image

Trend Micro: cyberaanvallen vanuit Amsterdams datacentrum

donderdag 21 april 2016, 15:01 door Redactie, 16 reacties

Vanuit een datacentrum in Amsterdam worden gerichte cyberaanvallen op doelwitten van over de hele wereld uitgevoerd, zo stelt het Japanse anti-virusbedrijf Trend Micro. De aanvallen zijn afkomstig vanaf servers die bij een in Nederland opererende vps-hostingprovider worden gehost.

Virtual private servers (vps) zijn virtuele machines die op een fysieke server draaien. De vps-provider zelf is in de Verenigde Arabische Emiraten geregistreerd. De diensten van het bedrijf zouden door verschillende aanvalsgroepen worden gebruikt, waaronder een groep cyberspionnen genaamd 'Pawn Storm'. Deze groep voerde eerder aanvallen uit op de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie en een NAVO-lid. Daarnaast waren ook Linuxgebruikers een doelwit.

De vps-provider heeft volgens Trend Micro meerdere keren ip-reeksen voor korte periodes aangekondigd die aan Chili en Rusland waren toegekend. Dit lijkt op het eerste gezicht een fout te zijn, maar volgens de virusbestrijder zitten hier kwade bedoelingen achter en moeten op deze manier aanvallen onopgemerkt blijven. Tijdens de momenten dat de ip-reeksen zijn aangekondigd worden ze voor phishingsites en botnetservers gebruikt. Op het moment dat er klachten over de ip-reeksen binnenkomen zijn die al weer verwijderd en wordt dezelfde truc met een andere, 'schone' ip-reeks herhaald.

Naast cyberspionnen heeft het bedrijf volgens Trend Micro ook legitieme klanten. Gezien het misbruik dat van de vps-provider afkomstig is zal het anti-virusbedrijf de komende maanden het bedrijf nauwlettend in de gaten houden. Daarbij heeft Trend Micro ook vragen over de rol die Nederland hierin speelt. "Nederland heeft goede internetverbindingen en stabiele hostingproviders. Dit is één van de redenen waarom cybercriminelen en aanvallers de servers in dit land gebruiken. De kleine vps-provider in Amsterdam is niet de enige die aanvallers als Pawn Storm aantrekt", zegt onderzoeker Feike Hacquebord.

Hij wijst naar een Haags hostinbedrijf dat niet tegen ddos-aanvallen zou optreden. Vervolgens zou het bedrijf zich als een "offshore" webhostingbedrijf met een postbus in Panama hebben gepresenteerd. De diensten werden vervolgens door de Pawn Storm-groep gebruikt. "Experts stellen dat de financiële sector in Nederland kwetsbaar is voor belastingontwijkingsconstructies. Is de Nederlandse webhostingindustrie kwetsbaarheid voor constructies die anonimiteit aan cybercriminelen en cyberspionnen bieden?", vraagt Hacquebord zich af.

Vandaag liet de AIVD in het jaarrapport weten dat de Nederlandse ict-infrastructuur, net als voorgaande jaren, door statelijke actoren uit meerdere landen op grote schaal is misbruikt om andere landen digitaal te bespioneren of digitaal te saboteren. "Nederland staat bekend om zijn goede ict-infrastructuur waarover veel internetverkeer loopt. Dat maakt het netwerk aantrekkelijk voor kwaadwillenden. Dergelijk misbruik kan de politieke en economische belangen van Nederland en van zijn bondgenoten schaden", aldus de inlichtingendienst. De AIVD zegt dat het dit soort misbruik in het afgelopen jaar vaker heeft waargenomen.

Reacties (16)
21-04-2016, 15:35 door Anoniem
Die aanvallen heb ik gezien op de http://map.norsecorp.com/,niet alleen uit amsterdam,
maar ook uit rotterdam en den haag gericht op de usa.
21-04-2016, 16:43 door Anoniem
Erg flauw dat ze geen namen noemen, want in feite heb je er nu niks aan. Je kunt geen IP-reeksen bannen, je kunt niet je servers eventueel verhuizen als je daar zit. Hopelijk komt er snel duidelijkheid.
21-04-2016, 18:47 door Anoniem
Zal waarschijnlijk om Ecatel gaan: http://www.ecatel.info/contact.php
21-04-2016, 19:50 door Anoniem
Door Anoniem: Erg flauw dat ze geen namen noemen, want in feite heb je er nu niks aan. Je kunt geen IP-reeksen bannen, je kunt niet je servers eventueel verhuizen als je daar zit. Hopelijk komt er snel duidelijkheid.

