verwijderd] - Bijgewerkt: 10-06-2015, 23:00
[Verwijderd]
10-06-2015, 23:23 door Anoniem
Interessanter dan OS troll discussies, hier verder lezen (voor wie inhoud interessant vindt) :

http://arstechnica.com/security/2015/06/stepson-of-stuxnet-stalked-kaspersky-for-months-tapped-iran-nuke-talks/
11-06-2015, 08:46 door Anoniem
Maar hoe zit het eigenlijk met de andere anti-virus boeren? Ik kan me niet voorstellen dat Kaspersky het enige slachtoffer is. Het siert Kaspersky dat ze ermee naar buiten komen maar er zullen er zat zijn die hun 'vuile was' niet buiten hangen. Hoe betrouwbaar zijn anti-virus producten eigenlijk nog? Dat een aantal producten achterdeuren bevatten om staats trojans niet te detecteren is inmiddels wel bekend maar als dergelijke bedrijven ook nog eens zelf geïnfecteerd raken dan is het einde natuurlijk helemaal zoek.
11-06-2015, 09:17 door karma4
Door Anoniem: @Anoniem 16:59.
Maar op deze site heeft u ook kunnen lezen dat Microsoft al een paar keer gewaarschuwd
werd voor bepaalde lekken en deze lekken dan vervolgens gewoon jaren (!) laat zitten.

Leg dat dan eens uit.
..... ...
Er gaat ook heel veel tijd in zitten om fouten uit een driver te halen.
Dus de kans op ontdekking is iets van "de (zeer) lange duur".

De vraag die u stelt beantwoord u zelf in de eigen post.
Het zijn overigens alle grote It bedrijven die zich daar schuldig aan maken.

Het is de fear uncertaintity en doubt fud ofwel fud aanpak met de berichtgeving. De een kan beweren dat het een ernstig lek is en de werkelijkheid kan anders zijn. Dat is fud.
Het probleem is dat onafhankelijke toetsing van beweringen niet geregeld is dan blijft de onzekerheid ofwel fud.

Kritisch blijven is het belangrijkst. De commerciële zijn op winst uit kwaliteit komt pas als er met klachten en controles over afgeroepen worden. En financiële aansprakelijkheid daarbij rond is.
11-06-2015, 13:02 door Anoniem
Door Anoniem: Maar hoe zit het eigenlijk met de andere anti-virus boeren? Ik kan me niet voorstellen dat Kaspersky het enige slachtoffer is. Het siert Kaspersky dat ze ermee naar buiten komen maar er zullen er zat zijn die hun 'vuile was' niet buiten hangen. Hoe betrouwbaar zijn anti-virus producten eigenlijk nog? Dat een aantal producten achterdeuren bevatten om staats trojans niet te detecteren is inmiddels wel bekend maar als dergelijke bedrijven ook nog eens zelf geïnfecteerd raken dan is het einde natuurlijk helemaal zoek.

F-Secure was november 2014 ook doelwit van een hackende overheid. Dat deden ze netjes melden op hun weblog. En ook Kaspersky komt zelf over de brug met een succesvolle hack op hun systemen. Dat siert ze inderdaad, omdat gebruikers dan alert kunnen zijn. Er zijn ook bedrijven die met alle geweld iets dergelijks in de doofpot proberen te duwen zodat vaak enorme massa's mensen geen idee hebben welk risico ze lopen. Zoals Avm aanvankelijk probeerde met hun lekke FritzBox beheer portal waardoor van behoorlijk wat Xe4all klanten VoIP logins gestolen en misbruikt werden. En het rookgordijn van Xs4all omtrent de oorzaak niet te vergeten.

Doofpot praktijken moet een reden zijn om een bedrijf volledig te negeren, waar erkenning bedrijven juist moet belonen voor het belang van hun klanten te verdedigen ook als dit ten koste gaat van enkele abbonementen en dus een klein beetje omzet.

Maar het is inderdaad een griezelige constatering; als de elite onder de internet security bedrijven zich al niet meer kan verdedigen, wat is er dan nog veilig..? Hiermee wordt beveiligingssoftware ook steeds meer een risico dan een oplossing. AV draait met verhoogde rechten en beschikt over een updatemechanisme dat normaal gesproken naar buiten mag connecten. Als je AV software kan kapen via het (updatekanaal bv) heb je de ideale achterdeur.

Overigens die netwerk driver onder Linux is een heel goed voorbeeld, mogelijk zijn miljoenen computers besmet zonder dat dit te detecteren is op het apparaat zelf. Realtek is namelijk ook slachtoffer geweest van een hack, laat zij nu net in het thuiscomputer segment een enorm aandeel hebben. Er is misschien een kans dat de ontwikkelaars van een distributie de code van de driver zal controleren. Maar er zijn heel veel verschillende merken en versies van drivers en distributies. Lijkt me een best wel grote gok die je daarmee doet.
11-06-2015, 14:25 door Anoniem
Het opmerkelijke in deze discussie is dat iedereen nu automatisch naar de VS wijst, terwijl de meest voor de hand liggende verdachte Israel is. Duqu 2.0 richtte zich op de de atoomonderhandelingen in Geneve en Wenen, waar Israel (die samen met de VS Duqu/Stuxnet ontwikkelde) niet bij mocht zijn. Latere berichten wezen op agressieve Israelische afluisteroperatie tijdens de onderhandelingen, waar zelfs de VS door geirriteerd was. Ergo, Unit 8200 heeft een follow-up gemaakt van Duqu en is losgegaan.

Wat ook interessant is, want als dat klopt, blijkt dat Israel rogue gegaan is, los van de NSA. Dus dat betekent ook dat de enige controle die in de VS verplicht is (wantrouwigheid jegens overheid Congress etc) nu helemaal wegvalt. Dat gaat ook impact hebben op de verhoudingen tussen de VS/NSA en Israel/U8200.

En waarschijnlijk is Duqu 3.0 ook al ergens bezig...de onderhandelingen zijn momenteel weer bezig in Geneve.
12-06-2015, 10:25 door Anoniem
Door Anoniem: Wat ook interessant is, want als dat klopt, blijkt dat Israel rogue gegaan is, los van de NSA.
Israël heeft altijd hun eigen ding moeten doen.

Dus dat betekent ook dat de enige controle die in de VS verplicht is (wantrouwigheid jegens overheid Congress etc) nu helemaal wegvalt. Dat gaat ook impact hebben op de verhoudingen tussen de VS/NSA en Israel/U8200.
Wat heeft het compleet uit de klauwen gelopen zooitje van overheidsdiensten die vooral zichzelf dienen in de VS te maken met Israël?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.