image

Nieuwe spionagegroep besmet offline computers

maandag 8 augustus 2016, 16:37 door Redactie, 2 reacties

De nieuwe spionagegroep die vandaag bekend is gemaakt blijkt ook offline computers te infecteren en heeft het vooral op de versleutelde communicatiesoftware van overheidsinstanties voorzien. Dat meldt het Russische anti-virusbedrijf Kaspersky Lab. De groep wordt Strider of ProjectSauron genoemd.

Aanleiding voor de naam is het woord "Sauron" dat in de code van de door de groep gebruikte malware werd aangetroffen. Volgens Kaspersky Lab is de groep vergelijkbaar met de spionagegroepen die eerder voor de Equation-, Regin- en Duqu-malware verantwoordelijk waren. De groep was vanaf juni 2011 tot mei 2016 actief en had het voorzien op overheden, wetenschappelijke onderzoekscentra, het leger, telecomaanbieders en financiële partijen van verschillende landen. Eerder vandaag liet Symantec weten dat het infecties bij 36 doelen in China, België, Rusland en Zweden had ontdekt. Kaspersky Lab spreekt van meer dan 30 geïnfecteerde organisaties in Rusland, Iran, Rwanda en mogelijk ook Italiaans-sprekende landen.

De spionnen hadden vooral interesse in de versleutelde communicatiesoftware die de aangevallen overheidsinstanties gebruikten. Zo werden encryptiesleutels, configuratiebestanden en ip-adressen van de communicatieservers gestolen. Bij een aantal van de aangevallen organisaties waren ook computers en netwerken geïnfecteerd die niet met internet zijn verbonden. Om deze "air-gapped" machines te infecteren gebruikte de malware een speciale module.

Deze module formatteert usb-sticks, die op een online computer worden aangesloten, op een speciale manier, zodat de omvang van de partitie op de usb-stick wordt verkleind. Zodoende blijft een bepaalde hoeveelheid verborgen ruimte beschikbaar. Volgens Kaspersky Lab gaat het om enkele honderden megabytes. Deze ruimte wordt gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend. Zodra de offline computer door deze gemanipuleerde usb-stick is besmet wordt op deze verborgen partitie de interessante data opgeslagen.

Zodra de usb-stick weer op een computer met internetverbinding wordt aangesloten zal de malware de verzamelde gegevens in de verborgen partitie naar de aanvallers terugsturen. Door deze methode weten de aanvallers veel datalekpreventieproducten te omzeilen, aangezien vertrouwde en toegestane usb-sticks worden gemanipuleerd.

Ontdekking

Kaspersky Lab ontdekte de malware toen het vorig jaar september verdacht netwerkverkeer in het netwerk van een klant ontdekte. Dat leidde tot de ontdekking van een vreemde uitvoerbare programmabibliotheek in het geheugen van de domaincontrollerserver. Deze bibliotheek was als een Windows-wachtwoordfilter geregistreerd en had toegang tot gevoelige gegevens zoals beheerderswachtwoorden. Verder onderzoek liet zien dat het om een geheel nieuwe spionagegroep ging.

Hoe de malware zich weet te verspreiden is nog altijd onbekend. Zo is het onbekend of er zero day-lekken zijn gebruikt, maar de kans daarop is wel aanwezig. Het formatteren van de usb-sticks en daar een verborgen partitie op aanbrengen geeft de aanvallers nog geen controle over de offline computer. "Er moet een ander onderdeel zijn zoals een zero day-exploit die in de hoofdpartitie van de usb-schijf wordt geplaatst", zegt Kaspersky Lab. In de nu geanalyseerde malware zijn dergelijke zero day-exploits nog niet aangetroffen.

Reacties (2)
09-08-2016, 10:41 door Anoniem
"Deze ruimte wordt gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend."

Als een partitie niet herkend kan worden door Windows, hoe kunnen ze er dan toch data op wegschrijven? Moet ik dan denken aan een tool ala Truecrypt? Maar dan is de volgende vraag: hoe kan dat? Ik ga er voor het gemak maar even van uit dat je op zo'n air-gapped systeem niet zomaar een executable kunt starten en dat de data niet op het systeem zelf staat maar in een apart netwerk.
09-08-2016, 13:14 door Anoniem
Misschien moet je even het artikel van Kaspersky lezen daarin staat beschreven hoe alles tot stand komt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.