image

NAVO: Petya-aanval waarschijnlijk door land uitgevoerd

maandag 3 juli 2017, 13:39 door Redactie, 18 reacties

De aanval met de Petya-ransomware is waarschijnlijk door een land uitgevoerd, zo stellen onderzoekers van het Cooperative Cyber Defence Centre of Excellence van de NAVO. Volgens de onderzoekers is de malware veel professioneler ontwikkeld dan de WannaCry-ransomware.

Net als Microsoft stellen ook de onderzoekers dat NotPetya, zoals zij de ransomware noemen, zich via de updateservers van het Oekraïense softwarebedrijf M.E.Doc heeft verspreid, maar noemen ook e-mails met kwaadaardige bijlagen als verspreidingsmethode. Iets waar volgens verschillende securitybedrijven geen bewijs voor is gevonden. De onderzoekers erkennen dat het lastig is om de daders achter de aanval aan te wijzen, maar gaan uit van een land. "NotPetya was waarschijnlijk gelanceerd door een statelijke actor of een niet-statelijke actor met steun of goedkeuring van een land. Andere opties zijn onwaarschijnlijk."

De onderzoekers stellen dat de operatie niet door cybercriminelen is ontwikkeld, omdat de methode voor het innen van het losgeld slecht in elkaar zit, dat het losgeld waarschijnlijk niet de kosten van de operatie dekt. In het bericht over de aanval meldt het NAVO-centrum dat de secretaris-generaal van de NAVO eerder liet weten dat door een cyberaanval met dezelfde gevolgen als een gewapende aanval Artikel 5 van de NAVO in werking kan treden. In dit geval zijn er echter geen meldingen van dergelijke gevolgen. Artikel 5 stelt dat een aanval op een NAVO-lid als een aanval op alle NAVO-leden wordt gezien.

Reacties (18)
03-07-2017, 13:48 door Anoniem
Ja, waarschijnlijk door de Amerikaanse CIA om de publieke opinie via de media te beïnvloeden.
03-07-2017, 13:59 door Anoniem
Keihard terugslaan met eveneens een cyberattack tegen het land achter de recente cyberaanvallen. Zeker als dat N-Korea is. Laat maar van 1 of meer van hun kerncentrales de beveiliging uitschakelen en de kerncentrale even flink laten "opwarmen". Ze moeten daar eens een lesje krijgen. En oja laat de noordkoreaanse pinautomaten maar flink wat geld uitspuwen die arme mensen kunnen wel wat extra bankbiljetjes in hun lege portemonnee gebruiken.
03-07-2017, 14:00 door Anoniem
Is het nou Petaya of NotPetaya (omdat het virus namelijk niet overeenkomt met Petaya?)
03-07-2017, 14:06 door Anoniem
Door Anoniem: Ja, waarschijnlijk door de Amerikaanse CIA om de publieke opinie via de media te beïnvloeden.
Je gebruikt het woord "waarschijnlijk" en dat betekent dus dat je argument onzeker is.
03-07-2017, 14:11 door quikfit - Bijgewerkt: 03-07-2017, 14:12
Nu nog een geschikt land uitkiezen/beschuldigen waar ze lang geleden al strengere maatregelen tegen wilde nemen,Rusland of N-Korea bijvoorbeeld.
03-07-2017, 15:10 door PietdeVries
Niemand dood, alleen bedrijven geld kwijt en een ervaring rijker: zie het als een mooie oefening in cyber-warfare...
03-07-2017, 15:50 door Anoniem
Natuurlijk zijn het de Russen geweest, Ukraine weet dat al en heeft een voorschot genomen op wat later door de NAVO 'bevestigd' wordt. De defensie uitgaven moeten omhoog, dus eerst even een goed vijandbeeld neerzetten zodat de bevolking zonder morren akkoord gaat met deze verspilling van geld
03-07-2017, 16:27 door Anoniem
Het hoeft geen land te zijn, het kan ook een zelfstandig opererende hackergroepering zijn.
Omdat ze weet hadden van de Oekraiense M.E.Doc kwetsbaarheid moet de malware haast wel ontwikkeld zijn door
Oekraïners of door Russen die er weet van hadden.
Amerikaanse inlichtingendiensten hebben er te weinig belang bij zou ik denken.
03-07-2017, 16:37 door Anoniem
Door Anoniem:
Door Anoniem: Ja, waarschijnlijk door de Amerikaanse CIA om de publieke opinie via de media te beïnvloeden.
Je gebruikt het woord "waarschijnlijk" en dat betekent dus dat je argument onzeker is.

