Spionagemalware monitort gebruik encryptiesoftware TrueCrypt
Onderzoekers hebben een nieuw malware-exemplaar ontdekt dat onder andere het gebruik van de encryptiesoftware TrueCrypt op besmette systemen monitort. De malware heet Attor en wordt door antivirusbedrijf ESET als een compleet spionageplatform omschreven.
Wat de malware naast het monitoren van TrueCrypt ook doet opvallen is het verzamelen van IMEI, IMSI en MSISDN-nummers van aangesloten telefoons. Hoe Attor precies wordt verspreid is onbekend. De malware is sinds 2013 echter al actief en heeft het voornamelijk op Russisch sprekende gebruikers voorzien, aldus de onderzoekers.
Eenmaal actief op een computer maakt Attor screenshots van Russische chat-apps, alsmede van andere software, sociale netwerken, e-maildiensten en cloudopslag- en bestandsuitwisselingsdiensten. Attor kan ook audio opnemen, toetsaanslagen opslaan. De malware heeft het daarnaast voorzien op gebruikers van encryptiesoftware en -diensten. Zo worden screenshots gemaakt bij het gebruik van vpn-dienst Hide My Ass! (HMA), de versleutelde maildienst Hushmail en de e-mailclient The Bat.
Ook bij het gebruik van encryptiesoftware TrueCrypt maakt Attor screenshots. Een ander onderdeel van de malware inspecteert het TrueCrypt-gebruik van het doelwit. Dit onderdeel monitort aangesloten schijven op de computer en kijkt naar de aanwezigheid van TrueCrypt. Wanneer Attor de aanwezigheid van TrueCrypt detecteert stuurt het een specifieke code om de versie te bepalen.
Dit zijn TrueCrypt-specifieke controlecodes. "De makers van de malware moeten de opensourcecode van de TrueCrypt-installer dan ook begrijpen. We hebben deze techniek nog niet eerder gezien of gedocumenteerd in andere malware", zo laten de onderzoekers weten. De malware is sinds 2013 actief, toen TrueCrypt nog door allerlei partijen werd aanbevolen. Sinds 2014 is de ondersteuning van TrueCrypt echter gestopt en krijgen gebruikers juist het advies om met andere encryptiesoftware te werken.
Gsm-fingerprinting
Een ander opvallend onderdeel van Attor is het verzamelen van informatie over aangesloten telefoons. De onderzoekers noemen de manier waarop de malware mobiele telefoons fingerprint zelfs uniek. Zodra er een modem of telefoon op de COM-poort van de besmette computer wordt aangesloten gebruikt de malware AT-commando's om via de seriële poort met het toestel te communiceren.
Volgens de onderzoekers hebben de aanvallers het dan ook niet op moderne smartphones voorzien, aangezien die via usb worden aangesloten en de malware via usb aangesloten apparaten negeert. Een mogelijke verklaring is dat de aanvallers het op modems en oudere telefoons hebben voorzien, of dat het om specifieke apparaten gaat die door het slachtoffer of aangevallen organisatie worden gebruikt. "Het is mogelijk dat de aanvallers via verkenningstechnieken weten dat het slachtoffer deze apparaten gebruikt", merken de onderzoekers op.
De onderzoekers concluderen dat Attor een spionageplatform is dat is gebruikt bij zeer gerichte aanvallen tegen gebruikers in Oost-Europa en Russisch sprekende, securitybewuste gebruikers. Wie erachter de malware zit laat ESET niet weten. Wel bevat het onderzoeksrapport verschillende IOCs (pdf). Indicators of compromise (IOCs) zijn aanwijzingen waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, op een systeem of binnen een netwerk kan worden vastgesteld.
Ben wel benieuwd hoe de malware zich verspreide in 2013. Omdat er waarschijnlijk een overheid (APT) achter zit..
Sarah J. Maas, Attor was an evil Faerie. In that book, the
Faeries ruled over all the known world and humans were
their slaves."
___ Zuzana Hromcová, ESET
openbaar ministerie is toch ook overheid?
Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.
Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.
Ja, want ik zie niet in waarom niet. Als Attor tot Windows is doorgedrongen, dan moet je het als gecompromitteerd beschouwen. Het kijkt met je over je schouder mee en het logt je toetsaanslagen. Dan heeft ook VeraCrypt weinig zin.
Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.
Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.
Het is voor de compleetheid wel fijn om te melden dat de audit geen cryptografische kwetsbaarheden heeft ontdekt in TrueCrypt. Er kwamen enkele mogelijkheden naar voren als je, bijvoorbeeld, een cache-timing aanval zou uitvoeren, maar dat komt niet door fouten in de encryptie.
VeraCrypt is ondertussen een stuk verder, dus doorontwikkeld, maar uit de eerdere audits wijzen wel op een probleem. Er kwamen problemen aan het licht met de implementatie van het cryptografische gedeelte, wat je afvraagt of deze ontwikkelaars van hetzelfde niveau zijn als zij die TrueCrypt hebben gebouwd (en daarbij deze fouten niet maakten).
Voor zover mij bekend, is TrueCrypt nog steeds veilig te gebruiken, zolang je jouw machine niet deelt met anderen.
Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.
Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.
Is anoniem van 14:04 van gisteren dan wellicht een Rus of een slavische talen-sprekend iemand?
Ik ben een security-bewuste persoon, maar heb er geen enkele last van.
Moet het daarom niet juist andersom wezen: "Grozi nam niebezpiecze?stwo z Zachodu"
(Er dreigt voor u gevaar vanuit het westen)
luntrus
Wat zou er nu mogelijk zijn..? de ontwikkelingen hebben vast ergens wel een tijdssprong voorwaarts gemaakt... ben benieuwd waar het volgende schandaal vandaan zal gaan komen komende tijd...
Ja moeilijk, als het pas vorig jaar ontdekt werd. Men liep dus eventjes bij het ontdekken van Attor 5 jaar achter.
Of is het pas na 5 jaar "gelekt". Targeted Malware met RSA ge-encrypte speciaal ontworpen DLL's voor acht modules.
Slowakije had vroeger in Bratislava een Oostblok-hoofdkwartier, de tanks op weg naar onze duinen moesten ten tijde van het Ijzeren Gordijn vandaar gaan rijden. Nog is er een sterk aanwezigheid van Russische business-men.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Netwerk Security Engineer
Luchtverkeersleiding Nederland
Als Netwerk Security Engineer ontwerp en optimaliseer je onze technische netwerk- en beveiligingsinfrastructuur. Je stuurt tech-nische veranderingen aan op basis van de gestelde architectuur kaders en helpt mee met de uitvoering ervan. Ben jij een gedreven professional met passie voor netwerk-beveiliging? Dan is deze functie als Netwerk Security Engineer bij Luchtverkeersleiding Nederland (LVNL) iets voor jou!
Lead Network Security Engineer
Luchtverkeersleiding Nederland
Word Lead Network Security Engineer bij LVNL. Ontwerp en implementeer security-oplossingen die de luchtverkeersleidings-systemen veilig houden. Solliciteer nu en draag bij aan onze cyberweerbaarheid! Als Lead Network Security Engineer bij LVNL ben je verantwoordelijk voor het ontwerpen, implementeren en optimaliseren van de netwerkbeveiliging die cruciaal is voor de veilige en efficiënte werking van het luchtverkeersleidingssysteem in Nederland.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?