image

Besmette Flash Player-installer op onbekende wijze verspreid

donderdag 11 januari 2018, 14:35 door Redactie, 0 reacties

Een groep aanvallers genaamd Turla slaagt er al geruime tijd in om een besmet installatieprogramma van Adobe Flash Player op onbekende wijze te verspreiden. Dat laat anti-virusbedrijf ESET weten (pdf). De virusbestrijder ontdekte een aanval gericht tegen ambassades en consulaten in voormalige Sovjet-landen.

De aanvallers gebruiken een legitieme Flash Player-installer, gebundeld met een backdoor die informatie verzamelt en terugstuurt. Nu zijn er meer aanvallen bekend waarbij er besmette Flash Player-installers werden gebruikt. Wat opvalt aan deze aanval is dat het lijkt alsof de besmette Flash Player-installer bij Adobe is gedownload. Zowel de links, domeinen als ip-adressen die de onderzoekers tegenkwamen waren echt van Adobe. ESET sluit echter uit dat Adobe gehackt is geweest.

Er wordt dan ook aan een soort van man-in-the-middle-aanval gedacht. De downloads van het besmette installatieprogramma, die waarschijnlijk door de slachtoffers werden geïnitieerd, vonden plaats via http. Een aanvaller tussen de gebruiker en het internet kan het http-verkeer manipuleren en zo het besmette installatieprogramma aanbieden. In een rapport over de aanval schetsen de onderzoekers verschillende mogelijk scenario's, zoals het gebruik van ARP-spoofing. Hierbij wordt het verkeer van het doelwit in real-time doorgestuurd naar een al besmette computer in het netwerk.

Om een dergelijke aanval uit te voeren moeten de aanvallers al een machine in het netwerk hebben gecompromitteerd. Een andere mogelijkheid die wordt genoemd is een gehackte gateway waarmee http-verzoeken naar de website van Adobe kunnen worden onderschept en aangepast. Een man-in-the-middle-aanval zou ook op het niveau van de internetprovider kunnen plaatsvinden. De slachtoffers die ESET identificeerde zitten bij vier verschillende internetproviders. "Dit scenario zou suggerren dat de Turla-groep het verkeer in verschillende landen kan monitoren", zo stellen de onderzoekers.

Als laatste wordt een techniek genaamd BGP-hijacking genoemd. Hierbij wordt het verkeer dat voor de servers van Adobe bedoeld is omgeleid naar de servers van de aanvallers. Deze techniek heeft als nadeel dat die snel kan worden opgemerkt, terwijl de aanvalscampagne waar ESET over schrijft al sinds augustus 2016 gaande is. Volgens de onderzoekers is het dan ook waarschijnlijk dat de Turla-groep een zelfgemaakte tool op de lokale gateways van getroffen organisaties installeert waarmee het verkeer kan worden onderschept en aangepast. Hoe de aanvallers echter precies te werk gaan is nog altijd onbekend.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.