Dat klopt. Ik heb het vermoeden en kan het niet aantonen.
Maar gelukkig leven we in een tijdperk waarin 'nothing stays buried forever' meer en meer realiteit wordt.
03-07-2017, 18:05 door karma4
Door Anoniem:Dat klopt. Ik heb het vermoeden en kan het niet aantonen.
Maar gelukkig leven we in een tijdperk waarin 'nothing stays buried forever' meer en meer realiteit wordt.
En tevens een tijdperk van de grootste onzin met allerlei complottheorien die als waarheid uitgedragen worden.
Per saldo effect mogelijk slechter dan beter.
03-07-2017, 18:23 door Anoniem
Bestond hier maar een blocklistje tegen - tegen staatshackers, net zoals deze tegen Microsoft spying: https://www.encrypt-the-planet.com/downloads/Outpost-Windows10-IPblocklist.lst

Belangrijker dan welke (staats) hackers het zouden hebben uitgevoerd, is de vraag of Microsoft een exodus tegen kan houden door een aantal zwakheden alsnog te fixen, anders dreigt er een ondergaan voor de platform-farao uit Redmond net als zijn Bijbelse voorganger temidden van de golven van de zich sluitende Rode Zee. We zullen zien.

Het originele talent dat aan Microsoft software werkte is inmiddels allemaal al verdwenen (e.g. Nir Sofer, ghost coders incluis, de Easter eggs zijn reeds lang over de houdbaarheidsdatum).

Als de WannaCry holes niet werken is er altijd nog lsadump gevolgd door psexec/WMIC en het benaderen van andere machines op het netwerk via C$/Admin$ shares. Een domme app kan je al de k*nt kosten. Zonder lokaal admin toegang voor het toestaan van het uitvoeren van de hash dump ben je veilig anders.... ram run loopt - bingo.

Waarschinlijk was de code geschreven in de Oekraïne. Was er laatst een Rus bij MeDOc ontslagen?

En iemand hier in de draad zegt Amerika heeft er geen belangen bij, wat dan te denken van Joe Biden met zijn schaliegaswinning en ook senator McCain?

Wat werkt beter als een false flag om de Russen de schuld te geven of sloegen die zelf een keertje toe vanwege alle valse beschuldigingen en voortdurend getreiter aan het adres van de beschermheer van DrWeb. Je hoeft er het Eurovisie songfestival niet voor te winnen om het te kunnen raden.

Een ding staat vast NSA, GCHQ, BND, FSB leggen de security lat niet hoger, ze nemen belemmeringen weg totdat we ineens te horen krijgen van een gigantische klapper en een immens grote aanval op de globale infrastructuur zelf.

Belangrijk is te beseffen, dat de slimmerik gist en de dommerd beslist. Wij kunnen dus nog voor verrassingen komen te staan, Petya of Non-Petya that is the question.
04-07-2017, 00:29 door Anoniem
Een slecht onderbouwde bevinding dat haast onmogelijk een andere conclusie getrokken kan worden dat er een staat of een door een staat goedbevonden groep achter petya zit. De onderbouwing is nauwelijks een onderbouwing te noemen en het valt op dat andere opties geheel buiten beschouwing blijven.

De aanval was niet heel complex maar wel kostbaar? Veel malware is complex en kostbaar, maar dat is geen uitgangspunt om een staat aan te wijzen. Criminelen hebben vaak voldoende (gestolen) middelen ter beschikking om een aanval als petya te kunnen financieren. Het is ondermenen. Je doet een investering en wil er een bepaalde gewin mee behalen. Maar willen verschilt van kunnen. Genoeg ondernemers die beter geen ondernemer konden worden maar toch veel investeren en dan geen succes behalen.

Cybercriminelen zouden er niet achter kunnen zitten omdat er niet genoeg winst kon worden gemaakt? Een ddos aanval levert ook geen directe winst op voor de crimineel, maar wel indirect. Dan is de cybercrimineel nog geen staat of daar door goedbevonden. Waarschijnlijk vaker niet dan wel.

Tussen de ongeveer 400 verschillende soorten ransomware is er een deel slecht in versleutelen en goed in geld ophalen maar ook goed in versleutelen en slecht in geld ophalen of goed in beiden of slecht in beiden. Het verschil is ook geen aanwijzing voor een aanval door een staat.

