Anti-virusbedrijf Kaspersky slachtoffer van cyberspionage
Het Russische anti-virusbedrijf Kaspersky Lab is eerder dit jaar het slachtoffer van cyberspionage geworden waarbij verschillende interne systemen met geavanceerde malware besmet raakten. Voor het verspreiden van de malware, die tijdens een interne beveiligingscontrole met een nieuw product werd ontdekt, gebruikten de aanvallers een onbekende kwetsbaarheid in de Windows-kernel, dat Microsoft gisteren patchte. Daarnaast sluit de virusbestrijder niet uit dat er ook twee andere zero day-kwetsbaarheden zijn gebruikt die op dit moment al gepatcht zijn.
De originele aanvalsvector is op dit moment nog onbekend, hoewel de aanvallers waarschijnlijk een spear phishingmail gebruikten. Bij één van de eerste slachtoffers bleek namelijk dat zijn mailbox en surfgeschiedenis was gewist om sporen van de aanval te verbergen. Aangezien de besmette machines volledig waren gepatcht denkt Kaspersky dat er een onbekende kwetsbaarheid is aangevallen. De aanval op het bedrijfsnetwerk zou geen impact op de anti-virussoftware of de klanten van het bedrijf hebben.
Volgens Kaspersky waren de aanvallers geïnteresseerd in het intellectueel eigendom van de virusbestrijder, alsmede de technologie van het bedrijf waarmee het spionageaanvallen detecteert en analyseert. Kaspersky stelt in een verklaring dat de beslissing van de aanvallers om de aanval uit te voeren waarschijnlijk zeer lastig was, aangezien die zeker ontdekt zou worden. "Het aanvallen van beveiligingsbedrijven geeft aan dat ze zeer veel vertrouwen hebben dat ze niet worden gepakt, of het ze misschien niets kan schelen als ze worden ontdekt."
Om niet te worden ontdekt verborg de malware zich voornamelijk in het geheugen van besmette computers. Het herstarten van de computer zou in dit geval betekenen dat de infectie verdween. Om computers toch permanent te besmetten infecteerden de aanvallers servers in het netwerk met een hoge up-time, die vervolgens de computers in het domein weer infecteerden. Deze aanpak heeft als nadeel dat bij een stroomstoring alle computers en servers ontsmet zouden zijn. Daarom werden op een klein aantal computers drivers geinstalleerd. Deze drivers kunnen verkeer van buiten het netwerk naar de binnenkant tunnelen. De aanvallers konden zo verbinding via remote desktopsessies maken of via eerder gestolen inloggegevens op servers inloggen.
Verenigde Staten
De aanval is volgens Kaspersky Lab uitgevoerd door de groep die eerder het zeer geavanceerde Duqu-virus maakte. Het Duqu-virus werd gekoppeld aan de organisatie die Stuxnet ontwikkelde. Volgens verschillende experts is Stuxnet door de Amerikaanse overheid gemaakt om het Iraanse atoomprogramma te verstoren. Verschillende geavanceerde spionageoperaties die aan de Amerikaanse overheid zijn toegeschreven werden de afgelopen jaren door Kaspersky Lab openbaar gemaakt.
Ook in het geval van Duqu 2.0, zoals de gebruikte malware wordt genoemd, is er volgens het Russische anti-virusbedrijf sprake van een door een staat uitgevoerde aanval. Dit soort campagnes zouden namelijk zeer kostbaar zijn en veel middelen vereisen. Het framework waarop Duqu 2.0 is gebouwd zou naar schatting 50 miljoen dollar kosten. Daarnaast is ook de afhankelijkheid van het platform van zero day-lekken opmerkelijk. Duqu 2.0 is daarnaast niet voor financiële motieven ontwikkeld, zoals met veel malware van cybercriminelen wel het geval is.
Naast Kaspersky Lab werd de malware ook tegen andere doelen ingezet. Wereldwijd zouden minder dan honderd infecties zijn waargenomen. Bij de eerste Duqu-versie ging het om minder dan vijftig doelen. Slachtoffers van versie 2.0 bevinden zich in westerse landen, het Midden-Oosten en Azië. Net als in 2011 zou ook Duqu 2.0 als doel hebben om het Iraanse atoomprogramma te bespioneren. Symantec meldt dat onder andere een Europese en Noord-Afrikaanse telecomaanbieder via de malware zijn aangevallen, alsmede een fabrikant van elektronische apparatuur in Zuid-Oost Azië.
