Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse.
De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken.
Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen. Hiervoor monitort Daxin al het inkomend tcp-verkeer op bepaalde patronen.
Wanneer de backdoor een dergelijk patroon herkent, verbreekt het de verbinding met de legitieme ontvanger en neemt de verbinding over. De gekaapte tcp-verbinding wordt vervolgens voor de communicatie gebruikt en laat de aanvallers ook communiceren met netwerken waarvoor strengere firewalleregels gelden. Ook voorkomt het de kans dat analisten van een security operations center (SOC) de malware ontdekken.
Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is.
De eerste versie van Daxin dateert van 2013, de laatste aanvallen met de malware werden afgelopen november waargenomen. Pas de latere varianten beschikken over alle geavanceerde features. Hoe doelwitten precies besmet raken laat Symantec niet weten. Ook de connectie met China wordt niet verduidelijkt. Het securitybedrijf zegt binnenkort met meer informatie te komen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om de analyse van Daxin te bekijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.