Inderdaad, je moet gewoon namen noemen. Dan gaan normale klanten opzoek naar een andere leverancier. Dan heb je weer minder legitiem verkeer, waardoor het nog makkelijker wordt om die hele range te blokkeren. Waardoor de rest van de normale klanten gedwongen worden om een andere leverancier te zoeken. En dan is het snel afgelopen met dit soort bedrijven

Het zelfde doen trouwens mailing list providers. Dat mailchimp stuurt ontzettend veel spam uit, maar als je dan wat blokkeert gaan klanten klagen dat ze een nieuwsbriefje niet ontvangen.
Men moet zich realiseren dat goedkope/gratis diensten een ander verdienmodel hebben, waar je je misschien helemaal niet mee zou willen associeren.
21-04-2016, 20:10 door Anoniem
"het Japanse anti-virusbedrijf Trend Micro"

TIL
21-04-2016, 21:12 door Anoniem
Door Anoniem: Erg flauw dat ze geen namen noemen, want in feite heb je er nu niks aan. Je kunt geen IP-reeksen bannen, je kunt niet je servers eventueel verhuizen als je daar zit. Hopelijk komt er snel duidelijkheid.
Is het niet ECATEL dan? (of hoe heten die nu)
21-04-2016, 22:50 door Anoniem
Wat een slecht stuk onderzoek. Als je namens een commercieel beveiligingbedrijf ongefundeerd ophef maakt over aanvallen die je linkt aan een hostingbedrijfje en daarna meld dat je spullen verkoopt om je hiertegen te beveiligen dan ben je geen onderzoeker maar een verkoper.

Van de aanvallen die in het grafiekje staan valt een doorgewinterde security officer niet van zijn stoel. Het zijn vooral een redelijke hoeveelheid verschillende phishingaanvallen en een paar c2 services. Absoluut niet bijzonder. Daar zijn er dagelijks duizenden verschillende van. En ook geen duidelijkheid waarom deze aanvallen zo speciaal zijn of echt zo veel erger vergeleken met al die andere malware en phishing campagnes of c2 services. Uit niets blijkt ook waarom het om aanvallen van een heel bijzondere aanvaller zou gaan. Gewoon helemaal niets wat dit bijzonder maakt aan aanvallen.

Dat er aanvallen worden uitgevoerd door klanten van vps/hostingproviders is beweren dat sneeuw wit is. Met de informatie die de verkoper wel kwijt wil is heel makkelijk te achterhalen om welk bedrijfje het gaat. Een van de ontelbare providers die hzowel goedkope vpsjes als minder goedkope dedicated servers oplevert aanlevert aan heel veel klanten. Providers die datacentra met goede verbindingenvoor het uitkiezen hebben om hun apparatuur te plaatsen of reseller te spelen voor heel veel klanten met legitieme doelen en een deel minder fatsoenlijke klanten.

In plaats van verontwaardigd ongefundeerd heel belangrijk te doen en te klagen over een specifieke provider zou deze verkoper beter eens met oplossingen te komen en eerlijk te zijn over de motieven van het schrijfwerk.
22-04-2016, 08:53 door Anoniem
Ecatel is al jaren slecht bekend:
2010 http://www.ispam.nl/archives/16552/ecatel-heeft-met-meest-kwaadaardige-netwerk/
2013/2014 pdf download op http://hostexploit.com/ (plaats19)

naam wordt veranderd in Quasi Networks
2015 https://ejanic.com/ecatel-is-rebranding-to-quasi-networks/
22-04-2016, 09:48 door Anoniem
Tjonge jonge, werk je daar of zo?

