Nieuws
image

Backdoor in belastingsoftware verwijderd na onthulling door onderzoekers

donderdag 2 juli 2020, 08:13 door Redactie, 7 reacties

Een backdoor die in Chinese belastingsoftware werd aangetroffen wordt stilletjes door de ontwikkelaars verwijderd nadat onderzoekers de aanwezigheid van de malware openbaar maakten. Vorige week lieten onderzoekers van securitybedrijf Trustwave weten dat ze in het programma Intelligent Tax van het bedrijf Aisino een backdoor hadden aangetroffen. Een buitenlands bedrijf dat zaken doet in China moest van een lokale Chinese bank de software installeren om lokale belastingen te voldoen.

De belastingsoftware, die naar behoren werkte, bleek echter ook een backdoor te bevatten waarmee het systeem op afstand kon worden overgenomen. Deze malware wordt twee uur na de installatie van de belastingsoftware stilletjes geïnstalleerd. Daarnaast maakt de malware verbinding met een domein dat losstaat van de belastingsoftware, maar wel andere versies van de malware bleek te bevatten.

Wat ook opvalt is dat de malware, die GoldenSpy wordt genoemd, twee identieke versies van zichzelf als autostart services installeert. Wanneer één van de services niet meer draait zal die door de andere service worden gestart. Daarnaast beschikt de malware over een module die kijkt of één van de services wordt verwijderd. Wanneer dit het geval is zal de module een nieuwe versie downloaden en uitvoeren. Bij het verwijderen van de belastingsoftware via de uninstall feature blijft de malware, die met systeemrechten draait, achter.

Nadat het onderzoek van Trustwave op 25 juni openbaar werd zagen de onderzoekers dat de belastingsoftware zich opeens anders ging gedragen. In plaats van het downloaden van een module die de backdoor installeert, werd op 28 juni een GoldenSpy uninstaller gedownload en uitgevoerd. Deze uninstaller, die stilletjes naar besmette machines wordt gestuurd, verwijdert alle sporen van de backdoor.

Hoewel de backdoor nu is verwijderd maken de onderzoekers zich nog steeds zorgen, aangezien het onbekend is wat de belastingsoftware de volgende keer zal downloaden en installeren. Het doel en de ontwikkelaar van GoldenSpy zijn nog altijd onbekend.

Reacties (7)
02-07-2020, 09:32 door Anoniem
Zouden we alle Amerikaanse Cisco backdoors al kennen?

Het valt me op dat als een Chinees bedrijf slecht in het nieuws komt er altijd expliciet vermeld wordt dat het om een Chinees bedrijf gaat, bij producten Amerika juist niet.
02-07-2020, 10:03 door [Account Verwijderd]
Door Anoniem:Het valt me op dat als een Chinees bedrijf slecht in het nieuws komt er altijd expliciet vermeld wordt dat het om een Chinees bedrijf gaat, bij producten Amerika juist niet.
Mwa, van de grote namen is algemeen bekend dat het om Amerikaanse software en backdoors. Van een bedrijf genaamd 'Aisino' ligt het minder voor de hand waar het vandaan komt. Maar wellicht dat een bias hier ook een rol in speelt, al blijft het desondanks noemenswaardig en de moeite waard om een artikel over te schrijven.

Los daarvan, vraagt niemand zich af waarom onze eigen belastingdienst de broncode van hun eigen apps niet openbaar maakt? Of Logius die van DigiD en de berichtenbox geheim wil houden? #blijfvragenstellen
02-07-2020, 10:29 door Briolet
Door iatomory: …Los daarvan, vraagt niemand zich af waarom onze eigen belastingdienst de broncode van hun eigen apps niet openbaar maakt? Of Logius die van DigiD en de berichtenbox geheim wil houden? #blijfvragenstellen

De Nederlandse belastingdienst heeft volgens mij geen belasting software meer. Voor particulieren gaat alles on-line. Ook voor bedrijven zijn vorig jaar de laatste applicaties voor loon- en vennootschapsbelasting uitgegeven. Dat moet sinds dit jaar ook online. btw aangifte was al heel lang on-line.

Er is wel heel veel belastingsoftware in omloop, maar dat zijn alles 3th-party programma's. Bij het Chinese geval kan ik niet opmaken of dit een officieel programma van de staat was of dat dit ook een 3th party ontwikkelaar was. Ik denk het laatste omdat ze het over 'Aisino' hebben. (Maar de inbouw van de backdoor kan natuurlijk wel in opdracht van de staat geweest zijn.)
02-07-2020, 10:51 door [Account Verwijderd]
Door Briolet: De Nederlandse belastingdienst heeft volgens mij geen belasting software meer.
Nog genoeg software die je 'gratis' kan downloaden: https://play.google.com/store/apps/developer?id=Belastingdienst&hl=en_US. Of wat dacht je van dit rijtje overheids app: https://play.google.com/store/apps/developer?id=Rijksoverheid&hl=en_US.
02-07-2020, 16:51 door Anoniem
Ook niet bepaald off-topic over belastingsoftware:
Meneer Wiebes, zittend in het huidige kabinet, is als voormalig minister van de belastingdienst is trouwens ook 1 volledig trojaans paard dankzij het doordrukken als onverantwoord bestempelde software projecten bij de belastingdienst met een ongekend tempo zodat er vooral dingen fout kunnen gaan bij de belastingdienst - terwijl die dienst nou juist zo sterk op software is gaan leunen.....
02-07-2020, 20:14 door Anoniem
Door iatomory:
Los daarvan, vraagt niemand zich af waarom onze eigen belastingdienst de broncode van hun eigen apps niet openbaar maakt? Of Logius die van DigiD en de berichtenbox geheim wil houden? #blijfvragenstellen
Da's simpel. Die spaghettizooi is zo slecht geschreven dat de 'ontwikkelaars' zich ervoor schamen om hun code te publiceren.
04-07-2020, 07:14 door Anoniem
Lol amateur backdoor writer. Ik zou het als programmeur echt wel wat slimmer hebben aangepakt. Niet dat ik een voorstander ben van dat soort software. Echter je moet je in een crimineel kunnen verplaatsen. En je af vragen hoe zou ik het doen als ik slechte intenties had.

En nee ik ga het niet toelichten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure