'Malware die air-gapped systemen infecteert jarenlang ingezet in Europa'
Malware die air-gapped systemen kan infecteren is jarenlang ingezet in Europa, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. De aanvallen zijn volgens de virusbestrijder het werk van een spionagegroep genaamd GoldenJackal, die een niet nader genoemde overheidsorganisatie in Europa van mei 2022 tot en met maart 2024 meerdere keren met de malware aanviel.
Bij een air-gap is een systeem fysiek gescheiden van onveilige netwerken, zoals het internet of onveilige lokale netwerken. Een offline of niet verbonden computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. ESET ontdekte twee verschillende toolsets van de spionagegroep die air-gapped systemen via besmette usb-sticks proberen te infecteren.
De initiële infectiemethode is echter onbekend. De aanval begint bij systemen die met internet verbonden zijn en besmet worden. Zodra op deze systemen een usb-stick wordt aangesloten zal de malware die infecteren. Wanneer de besmette usb-stick vervolgens op een air-gapped systeem wordt aangesloten, en de gebruiker de malware uitvoert, zal ook dit systeem besmet raken. ESET denkt dat de malware hiervoor een map-icoon gebruikt. De gebruiker denkt een map te openen, terwijl het in werkelijkheid een uitvoerbaar bestand is.
Zodra de malware is uitgevoerd kopieert die gegevens van het air-gapped systeem naar de usb-stick. Zodra de usb-stick weer op het met internet verbonden systeem wordt aangesloten kan de gestolen data van het air-gapped systeem naar de aanvallers worden gestuurd. De eerste toolset om air-gapped systemen aan te vallen wordt volgens ESET al sinds 2019 door GoldenJackal ingezet. In dat jaar was een Zuid-Aziatische ambassade in Belarus het doelwit. De tweede toolset is sinds 2022 in gebruik.
"Met de vereiste complexiteit is het vrij bijzonder dat GoldenJackal in vijf jaar tijd niet één, maar twee verschillende toolsets heeft ontwikkeld en uitgerold om air-gapped systemen te infecteren", aldus de onderzoekers. Volgens het antivirusbedrijf laat dit zien dat de spionagegroep een 'geraffineerde dreigingsactor' is, die bekend is met de netwerksegmentatie die doelwitten toepassen.
maken, niet op het idee komen om het runnen van uitvoerbare bestanden te beperken tot 3 directories op de C: schijf...
Maak een AppLocker policy en schakel autorun van wisselbare media uit.
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
Of uitvoerbare bestanden zonder extensie, zelfde probleem ander OS.
(Desnoods lijm je de poorten maar dicht)
Als je wel informatie overdracht moet hebben, doe het dan via de juiste manier.
Gebruik eenrichtingsverkeer wanneer dat mogelijk is, of valideer de data die binnenkomt.
Ik schrijf USB niet helemaal af, het is een hele makkelijke manier van werken.
Maar als je het gebruikt, doe dan het minste de volgende stappen:
1. Zet verborgen bestandsextensies aan.
2. Heb een fatsoenlijke policy dat onbekende programma's blokkeert.
3. Scan aangesloten USB sticks voor malware of andere onverwachte data.
. (quarantaine van uitvoerbare bestanden voor onderzoek; ongebruikte extensies word toegang ontzegd.)
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
En daarom moet de hele planeet bloeden. Omdat sommige niet met een computer om kunnen gaan. Jaja, dat is inderdaad de trend. De hele planeet in rubbertegels.
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
Dan vink je de "Cursus nodig" optie aan in het gebruikte helpdesksysteem.
Een gebruiker die "vreemde namen" niet meer kan uitvoeren is ook veilig.
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
Ik heb liever een gebruiker die zijn bestandje niet kan openen dan geinfecteerde computers.
Klinkt als windows...
Klinkt als windows...
Uitvoeren is zeker slecht.
Denken dat er niks mis kan gaan als je een USB stick alleen leest - klinkt als mensen die niet zo bekend zijn met de werkelijke stand van (filesystem) security .
https://lore.kernel.org/lkml/20240417145446.uh2rqcbxlebnkbfm@quack3/
https://lore.kernel.org/lkml/20240417152941.GD2277619@mit.edu/
Bovenstaande URL betreffen natuurlijk Linux, maar ik heb geen enkele reden om aan te nemen dat andere OSen wel robuust zijn voor het threat model 'maliciously crafted filesytem' .
B I N G O , daar is 'ie weer: Het OS rampenplan ven het niet standaard tonen van bestandsextensies!
Dat soort gebruikers zou je heeeeel ver weg willen houden van airgaped systemen.
Ik snap er echt helemaal niets van, dus je heb een organisatie die een threat level heeft waarvoor ze denken wel met airgapd systemen te gaan werken, inclusie de vele uren die in inrichting en procedures gaat zitten om ermee te werken, maar het air gapped systeem voert gewoon een ongecontroleerde executable uit, is niet gehardend en de medewerker blijkbaar niet getraind?
Klinkt als windows...
Staat nergens dat het om administrator rechten gaat.
Het grootste probleem is dat in veel bedrijven te veel mensen toegang hebben tot te veel data.
Als de malware onder de user rechten gestart wordt mag het bij alle data waar de user bij mag.
Dit is niet alleen een Windows probleem maar bij Ubuntu desktop loop je datzelfde risico. Voor het gemak van de gebruiker wordt de USB drive automatisch gemount en als er 755 op een bestand zit mag iedereen dat gewoon starten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.