image

Prutsers achter grootste cyberaanval ooit

zondag 7 augustus 2011, 12:07 door Redactie, 9 reacties

De grootste cyberaanval in de geschiedenis, waarbij gigabytes aan vertrouwelijke documenten bij bedrijven en overheden werden gestolen, wordt gekenmerkt door allerlei fouten en blunders aan de kant van de aanvallers. McAfee publiceerde deze week een rapport genaamd "Operatie Shady Rat", waarin het een langdurige cyberaanval beschrijft die de afgelopen vijf jaar tegen zo'n zeventig ondernemingen en overheidsdiensten plaatsvond.

De aanval is helemaal niet zo geavanceerd als in het rapport van McAfee wordt voorgedaan, daarnaast maakten de aanvallers verschillende fouten. Dat zegt beveiligingsbedrijf Symantec in eigen reactie op het rapport, genaamd "The Truth Behind Shady Rat". De aanvallers stuurden naar hun slachtoffers op maat gemaakte e-mails, met als bijlage een geïnfecteerd Excel-bestand. Dit bestand misbruikte een lek in het spreadsheetprogramma dat in 2009 door Microsoft werd gepatcht. De gebruikte exploit zorgde ervoor dat Excel tijdelijk vastliep of zelfs crashte.

Was de exploit succesvol, dan werd er een Trojaans paard geïnstalleerd dat met een aantal vast gedefinieerde adressen verbinding maakte. Het uitwisselen van informatie met deze command & control (C&C) servers gebeurde onder andere via steganografie, het verstoppen van boodschappen in afbeeldingen.

Blunders
De aanvallers hadden niet alleen hun server niet goed beveiligd, waardoor beveiligingsbedrijven toegang konden krijgen. Ze gebruikten ook verschillende analyseprogramma's om te zien hoe de aanvallen verliepen. Het ging onder andere om het programma Awstats. Daardoor werd het voor de onderzoekers een stuk eenvoudiger om alle slachtoffers in kaart te brengen.

Symantec erkent dat het om een grootschalige aanval ging, maar noemt die niet bijzonder. Er zouden dagelijks tal van dit soort aanvallen plaatsvinden. De virusbestrijder vindt het dan ook geen echte "advanced persistent threat" (APT). Een term die voor zeer geraffineerde aanvallen wordt gebruikt.

"Zeker als je de gemaakte fouten in het configureren van de servers overweegt en de basale malware en technieken die in dit geval gebruikt werden", zegt Hon Lau. "De mensen erachter zijn hardnekkig, maar niet meer dan andere malwaregroepen zoals Zeus, Tidserv en anderen." Daarnaast is de Shady Rat operatie volgens Symantec niet aan een bepaalde overheid toe te schrijven. Volgens één expert van een ander beveiligingsbedrijf zouden de aanvallen het werk van China zijn.

Reacties (9)
07-08-2011, 13:36 door Anoniem
Ik vind het wat kort door de bocht om het af te doen als gepruts.
Als er gigabytes aan informatie is buit gemaakt, lijkt me de kraak behoorlijk geslaagd.

Ik begrijp overigens dat die zogenaamde "beveiligingsbedrijven" zelf servers hebben lopen hacken?
Inadmissible evidence and a mistrial waiting to happen. DAT vind ik nog eens gepruts.
07-08-2011, 15:45 door [Account Verwijderd]
Als "prutsers" zoveel data kunnen buitmaken dan waren de beheerders van de slachtoffers op z'n minst even grote prutsers.
07-08-2011, 17:34 door Anoniem
Als "prutsers" zoveel data kunnen buitmaken dan waren de beheerders van de slachtoffers op z'n minst even grote prutsers.
Als een stomme user zomaar een attachment opent, gaat een beheerder daar weinig tegen kunnen doen.
Het gepruts is eerder van het managment dat weigert de users goed op te voeden m.b.t. verantwoord internetgebruik. Tegen dom klikvee valt sowiezo niets te doen anders dan de ze internettoegang afnemen.

Ik (beheerder) loop er zelf ook regelmatig tegen aan.
Het is natuurlijk wel prutswerk als de systemen nog steeds niet zijn gepatcht.
07-08-2011, 19:50 door spatieman
dan niet grotere prutsers.
maar aan de andere kant.
als de werkgever zegt, nee, want het werk gaat voor, dan houd het als beheerder ook op..
alleen is die wel weer de zak als het fout gaat.
07-08-2011, 21:32 door Anoniem
Het is gewoon McAfee versus Symantec; de mijne is groter dan de jouwe, nee de mijne is groter dan de jouwe...
08-08-2011, 09:12 door Anoniem
Door Anoniem:
Als "prutsers" zoveel data kunnen buitmaken dan waren de beheerders van de slachtoffers op z'n minst even grote prutsers.
Als een stomme user zomaar een attachment opent, gaat een beheerder daar weinig tegen kunnen doen.
Het gepruts is eerder van het managment dat weigert de users goed op te voeden m.b.t. verantwoord internetgebruik. Tegen dom klikvee valt sowiezo niets te doen anders dan de ze internettoegang afnemen.

Ik (beheerder) loop er zelf ook regelmatig tegen aan.
Het is natuurlijk wel prutswerk als de systemen nog steeds niet zijn gepatcht.
als goede beheerder kun je gebruikers laten doen wat ze willen zonder dat het invloed moet hebben op de rest van het netwerk. zoiets heet beveiligen. niet zo moeilijk hoor om dit soort meuk buiten je netwerk te houden
08-08-2011, 10:47 door Anoniem
Je mag geen bijlage openen
je mag niet op onbekende sites surfen
je mag geen emailtjes van onbekende aannemen

Wat is dit voor brakke software ? Wanneer wordt er nu echts iets aan de beveiliging van Windows gedaan ?
Voorlopig krijgt de gebruiker de schuld van dit alles en wordt uitgemaakt voor stom klikvee.
08-08-2011, 12:02 door Night
Als het echt prutsers zijn dan is dat heel erg..
Ze konden jaren hun gang gaan zonder gepakt te worden. Bij de opsporing zijn het dus nog grotere prutsers.
De echte pro's zullen volledig onzichtbaar te werk kunnen gaan zou je kunnen concluderen.
08-08-2011, 13:26 door Anoniem
patch was in 2009 al beschikbaar...... ^^ het enige domme klikvee wat ik zie is de beheerder die de genoemde patch nog niet geinstalleerd heeft...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.