Dus de alu-hoedjes die al jaren beweren dat Microsoft en Apple (beide onderdeel van het PRISM spionage programma, net als Google en Facebook) met opzet bepaalde lekken niet repareren om de Amerikaanse overheid (CIA/NSA) toegang
tot alle deze systemen te geven, krijgen steeds vaker gelijk.
Goed dat Linus Torvalds niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.
Ongetwijfeld gaat Amerika nu de "Usual Suspects", China, Noord-Korea, en Iran hier de van schuld geven.
Nu weten we dus ook hoe Amerika wereldwijd al onze computers gaat infecteren.
Het framework staat al klaar:
https://firstlook.org/theintercept/2014/03/12/nsa-plans-infect-millions-computers-malware/
Dus de alu-hoedjes die al jaren beweren dat Microsoft en Apple (beide onderdeel van het PRISM spionage programma, net als Google en Facebook) met opzet bepaalde lekken niet repareren om de Amerikaanse overheid (CIA/NSA) toegang
tot alle deze systemen te geven, krijgen steeds vaker gelijk.
De kans is namelijk een stuk groter dat de NSA zelf hiervoor op onderzoek is uit gegaan. En fouten gevonden heeft.
Goed dat Linus Torvaldsa niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.
De kunnen de fouten gewoon zo vinden. Dus scheelt de NSA een hoop werk, Mogelijke (ik heb geen bron) en lastige aanvallen die ze moeten uitvoeren)
Goed dat Linus Torvalds niet heeft toegegeven aan de druk van CIA/NSA om met opzet een backdoor aan te brengen.
Blatenly? Als je dan zo nodig Engelse woorden moet gebruiken doe het dan goed.
juist.....
Steeds meer redenen om Kaspersky te verwijderen van al mijn devices.
Gezien die gasten een eigen cloud service hosten, kan dit net zo goed aangevallen zijn.
Mij niet gezien meer.
En dat hele Duqu, who the hell cares qua consumers en reguliere bedrijven?
Ze targetten governmental en gerelateerde bedrijven, leuk dat men dit vol in de media knalt maar voor de average joe helemaal niet interessant.
Iets wat ze uitgebreid onderzoek hebben zou 3 jaar later nieuw zijn
http://www.wired.com/2012/03/duqu-mystery-language-solved/
Heeft u daar een bewijs, c.q. een linkje van?
U zegt namelijk dat Microsoft en Apple zelf absoluut niet capabel zijn om fouten in hun eigen software te vinden?
Natuurlijk ben ik het met u eens dat de NSA ook voortdurend naar zwakke plekken zoekt.
Maar op deze site heeft u ook kunnen lezen dat Microsoft al een paar keer gewaarschuwd
werd voor bepaalde lekken en deze lekken dan vervolgens gewoon jaren (!) laat zitten.
Leg dat dan eens uit.
"Perhaps a certain three-letter agency that asked Linus Torvalds to add backdoors to Linux might know."[.b]
Een backdoor voor Linux zou je het beste in het zwakste punt kunnen maken, namelijk de netwerk drivers.
Bijna niemand is er namelijk echt happig op om met de code hiervoor te werken.
Er gaat ook heel veel tijd in zitten om fouten uit een driver te halen.
Dus de kans op ontdekking is iets van "de (zeer) lange duur".
Jij zegt: "De kans is namelijk een stuk groter dat de NSA zelf hiervoor op onderzoek is uit gegaan. En fouten gevonden heeft." Geen linkje?
Ik denk dat je de NSA (Onderdeel van de CIA) niet goed inschat.
Ze zouden enorm veel specialisten voor alle systemen in dienst moeten nemen en dan enorm veel tijd moeten besteden aan het zoeken naar backdoors.
In de praktijk gebruiken ze veel snellere en goedkopere CIA methoden:
Ze bedreigen en / of chanteren bedrijven en /of individuele programmeurs om achter backdoors te komen.
