F-Secure: spionagegroep werkt voor Russische overheid
Een groep cyberspionnen werkt al sinds 2008 voor de Russische overheid en is verantwoordelijk voor verschillende spionagecampagnes waarbij inlichtingen op het gebied van buitenlands beleid en veiligheid werden buitgemaakt, zo claimt het Finse anti-virusbedrijf F-Secure in een uitgebreid rapport (pdf).
De groep wordt "Duke" genoemd en is al zeker 7 jaar actief. Voor het infecteren van doelwitten worden voornamelijk spear phishingmails gebruikt. De berichten bevatten besmette bijlagen, zoals een apenfilmpje, of links naar een website die malware via een ongepatcht beveiligingslek probeert te installeren. Op één kwetsbaarheid na, in Adobe Reader, waren alle beveiligingslekken die de groep aanviel op het moment van de aanvallen al gepatcht.
Slachtoffers hadden zich dan ook kunnen beschermen door beveiligingsupdates tijdig te installeren. De enige keer dat er geen spear phishing werd gebruikt was bij de 'OnionDuke' malware. Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid. Zodra Tor-gebruikers een programma via het Tor-netwerk binnenhaalden werd er in real-time malware aan het bestand toegevoegd.
Rusland
Het toeschrijven van aanvallen aan een bepaald land is zeer lastig, maar in dit geval zegt F-Secure dat de spionagegroep door de Russische overheid wordt gesponsord. Daarvoor baseert de virusbestrijder zich op de motivatie en doelen van de groep. "Op basis van wat we nu over de doelwitten weten die Duke de afgelopen 7 jaar koos, gaat het consistent om entiteiten die met buitenlands beleid en veiligheidszaken verband houden", aldus het Finse anti-virusbedrijf.
De voornaamste partij die van het werk van de cyberspionnen profiteert is de Russische overheid, zo stelt F-Secure. Zo zijn er Russische woorden in de Duke-malware aangetroffen en is de groep actief tijdens kantooruren in Rusland. Verder bestaan de doelwitten uit Oost-Europese ministeries van Buitenlandse Zaken, westerse denktanken en overheidsinstanties en zelfs Russisch sprekende drugsdealers. "Al het beschikbare bewijs suggereert volgens ons dat de groep voor Rusland werkt en we zijn niet bekend met bewijs dat anders laat zien."
Reacties (23)
17-09-2015, 13:36 door
potshot
heh jammer nou toch dat het niet over amerika gaat want dan waren er hier 30+ flames/reacties,maar nu ..
waar is snowden ?
waar is snowden ?
17-09-2015, 14:24 door
User2048
Door Anoniem: Dit is geen spear phishing maar targeted attack. F-Secure onwaardig.
Spear phishing is spear phishing. Spear phishing is ook een targeted attack. Maar niet iedere targeted attack is spear phishing. Snap je? F-Secure snapt het wel.Door User2048:
Door Anoniem: Dit is geen spear phishing maar targeted attack. F-Secure onwaardig.
Spear phishing is spear phishing. Spear phishing is ook een targeted attack. Maar niet iedere targeted attack is spear phishing. Snap je? F-Secure snapt het wel.Nee dat heb je helemaal mis.
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid.
Het wordt toch eens tijd dat de redactie het onderscheid leert maken tussen het Tor netwerk, en Torrent bestanden.Door Anoniem:
Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid.
Het wordt toch eens tijd dat de redactie het onderscheid leert maken tussen het Tor netwerk, en Torrent bestanden.Misschien kun je je eerst in de materie verdiepen voordat je zomaar iets neerzet....
"Trojaans paard via Tor-netwerk en torrents verspreid
De Russische Tor-node die onlangs werd ontdekt en malware aan downloads toevoegde, blijkt een Trojaans paard te hebben verspreid dat voor gerichte aanvallen was bedoeld. Daarnaast werd de malware ook verspreid via geïnfecteerde torrents, zo meldt het Finse anti-virusbedrijf F-Secure."
https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid
Door User2048:
Door Anoniem: Dit is geen spear phishing maar targeted attack. F-Secure onwaardig.
Spear phishing is spear phishing. Spear phishing is ook een targeted attack. Maar niet iedere targeted attack is spear phishing. Snap je? F-Secure snapt het wel.Helemaal mee eens, spear phishing is een targeted attack. Het gaat namelijk niet om alleen inloggegevens via een phishingpagina:
Spear phishing may be defined as “highly targeted phishing aimed at specific individuals or groups within an
organization.” Coined as a direct analogue to spearfishing, spear phishing makes the use of information about a
target to make attacks more specific and “personal” to the target. Spear-phishing emails, for instance, may refer
to their targets by their specific name, rank, or position instead of using generic titles as in broader phishing
APT campaigns frequently make use of spear-phishing tactics because these are essential to get high-ranking
targets to open phishing emails. These targets may either be sufficiently aware of security best practices to avoid
ordinary phishing emails or may not have the time to read generic-sounding messages. Spear phishing significantly
raises the chances that targets will read a message that will allow attackers to compromise their networks. In
many cases, spear-phishing emails use attachments made to appear as legitimate documents because sharing via
email is a common practice among large enterprises and government organizations—the usual targets of APT
campaign
Check http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf
Door Anoniem:
Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid.
