image

Spionagegroep zeer actief met zero days en usb-malware

zaterdag 5 december 2015, 06:28 door Redactie, 10 reacties

Een spionagegroep die al sinds 2008 actief is heeft dit jaar de activiteiten bijna vertienvoudigd en meerdere zero day-exploits en geavanceerde usb-malware ingezet. Dat meldt anti-virusbedrijf Kaspersky Lab. De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd.

De afgelopen maanden gebruikte de groep vijf zero day-exploits in Microsoft Office, Oracle Sun Java, Adobe Flash Player en Windows. Op het moment van de aanvallen waren er nog geen beveiligingsupdates beschikbaar. De groep heeft het vooral voorzien op defensiebedrijven die aan NAVO-landen leveren, maar ook overheidsinstellingen zijn regelmatig het doelwit geweest.

Usb-malware

Naast het gebruik van zero day-exploits werden ook de tools voor het stelen van gegevens verbeterd, waaronder de usb-malware waarmee offline computers worden aangevallen. Om gerichte aanvallen op netwerken te voorkomen is het gebruik van een 'air gap', een geïsoleerd netwerk waarbij de computers niet met internet zijn verbonden, een populaire verdedigingsmaatregel. De Sofacy-groep ontwikkelde usb-malware om dit te omzeilen. Op een al besmette computer wacht 'USB stealer', zoals de malware wordt genoemd, totdat er een usb-stick wordt aangesloten en plaatst daar vervolgens een Autorun-bestand op dat de malware op andere computers kan installeren.

De aanval werkt echter alleen op computers waar Autorun staat ingeschakeld. Standaard staat Autorun voor usb-apparaten op Windows 7 en nieuwere Windowsversies uitgeschakeld. In 2009 publiceerde Microsoft een update die deze maatregel op Windows XP en Vista doorvoerde. De update werd begin 2011 automatisch onder Windowsgebruikers verspreid. Eerder liet anti-virusbedrijf ESET al weten dat het regelmatig voorkomt dat systemen die offline zijn, juist doordat ze niet op internet zijn aangesloten, belangrijke beveiligingsupdates missen.

Maatregelen

Het afgelopen jaar is de Sofacy-groep één van de meest actieve spionagegroepen geworden. Toch zijn organisaties niet machteloos, aldus Kaspersky Lab. "De beste verdediging tegen gerichte aanvallen is een meerlaagse aanpak", aldus de virusbestrijder. Zo wordt een combinatie van patchmanagement, anti-malware, whitelisting en intrusion detection aangeraden. Het anti-virusbedrijf wijst naar onderzoek van de Australische overheid, waaruit blijkt dat 85% van de aanvallen via vier eenvoudige maatregelen is te voorkomen. "Hoewel 100% bescherming onmogelijk is, komt het in praktijk erop neer dat je je verdediging zo moet versterken dat het te kostbaar voor de aanvaller wordt, die dan opgeeft en andere doelwitten gaat zoeken", aldus Kaspersky Lab.

Image

Reacties (10)
05-12-2015, 06:36 door Anoniem
De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd.

Oftewel NSA / bigbrother
05-12-2015, 12:51 door Anoniem
Door Anoniem: De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd.

Oftewel NSA / bigbrother

Je hebt rusland verkeerd gespeld.

Lees je even in voordat je een domme post maakt
05-12-2015, 13:38 door Anoniem
"De groep heeft het vooral voorzien op defensiebedrijven die aan NAVO-landen leveren"

Oftewel Rusland.
05-12-2015, 18:23 door Anoniem
Er staat, "Vooral" dus niet alleen. Dus misschien toch NSA die wil weten hoe hun homeland meer aan deze defensiebedrijven kan leveren.
06-12-2015, 09:45 door Anoniem
Door Anoniem: Er staat, "Vooral" dus niet alleen. Dus misschien toch NSA die wil weten hoe hun homeland meer aan deze defensiebedrijven kan leveren.

En dat zou Rusland nooit doen ;) zelfs kaspersky noemt het een 'Russisch sprekende groep'. Dat ze daar geen snowden hebben betekent niet dat dat niet precies hetzelfde gebeurt, daar hebben ze alleen niet zo'n lastige democratie met mondige burgers.
06-12-2015, 19:57 door Anoniem
Door Anoniem:
Door Anoniem: Er staat, "Vooral" dus niet alleen. Dus misschien toch NSA die wil weten hoe hun homeland meer aan deze defensiebedrijven kan leveren.