Zo'n provider weet dondersgoed waar hij mee bezig is. Ik ben al blij als iemand wat aan de kaak stelt hiervan. Het feit dat je uberhaupt al naar boven komt drijven in een onderzoek zegt ook al genoeg.

Volgens mij realiseer je je niet wat voor kosten, dit soort 'providers' bij normale dienstverleners veroorzaken. Het wordt tijd dat zij de rekening voor hun rommel gepresenteerd krijgen.

PS. als wij hier lastig gevallen worden door een gehackte wordpress site, proberen we ook de eigenaar van de site of klanten van dat hostingbedrijf op de hoogte te brengen. En bieden wij onze diensten ter vervanging aan.
Ik adviseer ook andere providers, zo te werk te gaan.
22-04-2016, 10:05 door Anoniem
Door Anoniem: Wat een slecht stuk onderzoek. Als je namens een commercieel beveiligingbedrijf ongefundeerd ophef maakt over aanvallen die je linkt aan een hostingbedrijfje en daarna meld dat je spullen verkoopt om je hiertegen te beveiligen dan ben je geen onderzoeker maar een verkoper.

Van de aanvallen die in het grafiekje staan valt een doorgewinterde security officer niet van zijn stoel. Het zijn vooral een redelijke hoeveelheid verschillende phishingaanvallen en een paar c2 services. Absoluut niet bijzonder. Daar zijn er dagelijks duizenden verschillende van. En ook geen duidelijkheid waarom deze aanvallen zo speciaal zijn of echt zo veel erger vergeleken met al die andere malware en phishing campagnes of c2 services. Uit niets blijkt ook waarom het om aanvallen van een heel bijzondere aanvaller zou gaan. Gewoon helemaal niets wat dit bijzonder maakt aan aanvallen.

Dat er aanvallen worden uitgevoerd door klanten van vps/hostingproviders is beweren dat sneeuw wit is. Met de informatie die de verkoper wel kwijt wil is heel makkelijk te achterhalen om welk bedrijfje het gaat. Een van de ontelbare providers die hzowel goedkope vpsjes als minder goedkope dedicated servers oplevert aanlevert aan heel veel klanten. Providers die datacentra met goede verbindingenvoor het uitkiezen hebben om hun apparatuur te plaatsen of reseller te spelen voor heel veel klanten met legitieme doelen en een deel minder fatsoenlijke klanten.

In plaats van verontwaardigd ongefundeerd heel belangrijk te doen en te klagen over een specifieke provider zou deze verkoper beter eens met oplossingen te komen en eerlijk te zijn over de motieven van het schrijfwerk.

Het gaat hier met name om spionage aanvallen die bijna allemaal van dezelfde groep actoren komen: zeer specifieke aanvallen gericht tegen een zeer specifieke doelgroep (overheid en militair). Uit de data van de blog blijkt duidelijk dat dit al een jaar gaande is. Dit zijn geen doorsnee aanvallen. Ze komen van de groep die ook bekend staat als APT28. Uiteraard heb je gelijk dat er meer providers zijn met hetzelfde probleem. Maar net als de AIVD gisteren schreef in het jaarrapport, stelt de blog dat de Nederlandse hosting industrie een grote bron is van gerichte aanvallen op bevriende staten. Dat is wel degelijk als een probleem te beschouwen.
22-04-2016, 10:46 door Anoniem
Door Anoniem: Wat een slecht stuk onderzoek. Als je namens een commercieel beveiligingbedrijf ongefundeerd ophef maakt over aanvallen die je linkt aan een hostingbedrijfje en daarna meld dat je spullen verkoopt om je hiertegen te beveiligen dan ben je geen onderzoeker maar een verkoper.

Dit geldt voor 90% van alle persberichten over dit soort onderwerpen. Bedrijf X heeft gezien dat Y. En toevallig maakt
het bedrijf een betrokken produkt.