Het wordt toch eens tijd dat de redactie het onderscheid leert maken tussen het Tor netwerk, en Torrent bestanden.Waaruit haal jij uit dat ze het verschil niet weten? Ik vindt het vrij aannemelijk dat malware door zowel een Tor-server als een Torrent verspreid kan worden.
17-09-2015, 18:44 door
Rarsus
Door Anoniem:
Nee dat heb je helemaal mis.
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Door User2048:
Door Anoniem: Dit is geen spear phishing maar targeted attack. F-Secure onwaardig.
Spear phishing is spear phishing. Spear phishing is ook een targeted attack. Maar niet iedere targeted attack is spear phishing. Snap je? F-Secure snapt het wel.Nee dat heb je helemaal mis.
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Nee, dat klopt niet helemaal.
Spear phishing is een gerichte aanval via (bijvoorbeeld) mail om de ontvanger een malafide link of attachment te laten openen.
F-secure heeft het hier goed.
Spear phishing wordt in dit soortgevallen gebruikt als onderdeel van een targeted attack.
Nog even ter verduidelijking de gangbare definitie van een targeted attack (deze van Trend Micro):
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
17-09-2015, 18:59 door
Rarsus
Door Anoniem:
Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid.
Het wordt toch eens tijd dat de redactie het onderscheid leert maken tussen het Tor netwerk, en Torrent bestanden.Lees het artikel maar even. De redactie snapt het verschil wel.
Door Rarsus:
Door Anoniem:
Door User2048:
Spear phishing is een subtype van phishing. Phishing gaat altijd over het vissen naar iets, meestal inloggegevens of credit card gegevens of iets dergelijks. Spear phishing is doelgerichte phishing. Bijvoorbeeld email verzonden naar een voor de aanvallers bekend persoon met toegang tot een bankrekening met hoog saldo.
Nee, dat zou een zeer ongebruikelijke mix van twee verschillende soorten aanvallen zijn. Zulke uitspraken zaaien alleen maar verwarring.
Lees nog maar eens wat de echte definitie is: 14:40 door Anoniem:
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Overigens wordt bij sophisticated targeted attacks veelvuldig gebruik gemaakt van zero day of recent ontdekte exploits. Het doel is om data te stelen van de getroffen organisatie. Dit wordt doorgaans gedaan door geheime diensten van landen en door criminelen die de gestolen data verkopen aan landen of anderen die daar veel geld voor over hebben.
De malware wordt voor relatief weinig aanvallen gebruikt om zodoende onder de radar te blijven van antivirus scanners. Na verloop van tijd wordt de malware en de onbekende exploit vaak toch ontdekt. Dit wordt ook soms aangeduid met APT, advanced persistent threats, maar dat dekt de lading ook niet volledig. Het is wel advanced (sophisticated) en persistent, maar het is niet alleen een threat, het is een daadwerkelijke aanval.
Er wordt wat aangerommeld met de terminologie. Meestal door PR lieden. We hebben niet nodig dat mensen die het verschil kunnen weten ook al de verkeerde termen gaan gebruiken. Zoals het misbruik van het woord virus wanneer een trojan wordt bedoeld.
Door Anoniem: Dit is geen spear Spear phishing is een gerichte aanval via (bijvoorbeeld) mail om de ontvanger een malafide link of attachment te laten openen.
Spear phishing is een subtype van phishing. Phishing gaat altijd over het vissen naar iets, meestal inloggegevens of credit card gegevens of iets dergelijks. Spear phishing is doelgerichte phishing. Bijvoorbeeld email verzonden naar een voor de aanvallers bekend persoon met toegang tot een bankrekening met hoog saldo.
Spear phishing wordt in dit soortgevallen gebruikt als onderdeel van een targeted attack.
Nee, dat zou een zeer ongebruikelijke mix van twee verschillende soorten aanvallen zijn. Zulke uitspraken zaaien alleen maar verwarring.
Lees nog maar eens wat de echte definitie is: 14:40 door Anoniem:
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Overigens wordt bij sophisticated targeted attacks veelvuldig gebruik gemaakt van zero day of recent ontdekte exploits. Het doel is om data te stelen van de getroffen organisatie. Dit wordt doorgaans gedaan door geheime diensten van landen en door criminelen die de gestolen data verkopen aan landen of anderen die daar veel geld voor over hebben.