Het bericht gaat dan nog over het belang van cyberwar en toevallig draait de organisatie waar de schrijvers voor werken op het bestaan van staten die aanvallen. Zouden die aandacht hebben gekregen als ze andere opties zoals hierboven ook benoemd hadden?
04-07-2017, 08:00 door Anoniem
Door Anoniem: Keihard terugslaan met eveneens een cyberattack tegen het land achter de recente cyberaanvallen. Zeker als dat N-Korea is. Laat maar van 1 of meer van hun kerncentrales de beveiliging uitschakelen en de kerncentrale even flink laten "opwarmen". Ze moeten daar eens een lesje krijgen. En oja laat de noordkoreaanse pinautomaten maar flink wat geld uitspuwen die arme mensen kunnen wel wat extra bankbiljetjes in hun lege portemonnee gebruiken.

Yup, om monetair verlies goed te maken ga jij mensen, regio's en misschien landen op het spel zetten in een mogelijke nucleaire ramp. Chapeau. /slow clap
04-07-2017, 08:08 door Anoniem
Ook wel een grappige noot is dat er niet genoeg winst gemaakt zou kunnen worden door gegevens van een boekhoudpakket te doen verdwijnen...
04-07-2017, 11:25 door Anoniem
Door karma4:
Door Anoniem:Dat klopt. Ik heb het vermoeden en kan het niet aantonen.
Maar gelukkig leven we in een tijdperk waarin 'nothing stays buried forever' meer en meer realiteit wordt.
En tevens een tijdperk van de grootste onzin met allerlei complottheorien die als waarheid uitgedragen worden.
Per saldo effect mogelijk slechter dan beter.

Kan het niet beter verwoorden...

/groeten Eminus
04-07-2017, 13:55 door Anoniem
Zouden we ons dan eens niet moeten gaan richten op het veiliger maken van de infrastructuur zodat dit soort politieke of criminele ongein niet meer KAN plaatsvinden.

Maar men wil dit kennelijk niet. Zoals bekend weet technische informatica van de veiligheidshoed en de rand en twee verdiepingen lager zitten de toekomstige p- en m-developers op hun apple machines websites te bouwen, die meer gaten heeft dan de bekende Zwitserse kaas. Ze krijgen het niet of nauwelijks voorgeschoteld in het curriculum.

Ook de veiligheidsbewusten doen weleens zinloze dingen. Wie laat er nu studenten iets uitrekenen als de lambda generator al online staat?. Zinloos tijdverdrijf, je kunt ze beter bezig houden met echte veiligheidsprobemen en die als casus laten onderzoeken, praktijk naast theorie dus.

Voorbeeld: jQuery versie, welke xss-dom exploitabel is en ook openstaat voor shellcode misbruik.
Het is zelfs zo erg dat het xss filter in Google Chrome de code blokkeert., voorbeeld 3rd party code $.get() geeft een auto execute wanneer het content type txt of javascript is, vervolgens reageert de browser niet meer en stort tenslotte af.

Waar zit de ellende onder een bepaalde jQuery versie voor dit script?
In htxps://ajax.googleapis.com/ajax/libs/jquery/1.71/jquery.min.js met 38 sources en 21 sinks gevonden via een DOM XSS scannetje, tevens is op veel sites hier geen SRI-hash voor gegenereerd. Waarom is deze ellende niet afgeserveerd? Ik vermoed en kan het nooit bewijzen of hardop fluisteren, "insecurity by design".

Oh, voor die geinteresseerd is, leuk om te lezen: http://howcanfix.com/28955/help-me-understand-this-javascript-exploit (houdt ook nog verband met het bovenstaande en bepaalde problemen in olark).

Doe je niets aan de online veiligheid kun je dus discussies voeren tot je een ons weegt. Beginnen we steeds niet aan de verkeerde kant van het verhaal...achteraf als het kalf reeds verdronken is dempt men de put niet eens.

luntrus
07-07-2017, 08:37 door Anoniem
Door Anoniem: Natuurlijk zijn het de Russen geweest, Ukraine weet dat al en heeft een voorschot genomen op wat later door de NAVO 'bevestigd' wordt. De defensie uitgaven moeten omhoog, dus eerst even een goed vijandbeeld neerzetten zodat de bevolking zonder morren akkoord gaat met deze verspilling van geld


Was het maar zo dat defensiegeld aan cyber defense zou worden uitgegeven. Voorlopig alleen maar too little too late, voor de bescherming tegen de recente cyber aanvallen heb ik deoverheden geen enkele bijdrage zien leveren. Het is het bedrijfsleven dat WannaCry stopte, het is het bedrijfsleven dat zinvolle informatie over Petya verspreidde. Ik zie dat ook niet echt veranderen.
10-07-2017, 11:05 door Anoniem
To Petrya or No to Petya, that's the question.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.