Wellicht zou men hier dat soort berichten wat minder eager kunnen overnemen, maar dan zijn er natuurlijk nog zat
anderen die dat wel doen.
22-04-2016, 15:08 door Anoniem
Door Anoniem: Het gaat hier met name om spionage aanvallen die bijna allemaal van dezelfde groep actoren komen: zeer specifieke aanvallen gericht tegen een zeer specifieke doelgroep (overheid en militair). Uit de data van de blog blijkt duidelijk dat dit al een jaar gaande is. Dit zijn geen doorsnee aanvallen. Ze komen van de groep die ook bekend staat als APT28. Uiteraard heb je gelijk dat er meer providers zijn met hetzelfde probleem. Maar net als de AIVD gisteren schreef in het jaarrapport, stelt de blog dat de Nederlandse hosting industrie een grote bron is van gerichte aanvallen op bevriende staten. Dat is wel degelijk als een probleem te beschouwen.

BS stelling. Uit niets blijkt dat het om geavanceerde aanvallen gaat. Uit niets blijkt dat het om een groepje met een bepaalde naam gaat. Uit niets blijkt waarom we deze verkoper zouden moeten geloven dat het allemaal zo erg is bij die provider(s) (en nee het is niet ecatel). Het bewijs wat wel is meegeleverd zijn wat algemene phishing pogingen en een paar c2 servicejes. Waarom zou het om geavanceerde aanvallen gaan? Die definitie geeft de verkoper niet eens. Voor wat het waard is zou een phishingpoging bij een overheidsbedrijf al om een geavanceerde aanval moeten gaan. Als het werkelijk geavanceerde aanvallen zouden zijn stond er niet zo'n belachelijk stukje op een blog post te klagen dat je bij providers makkelijk een maandje een vps of dedicated server kan huren om crimineeltje te spelen. Dat de hosting industrie in het algemeen gebruikt kan worden voor aanvallen is een feit, dat is geen nederlands probleem en al helemaal niet het probleem van een provider die door de verkoper van trendmicro wel heel makkelijk door het stof gaat om trendmicro er beter van te laten worden om hun spullen te verkopen. Er zit een verschil tussen agressieve marketing en gefundeerd onderzoek. Wat daar staat is puur agressieve marketing, compleet ongefundeerd.
22-04-2016, 15:54 door Anoniem
Door Anoniem: Tjonge jonge, werk je daar of zo?

Zo'n provider weet dondersgoed waar hij mee bezig is. Ik ben al blij als iemand wat aan de kaak stelt hiervan. Het feit dat je uberhaupt al naar boven komt drijven in een onderzoek zegt ook al genoeg..

Nee ik werk er niet. Waarom ik zo reageer? Leg ik graag uit. Bestrijden van criminaliteit zou voor securityprofessionals een serieuze bezigheid moeten zijn. marketing en verkooppraat dragen daar vaak niets aan bij en dit is een schoolvoorbeeld. Het ontwricht willens en wetens zelfs zaken om er zelf beter van te worden.

Als je als verkopend bedrijf niet eens de moeite neemt om aan te tonen waarom de aanvallen waarover je het hebt zo bijzonder of geavanceerd zijn. Als je niet eens de moeite neemt om aan te tonen waarom het bij een hostingbedrijfje dat je feitelijk bij naam noemt zo slecht geregeld zou zijn. Als je niet eens de moeite neemt om uit te leggen of het bedrijf zo enorm verschilt van de rest terwijl je wel noemt dat het (net als veel andere hosters) voornamelijk goede klanten lijkt te hebben. Als je niet eens de moeite neemt om uit te leggen wat er is gedaan om te pogen het hostingbedrijfje op verantwoordelijkheid te wijzen of te helpen of waarom niet. Dat alles bij elkaar valt geen onderbouwing te noemen om zo te gaan schrijven alsof het allemaal zo slecht is en je als beveiligingsbedrijf recht doet aan je eigen geklaag en verkooppraat.

Aan de hand van de ongefundeerde inhoud en de pijlen die de Nederlandse schrijver specifiek op een hostingbedrijfje richt krijg ik meer de indruk dat hij wat gefrustreerd is dat zijn onderzoekjes niet veel verder komen dan bij de gemiddelde hostingbedrijfjes waar ook tal van aanvallen vandaan komen.