De malware wordt voor relatief weinig aanvallen gebruikt om zodoende onder de radar te blijven van antivirus scanners. Na verloop van tijd wordt de malware en de onbekende exploit vaak toch ontdekt. Dit wordt ook soms aangeduid met APT, advanced persistent threats, maar dat dekt de lading ook niet volledig. Het is wel advanced (sophisticated) en persistent, maar het is niet alleen een threat, het is een daadwerkelijke aanval.
Er wordt wat aangerommeld met de terminologie. Meestal door PR lieden. We hebben niet nodig dat mensen die het verschil kunnen weten ook al de verkeerde termen gaan gebruiken. Zoals het misbruik van het woord virus wanneer een trojan wordt bedoeld.
18-09-2015, 08:02 door
Rarsus
Ik snap dat als je niet weet wat phishing is, maar denkt dat dit zich beperkt tot het achterhalen van inlog gegevens, je deze denkfout maakt.
Zorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
Zorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
18-09-2015, 09:53 door
User2048
Door Rarsus: Nog even ter verduidelijking de gangbare definitie van een targeted attack (deze van Trend Micro):
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Ter aanvulling: in de uitleg over targeted attacks staat onder het kopje Point of entry onder andere spear phishing genoemd als methode.http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Misschien kun je je eerst in de materie verdiepen voordat je zomaar iets neerzet....
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Door Anoniem:
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Misschien kun je je eerst in de materie verdiepen voordat je zomaar iets neerzet....
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Het moet er ook niet staan. Lees https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid dan zie je dat de aanval via een Tor-server en torrent-bestanden liep. Er wordt dus GEEN torrent netwerk bedoeld.
Door User2048:
Door Rarsus: Nog even ter verduidelijking de gangbare definitie van een targeted attack (deze van Trend Micro):
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Ter aanvulling: in de uitleg over targeted attacks staat onder het kopje Point of entry onder andere spear phishing genoemd als methode.http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Ik was er toevallig bij toen de term targeted attack werd gecoined. Maar jij weet het kennelijk beter met je wiki en FAQ kennis.
Door Anoniem:
Het moet er ook niet staan. Lees https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid dan zie je dat de aanval via een Tor-server en torrent-bestanden liep. Er wordt dus GEEN torrent netwerk bedoeld.
Door Anoniem:
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Misschien kun je je eerst in de materie verdiepen voordat je zomaar iets neerzet....
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Het moet er ook niet staan. Lees https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid dan zie je dat de aanval via een Tor-server en torrent-bestanden liep. Er wordt dus GEEN torrent netwerk bedoeld.
Heel gek, ik lees zojuist het artikel dat je aanhaalt, en lees "De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden"
Dan lees je toch echt niet goed.
"In het geval van de kwaadaardige Tor-exitnode werden downloads van Tor-gebruikers vervangen door een "wrapper". Deze wrapper bevatte het originele bestand en het Trojaanse paard.Zodra de gebruiker de download opende werden zowel het Trojaanse paard als het originele bestand geïnstalleerd, waardoor de gebruiker dacht dat alles prima was verlopen. Aan de hand van de gevonden malware-exemplaren stelt F-Secure dat de aanvallers achter de malware al sinds oktober 2013 op deze manier bestanden van malware voorzien.
Sinds februari van dit jaar zou de malware zich ook op een andere manier verspreiden, namelijk torrent-bestanden. De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden."
Oftewel, "Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid". Dus torrent en het tor-netwerk zoals in de tekst staat en ik steeds herhaal!
"In het geval van de kwaadaardige Tor-exitnode werden downloads van Tor-gebruikers vervangen door een "wrapper". Deze wrapper bevatte het originele bestand en het Trojaanse paard.Zodra de gebruiker de download opende werden zowel het Trojaanse paard als het originele bestand geïnstalleerd, waardoor de gebruiker dacht dat alles prima was verlopen. Aan de hand van de gevonden malware-exemplaren stelt F-Secure dat de aanvallers achter de malware al sinds oktober 2013 op deze manier bestanden van malware voorzien.
Sinds februari van dit jaar zou de malware zich ook op een andere manier verspreiden, namelijk torrent-bestanden. De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden."
Oftewel, "Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid". Dus torrent en het tor-netwerk zoals in de tekst staat en ik steeds herhaal!
Door Rarsus: Ik snap dat als je niet weet wat phishing is, maar denkt dat dit zich beperkt tot het achterhalen van inlog gegevens, je deze denkfout maakt.
Zorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
Wat een onzinnige neerbuigende reactie van een zelfverklaarde professional. Je haalt echter je hele redenering onderuit door naar Trent Micro te verwijzen. Er is een zeer duidelijk verschil tussen spear phishing en targeted attack, al is het maar dat spear phishing gericht is op een een persoon en de targeted attack op gebruikte technologie. Het zou combineerbaar zijn, maar dat maakt de aanval minder efficiëntZorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
