image

Onbekende spionagegroep gebruikt Sauron-keylogger

maandag 8 augustus 2016, 10:18 door Redactie, 6 reacties

Een voorheen onbekende spionagegroep blijkt doelen in België, China, Rusland en Zweden met een keylogger te bespioneren die het zelf de naam Sauron heeft gegeven. Beveiligingsbedrijf Symantec ontdekte de groep die minstens sinds oktober 2011 actief zou zijn en "Strider" wordt genoemd.

Symantec stelt dat de aanvallen mogelijk door een land zijn uitgevoerd, maar een naam wordt niet gegeven. Zo zou de groep "voorzichtige banden" met de spionagegroep hebben die het zeer beruchte en geavanceerde Flame-virus ontwikkelde. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld.

Bij één van de doelen van Strider werd de geavanceerde Regin-malware ontdekt, die aan de Amerikaanse inlichtingendienst NSA wordt toegeschreven. Hoe de malware zich precies verspreidt is op dit moment onbekend. Er werden wereldwijd slechts 36 infecties bij 7 organisaties in 4 landen ontdekt. Het gaat onder andere om organisaties en individuen in Rusland, een Chinese luchtvaartmaatschappij, een Zweedse organisatie en een ambassade in België.

Malware

De malware van de groep, die Remsec wordt genoemd, blijkt modulair van opzet. Via de modules hebben de aanvallers volledige controle over de computer. Om niet te worden opgemerkt past de malware verschillende technieken toe, zoals het gebruik uitvoerbare "blobs" (binary large objects) die lastig door anti-virussoftware zijn te detecteren. Ook is de malware alleen in het geheugen van besmette machines actief en wordt er niets naar de harde schijf geschreven, wat detectie ook bemoeilijkt.

Eén van de gebruikte modules is een keylogger die toetsaanslagen opslaat en gegevens naar een server van de aanvallers stuurt. Deze module wordt in de code van de aanvallers "Sauron" genoemd. "Gezien de eigenschappen bestaat de mogelijkheid dat de aanvallers deze module naar het alziende oog in Lord of the Rings hebben vernoemd", aldus Symantec.

Image

Reacties (6)
08-08-2016, 10:58 door Anoniem
Geen probleem. Niks te verbergen.
08-08-2016, 11:19 door Anoniem
Ik zou niet eens willen weten hoeveel van dat soort keyloggers er op dit moment actief zijn. Volgens mij is het onmogelijk te weten dat je meteen kan zien dat er een keylogger op je computer actief is. Jammer dat het dat soort bedrijven worden aangevallen,want durf te wedden dat die bedrijven weinig de pc's controlleren op veiligheid, want dat is de taak van windows updates en het antivirus.
08-08-2016, 12:40 door Anoniem
Wat een pruts script. De auteur zou zich diep moeten schamen (niet alleen vanwege het spioneren).

Dit script zou op een van mijn installaties niet werken.
08-08-2016, 15:46 door Anoniem
Door Anoniem: Wat een pruts script. De auteur zou zich diep moeten schamen (niet alleen vanwege het spioneren).

Dit script zou op een van mijn installaties niet werken.

Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
08-08-2016, 17:25 door Anoniem
Door Anoniem:
Door Anoniem: Wat een pruts script. De auteur zou zich diep moeten schamen (niet alleen vanwege het spioneren).

Dit script zou op een van mijn installaties niet werken.

Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.

Pardon, wat is precies je punt?
15-08-2016, 13:37 door Abaraham54
Kaspersky ontdekte Sauron eerder en heeft na de ontdekking ervan door Symantic in samenwerking met Symantic verder onderzoek gedaan, eer de bevindingen wereldkundig werden gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.