Kaspersky: sterke link tussen gelekte tools en Equation Group
Er is een sterke link tussen de tools en exploits die deze week op internet verschenen en de spionagegroep genaamd Equation Group, zo stelt het Russische anti-virusbedrijf Kaspersky Lab. Het was Kaspersky Lab dat vorig jaar het bestaan van de Equation Group openbaar maakte.
De groep spionnen zou banden met de Amerikaanse inlichtingendienst NSA hebben en beschikte over zeer geavanceerde malware. Deze week liet een groep die zichzelf ShadowBrokers noemt weten dat het toegang tot exploits, bestanden en tools van de Equation Group had gekregen. Verdere technische informatie om deze claim te onderbouwen werd niet gegeven. Kaspersky Lab besloot de gelekte bestanden te analyseren en stelt dat verschillende honderden tools uit het lek een sterke link met de Equation Group hebben.
Implementatie
De virusbestrijder baseert zich op de manier waarop de spionagegroep twee encryptie-algoritmes heeft geïmplementeerd. De Equation Group maakt namelijk uitgebreid van de RC5- en RC6-encryptie-algoritmes gebruik. De manier waarop de spionnen de encryptie toepassen is echter opmerkelijk. In de meeste publieke RC5/RC6-code wordt met de constante 0x9E3779B9 gewerkt. In het geval van de Equation Group wordt echter van de constante 0x61C88647 gebruik gemaakt.
Deze constante vonden onderzoekers ook in de door ShadowBrokers gelekte tools. "Als we de oudere bekende RC6-code van Equation Group vergelijken met de code die in de meeste bestanden van het nieuwe lek wordt gebruikt, zien we dat ze functioneel identiek zijn en dezelfde bijzondere eigenschappen met betrekking tot hun implementatie delen", aldus de onderzoekers van Kaspersky Lab.
Aan de hand van de overeenkomsten stellen ze met hoge mate van zekerheid dat de tools van het ShadowBrokers-lek gerelateerd zijn aan de malware van de Equation Group. "Hoewel de ShadowBrokers claimden dat de data van de Equation Group was, gaven ze geen technisch bewijs om dit te onderbouwen. Deze zeer specifieke encryptie-implementatie hieronder bevestigt deze claims."
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
VA heeft Stuxnet mischien wel gevonden maar kaspersky heeft de analyse gedaan. Tevens hebben we het hier over threat actors die hun kenis niet zomaar even op de openmarkt kunnen gooien. Die gasten worden echt wel in de gaten gehouden. En als die zich bij een andere groep aansluiten en hun kenis van blackops delen dan plegen ze landsveraad in oorlogstijd.
Er zijn op dit moment meerdere sources die bevestigen dan het inderdaad om een toolkit gaat van de NSA hoe die in het bezit is gekomen van ShadowBrokers staat nog ter discussie.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
VA heeft Stuxnet mischien wel gevonden maar kaspersky heeft de analyse gedaan. Tevens hebben we het hier over threat actors die hun kenis niet zomaar even op de openmarkt kunnen gooien. Die gasten worden echt wel in de gaten gehouden. En als die zich bij een andere groep aansluiten en hun kenis van blackops delen dan plegen ze landsveraad in oorlogstijd.
Er zijn op dit moment meerdere sources die bevestigen dan het inderdaad om een toolkit gaat van de NSA hoe die in het bezit is gekomen van ShadowBrokers staat nog ter discussie.
Er waren nog wat andere vragen, zou je die ook kunnen beantwoorden?
Nogsteeds opzoek naar die source.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
