image

Trend Micro ontdekt aanvallen tegen militaire air-gapped netwerken

donderdag 14 mei 2020, 16:25 door Redactie, 11 reacties

Verschillende militaire air-gapped netwerken zijn de afgelopen jaren het doelwit van aanvallen geweest, waarbij het de aanvallers lukte om de netwerken met de USBferry-malware te besmetten, zo meldt antivirusbedrijf Trend Micro. Eerder deze week kwam antivirusbedrijf ESET met het nieuws dat het spionagemalware had ontdekt die in staat zou zijn om binnen air-gapped netwerken te opereren. Mogelijk was de malware volgens de virusbestrijder tegen organisaties met geïsoleerde netwerken ingezet, maar ESET noemde geen voorbeelden van daadwerkelijke aanvallen of slachtoffers.

Trend Micro claimt in een nieuwe analyse dat het meerdere slachtoffers van de USBferry-malware heeft waargenomen, waarbij in ieder geval één militair air-gapped netwerk via het netwerk van militair ziekenhuis besmet raakte (pdf). Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een bekend voorbeeld van air-gapped computers bevonden zich in de Iraanse uraniumverrijkingscentrale Natanz, die door de Stuxnetworm werden geïnfecteerd. De infectie vond zeer waarschijnlijk plaats via een besmette usb-stick.

Er zijn echter meer organisaties die met air-gapped systemen werken en een groep aanvallers genaamd "Tropical Trooper" probeert al sinds 2014 om die aan te vallen, aldus Trend Micro. De aanvallers maken hierbij gebruik van de USBferry-malware. Recentelijk waren fysiek geïsoleerde netwerken van het Taiwanese en Filipijnse leger doelwit van de malware, zo laat de virusbestrijder weten.

De aanval begint met een malafide e-mail die een besmette bijlage bevat. Deze bijlage installeert wanneer geopend de malware op het systeem. Deze malware probeert vervolgens aangesloten usb-sticks te infecteren. Wanneer de besmette usb-stick op een andere computer wordt aangesloten kan de malware zich verder verspreiden. Of en welk bestand de gebruiker hiervoor moet openen is onduidelijk. We hebben Trend Micro om meer duidelijkheid hierover gevraagd.

Wel staat vast dat de malware op besmette systemen naar allerlei documenten zoekt en die op de usb-stick bewaart. Zodra de usb-stick wordt aangesloten op een systeem met een internetverbinding stuurt USBferry de documenten terug naar de aanvallers. "Gebaseerd op onze telemetrie vinden dergelijke aanvallen sinds december 2014 plaats en zijn alleen gericht tegen militaire en overheidsgebruikers in Azië", zegt onderzoeker Joey Chen.

Volgens Chen hebben de aanvallers de tijd genomen om hun doelwitten te monitoren en hun netwerken te bestuderen, om zo uiteindelijk informatie van fysiek gescheiden netwerken te stelen. "We hebben al gezien dat de groep Taiwanese overheidsinstellingen en Filipijnse militaire agentschappen heeft aangevallen. Ook hebben we ontdekt dat de groep andere industrieën of bedrijven aanvalt die aan militaire agentschappen zijn gerelateerd en als springplank gebruiken voor het infiltreren van fysiek gescheiden netwerken", aldus de onderzoeker.

Reacties (11)
14-05-2020, 16:37 door Anoniem
Oftewel helemaal niet air-gapped.
14-05-2020, 17:55 door Anoniem
Dus zo'n "air gap" is ook al geen sluitend medicijn tegen het infectievrij houden van zeer infectiegevoelige software. Wie had dat nu kunnen bedenken?
14-05-2020, 19:50 door linux4
Door Anoniem: Oftewel helemaal niet air-gapped.

Klopt, bij air gap blokkeer je uiteraard ook toegang via alle fysieke poorten.
14-05-2020, 19:51 door linux4 - Bijgewerkt: 14-05-2020, 19:51
Door Anoniem: Dus zo'n "air gap" is ook al geen sluitend medicijn tegen het infectievrij houden van zeer infectiegevoelige software. Wie had dat nu kunnen bedenken?

Infectie via USB, geen air gap aanwezig dus.
15-05-2020, 07:18 door The FOSS
Door Anoniem: Oftewel helemaal niet air-gapped.

Lees... Dat staat er ook helemaal niet.
15-05-2020, 08:48 door Anoniem
Door The FOSS:
Door Anoniem: Oftewel helemaal niet air-gapped.

Lees... Dat staat er ook helemaal niet.

Lees...
15-05-2020, 11:21 door Anoniem
Door linux4:
Door Anoniem: Oftewel helemaal niet air-gapped.

Klopt, bij air gap blokkeer je uiteraard ook toegang via alle fysieke poorten.
Dat hangt van je definitie van een air-gap af. De meest gangbare is wel degelijk dat er geen netwerkconnectiviteit mogelijk is, maar dat dataoverdracht d.m.v. USB drives etc wel kan. Het staat in RFC 4949 dan ook zo beschreven:

$ air gap
(I) An interface between two systems at which (a) they are not
connected physically and (b) any logical connection is not
automated (i.e., data is transferred through the interface only
manually, under human control). (See: sneaker net. Compare:
gateway.)
15-05-2020, 11:22 door Anoniem
Door linux4:
Door Anoniem: Dus zo'n "air gap" is ook al geen sluitend medicijn tegen het infectievrij houden van zeer infectiegevoelige software. Wie had dat nu kunnen bedenken?

Infectie via USB, geen air gap aanwezig dus.
Handmatige overdracht van data en een air-gap sluiten elkaar niet uit. Een air-gap zegt alleen maar dat er geen automatische connectie met andere systemen mogelijk is, handmatige overdracht van data kan nog steeds wel.
15-05-2020, 11:39 door Anoniem
Stuxnet is dus een niet zo op zich staand geval gebleken/gebleven. Men gaat op dergelijke voet verder.

Het had als exploit veel langer kunnen meegaan als die Yanks het niet "verstehrt" hadden in Natanz
door verder te willen gaan dan aanvankelijk de bedoeling was. Ja, dan heb je dus je hand overspeeld.

Je moet wel goed weten wat er hangt en wat er intern draait (in Natanz was dat Siemens firmware).
Maar zit de kat eenmaal in de gordijnen, wordt het moeilijker.

J.O.
17-05-2020, 12:09 door The FOSS - Bijgewerkt: 17-05-2020, 12:10
Door Anoniem:
Door The FOSS:
Door Anoniem: Oftewel helemaal niet air-gapped.

Lees... Dat staat er ook helemaal niet.

Lees...

Dat doen ik:
Door Redactie: Trend Micro ontdekt aanvallen tegen militaire air-gapped netwerken
Ook in een computer die m.b.v. een air-gapped netwerk is geïsoleerd kan je blijkbaar een USB-stick steken. Dat is eigenlijk wel een beetje raar natuurlijk, dat dat zomaar kan.
17-05-2020, 14:21 door Anoniem
Fysiek contact mogelijkheid betekent onder alle omstandigheid vaak en in de meeste gevallen "game over".

Vaak ook wat een stand-alone machine emitteert kan genoeg zijn voor compromitteren.
Intel inside = info outside.

Doe je gordijnen voor je spiegelende ruiten maar eens dicht. Heb je een werkend electriciteitsnet?
Een werkende telefoon? Is jouw DNA bekend, wandelende waterzak?

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.