Bestrijden van criminaliteit zou voor securityprofessionals een serieuze bezigheid moeten zijn. Als je dat wil verbeteren dan kom je met hard bewijs, niet met ongefundeerde praat waarin je niet aantoont dat je gelijk hebt of zelf goed bezig bent, willekeurig iemand door het slijk haalt en het dan over je producten gaat hebben. Als je niet eens basale zaken kan aantonen en je peilen dan richt op een van de vele hostingbedrijfjes dan is dat iets om tegen in verweer te komen als securityprofessionals. Niet omdat het zo goed geregeld is, maar omdat het verwerpelijk is dat iemand zich onderzoeker noemt en dan als een verkoper gaat lopen roddelen hoe slecht het elders gaat en jij zogenaamd de oplossing voor veel geld levert.
22-04-2016, 17:02 door Anoniem
Door Anoniem:
Door Anoniem: Het gaat hier met name om spionage aanvallen die bijna allemaal van dezelfde groep actoren komen: zeer specifieke aanvallen gericht tegen een zeer specifieke doelgroep (overheid en militair). Uit de data van de blog blijkt duidelijk dat dit al een jaar gaande is. Dit zijn geen doorsnee aanvallen. Ze komen van de groep die ook bekend staat als APT28. Uiteraard heb je gelijk dat er meer providers zijn met hetzelfde probleem. Maar net als de AIVD gisteren schreef in het jaarrapport, stelt de blog dat de Nederlandse hosting industrie een grote bron is van gerichte aanvallen op bevriende staten. Dat is wel degelijk als een probleem te beschouwen.

BS stelling. Uit niets blijkt dat het om geavanceerde aanvallen gaat. Uit niets blijkt dat het om een groepje met een bepaalde naam gaat. Uit niets blijkt waarom we deze verkoper zouden moeten geloven dat het allemaal zo erg is bij die provider(s) (en nee het is niet ecatel). Het bewijs wat wel is meegeleverd zijn wat algemene phishing pogingen en een paar c2 servicejes. Waarom zou het om geavanceerde aanvallen gaan? Die definitie geeft de verkoper niet eens. Voor wat het waard is zou een phishingpoging bij een overheidsbedrijf al om een geavanceerde aanval moeten gaan. Als het werkelijk geavanceerde aanvallen zouden zijn stond er niet zo'n belachelijk stukje op een blog post te klagen dat je bij providers makkelijk een maandje een vps of dedicated server kan huren om crimineeltje te spelen. Dat de hosting industrie in het algemeen gebruikt kan worden voor aanvallen is een feit, dat is geen nederlands probleem en al helemaal niet het probleem van een provider die door de verkoper van trendmicro wel heel makkelijk door het stof gaat om trendmicro er beter van te laten worden om hun spullen te verkopen. Er zit een verschil tussen agressieve marketing en gefundeerd onderzoek. Wat daar staat is puur agressieve marketing, compleet ongefundeerd.

Ik weet niet of je de blog goed gelezen hebt. Er staat een legenda bij het plaatje met drie groepen actoren: "Pawn Storm" (=APT28), "DustySky" (niet zo geavanceerd inderdaad) en "Unknown". Wellicht had je dat gemist (wat niet vreemd zou zijn, het plaatje is niet zo heel duidelijk). Daarbij is er ook nog een link met een redelijk gedetailleerde lijst onderaan de blog (verwijst naar hxxp://documents.trendmicro.com/assets/appendix_looking-into-a-cyber-attack-facilitator-in-the-netherlands.pdf).

Je mag dit natuurlijk "agressieve" marketing noemen of allemaal onzin etc. Dat staat je uiteraard helemaal vrij. Maar ik denk dat je dan alle informatie die wordt gegeven niet goed hebt gelezen. Het gaat hier zeker niet om algemene phishing: credential phishing gericht op het MH17 onderzoeksteam, phishing gericht op het leger van UAE etc, phishing gericht tegen een Turkse krant etc etc, dat heeft een duidelijk doel: spionage. Om je beter te informeren zou je hxxp://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts eens kunnen doornemen. Ben benieuwd of je dan bij je mening blijft.
22-04-2016, 19:00 door Anoniem
Er staat een legenda bij het plaatje met drie groepen actoren: "Pawn Storm" (=APT28), "DustySky" (niet zo geavanceerd inderdaad) en "Unknown". Daarbij is er ook nog een link met een redelijk gedetailleerde lijst
Gezien.