En dat zou Rusland nooit doen ;) zelfs kaspersky noemt het een 'Russisch sprekende groep'. Dat ze daar geen snowden hebben betekent niet dat dat niet precies hetzelfde gebeurt, daar hebben ze alleen niet zo'n lastige democratie met mondige burgers.

Jezelf tegenspreken is ook een kunst.
Rusland heeft Snowden nu juist wel omdat in die schijndemocratie van u mondige burgers voor hun leven moeten vrezen en dientengevolge het land uit moeten vluchten.
Edward Snowden en Julian Assange zijn beiden bang door de CIA vermoord te worden.
Dezelfde CIA die volgens Bruce Schneier programmeurs dwingt om backdoors in hun software in te bouwen.
"The Government Wants Tech Companies to Give Them a Backdoor to Your Electronic Life "

"...the NSA decided to get its backdoors through subterfuge: by asking nicely, pressuring, threatening, bribing, or mandating through secret order. The general name for this program is BULLRUN."

https://www.schneier.com/blog/archives/2013/10/defending_again_1.html

Waarom heeft u het daar niet over? Vertel...
06-12-2015, 21:58 door Anoniem
Dat ze daar geen snowden hebben betekent niet dat dat niet precies hetzelfde gebeurt, daar hebben ze alleen niet zo'n lastige democratie met mondige burgers.

"mondige burgers" worden in Amerika opgepakt door de CIA en gaan een geheime Poolse CIA gevangenis in.
"CIA paid Polish officials as much as $50 million in cash to look the other way."

Nooit gehoord van Bradley Manning?
"Bradley Manning sentenced to 35 years in WikiLeaks case"

Edward Snowden moest vluchten vanwege zijn "mondigheid."
Géén enkel land ter wereld wilde hem asiel verlenen.
Waarom zou dat zijn?

Amerika wil dat Julian Assange ook spijt krijgt van zijn "mondigheid."
07-12-2015, 08:35 door Anoniem
Door Anoniem:

Waarom heeft u het daar niet over? Vertel...

Omdat het artikel daar niet over gaat. Denk je dat snowden bewust voor Rusland heeft gekozen? De situatie daar is erger dan in de VS (zoek maar eens op SORM). Net als andere landen waar hij naartoe wilde (zoals Venezuela) trouwens.

Bij alles teruggrijpen op 'ja maar de NSA doet het ook' helpt echt niet. Er zijn tientallen landen die hetzelfde doen.
07-12-2015, 10:29 door Anoniem
Russen? Misschien.
Of het zijn hele slimme Chinezen ;-)
08-12-2015, 00:19 door Anoniem
Sorry voor een eventuele dubbelpost. De captcha weigert nog al eens.

Door Anoniem:
Door Anoniem:

Waarom heeft u het daar niet over? Vertel...

Omdat het artikel daar niet over gaat. Denk je dat snowden bewust voor Rusland heeft gekozen? De situatie daar is erger dan in de VS (zoek maar eens op SORM). Net als andere landen waar hij naartoe wilde (zoals Venezuela) trouwens.

Bij alles teruggrijpen op 'ja maar de NSA doet het ook' helpt echt niet. Er zijn tientallen landen die hetzelfde doen.

Het is moeilijk een beschaafde discussie te voeren met iemand die zichzelf voortduren tegenspreekt
en alle vragen uit de weg gaat.

U bent het toch met mij eens dat U zèlf degene bent die zaken er bij haalt waar het artikel niet over gaat.
U haalt Snowden, mondige burgers en Amerika er bij.
Als iemand dan een kritische kanttekening plaatst dan is uw non-antwoord dat het artikel daar niet over gaat.
Nou nou.

U zegt: "Bij alles teruggrijpen op 'ja maar de NSA doet het ook' helpt echt niet"
Niemand hier zegt dat.

U bent (alweer) zelf degene die alle vragen uit de weg gaat met de drogreden:
"In Verweggistan is alles nog erger", daarmee voortdurend het gedrag van Amerika goedpratend.

U bent zelf begonnen over Amerika, geef dan ook eens gewoon antwoord
op de volgende vragen, zonder dus steeds alles maar goed te praten met
"In Verweggistan is alles nog erger".

1) Waarom moeten mondige burgers überhaupt Amerika ontvluchten?

2) Waarom heeft Amerika zijn eigen vrienden en bondgenoten een oorlog in gelogen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.