Omkopen behoort ook de mogelijkheden. Een "leuk" weekendje in een geheime Poolse CIA gevangenis?
Alles kan en mag.
Dit onfrisse programma staat bekend onder de naam "BULLRUN".
Lees er over op "Schneier on Security": "How the NSA Gets Its Backdoors".
https://www.schneier.com/blog/archives/2013/10/defending_again_1.html
http://arstechnica.com/security/2015/06/stepson-of-stuxnet-stalked-kaspersky-for-months-tapped-iran-nuke-talks/
Maar op deze site heeft u ook kunnen lezen dat Microsoft al een paar keer gewaarschuwd
werd voor bepaalde lekken en deze lekken dan vervolgens gewoon jaren (!) laat zitten.
Leg dat dan eens uit.
..... ...
Er gaat ook heel veel tijd in zitten om fouten uit een driver te halen.
Dus de kans op ontdekking is iets van "de (zeer) lange duur".
De vraag die u stelt beantwoord u zelf in de eigen post.
Het zijn overigens alle grote It bedrijven die zich daar schuldig aan maken.
Het is de fear uncertaintity en doubt fud ofwel fud aanpak met de berichtgeving. De een kan beweren dat het een ernstig lek is en de werkelijkheid kan anders zijn. Dat is fud.
Het probleem is dat onafhankelijke toetsing van beweringen niet geregeld is dan blijft de onzekerheid ofwel fud.
Kritisch blijven is het belangrijkst. De commerciële zijn op winst uit kwaliteit komt pas als er met klachten en controles over afgeroepen worden. En financiële aansprakelijkheid daarbij rond is.
F-Secure was november 2014 ook doelwit van een hackende overheid. Dat deden ze netjes melden op hun weblog. En ook Kaspersky komt zelf over de brug met een succesvolle hack op hun systemen. Dat siert ze inderdaad, omdat gebruikers dan alert kunnen zijn. Er zijn ook bedrijven die met alle geweld iets dergelijks in de doofpot proberen te duwen zodat vaak enorme massa's mensen geen idee hebben welk risico ze lopen. Zoals Avm aanvankelijk probeerde met hun lekke FritzBox beheer portal waardoor van behoorlijk wat Xe4all klanten VoIP logins gestolen en misbruikt werden. En het rookgordijn van Xs4all omtrent de oorzaak niet te vergeten.
Doofpot praktijken moet een reden zijn om een bedrijf volledig te negeren, waar erkenning bedrijven juist moet belonen voor het belang van hun klanten te verdedigen ook als dit ten koste gaat van enkele abbonementen en dus een klein beetje omzet.
Maar het is inderdaad een griezelige constatering; als de elite onder de internet security bedrijven zich al niet meer kan verdedigen, wat is er dan nog veilig..? Hiermee wordt beveiligingssoftware ook steeds meer een risico dan een oplossing. AV draait met verhoogde rechten en beschikt over een updatemechanisme dat normaal gesproken naar buiten mag connecten. Als je AV software kan kapen via het (updatekanaal bv) heb je de ideale achterdeur.
Overigens die netwerk driver onder Linux is een heel goed voorbeeld, mogelijk zijn miljoenen computers besmet zonder dat dit te detecteren is op het apparaat zelf. Realtek is namelijk ook slachtoffer geweest van een hack, laat zij nu net in het thuiscomputer segment een enorm aandeel hebben. Er is misschien een kans dat de ontwikkelaars van een distributie de code van de driver zal controleren. Maar er zijn heel veel verschillende merken en versies van drivers en distributies. Lijkt me een best wel grote gok die je daarmee doet.
Wat ook interessant is, want als dat klopt, blijkt dat Israel rogue gegaan is, los van de NSA. Dus dat betekent ook dat de enige controle die in de VS verplicht is (wantrouwigheid jegens overheid Congress etc) nu helemaal wegvalt. Dat gaat ook impact hebben op de verhoudingen tussen de VS/NSA en Israel/U8200.
En waarschijnlijk is Duqu 3.0 ook al ergens bezig...de onderhandelingen zijn momenteel weer bezig in Geneve.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