Grootste deel van het lijstje en de grafiek overstijgt de gemiddelde kenmerken van phishing niet. Inclusief waar trend micro pawn storm bij noemt en spionage als magic woord bij sleept voor aandacht.

Phishen naar gegevens van bekende bedrijven, overheden,of juridisch belangrijke groepen hoeven niet of nauwelijks te verschillen met phishing en malware die de gemiddelde internetter dagelijks voor de kiezen krijgt. En dat komt overal vandaan. De pogingen die ze onder pawn storm schuiven is niet geavanceerd te noemen. Het valt juist heel erg op en zou zeker bij de groepjes waar je bedacht moet zijn op spionage al helemaal op moeten vallen als amateuristische pogingen. Slachtoffers zijn de personen die zich onvoldoende realisere of een domeinnaam of mailtje terecht is, waar de meeste doorsnee slachtoffers in trappen. Ik weiger dat serieuze spionage of geavanceert te noemen. Wie daar in trapt is een sitting duck die waarschijnlijk niet met de gegevens moet omgaan waar de criminelen op uit zijn. En zulke aanvallen komen niet alleen van een specifieke hostingprovider die de verkoper hier probeert kappot te branden op basis van belabberd slechte phishing of het minste bewijs dat het echt heel erg is wat er bij die hoster aan de hand is vergeleken met de rest. De verkopers bij trend micro leven van het roepen over termen als spionage, APTs enz. En zonder heel duidelijk te zijn dat het echt veel erger is dan de gemiddelde phishing of oplichting of waarom het geavanceerd is doen die verhaaltjes nauwelijks recht aan de werkelijkheid terwijl ze met hun moord en brand geroep wel hardwerkende hostingbedrijfjes onderuit proberen te schoffelen voor hun eigen gewin.
23-04-2016, 08:15 door Anoniem
Door Anoniem:
Er staat een legenda bij het plaatje met drie groepen actoren: "Pawn Storm" (=APT28), "DustySky" (niet zo geavanceerd inderdaad) en "Unknown". Daarbij is er ook nog een link met een redelijk gedetailleerde lijst
Gezien.

Grootste deel van het lijstje en de grafiek overstijgt de gemiddelde kenmerken van phishing niet. Inclusief waar trend micro pawn storm bij noemt en spionage als magic woord bij sleept voor aandacht.

Phishen naar gegevens van bekende bedrijven, overheden,of juridisch belangrijke groepen hoeven niet of nauwelijks te verschillen met phishing en malware die de gemiddelde internetter dagelijks voor de kiezen krijgt. En dat komt overal vandaan. De pogingen die ze onder pawn storm schuiven is niet geavanceerd te noemen. Het valt juist heel erg op en zou zeker bij de groepjes waar je bedacht moet zijn op spionage al helemaal op moeten vallen als amateuristische pogingen. Slachtoffers zijn de personen die zich onvoldoende realisere of een domeinnaam of mailtje terecht is, waar de meeste doorsnee slachtoffers in trappen. Ik weiger dat serieuze spionage of geavanceert te noemen. Wie daar in trapt is een sitting duck die waarschijnlijk niet met de gegevens moet omgaan waar de criminelen op uit zijn. En zulke aanvallen komen niet alleen van een specifieke hostingprovider die de verkoper hier probeert kappot te branden op basis van belabberd slechte phishing of het minste bewijs dat het echt heel erg is wat er bij die hoster aan de hand is vergeleken met de rest. De verkopers bij trend micro leven van het roepen over termen als spionage, APTs enz. En zonder heel duidelijk te zijn dat het echt veel erger is dan de gemiddelde phishing of oplichting of waarom het geavanceerd is doen die verhaaltjes nauwelijks recht aan de werkelijkheid terwijl ze met hun moord en brand geroep wel hardwerkende hostingbedrijfjes onderuit proberen te schoffelen voor hun eigen gewin.

Ah, nou begrijp ik je punt beter. Jouw mening is zeker verdedigbaar, al ben ik het niet 100% met je eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.