image

Spionagevirus infiltreert wereldwijd ambassades

maandag 14 januari 2013, 14:26 door Redactie, 5 reacties

Er is een nieuwe cyberspionage-campagne ontdekt die tegen ambassades en wetenschappelijke onderzoeksorganisaties uit verschillende landen gericht was, en slaagde omdat de slachtoffers beveiligingsupdates voor Microsoft Office niet hadden geïnstalleerd. Operatie "Red October", zoals het Russische anti-virusbedrijf Kaspersky Lab de aanval noemt, zou al in 2007 zijn begonnen en is nog steeds gaande.

De primaire focus van de campagne is gericht op landen in Oost-Europa, de voormalige Sovjetrepublieken en landen in Centraal-Azië. Slachtoffers zijn echter overal te vinden, inclusief in West-Europa en Noord-Amerika. Het is de aanvallers vooral te doen om het verzamelen van gevoelige documenten van de getroffen organisaties.

Updates
De organisaties raakten geïnfecteerd via e-mailbijlagen waarin een kwaadaardig Office-document zat verstopt. De aanval werkte alleen omdat de updates voor de beveiligingslekken waar deze documenten misbruik van maakten, niet waren geïnstalleerd. Waren de computers wel gepatcht, dan hadden de documenten geen schade veroorzaakt en waren de computers niet besmet geraakt.

Het gaat ook om beveiligingslekken waar al geruime tijd updates voor beschikbaar zijn. Zo zijn een Excel-lek uit 2009 en twee Word-lekken uit respectievelijk 2010 en 2012 ingezet. In eerste instantie verliepen de aanvallen alleen via het Excel-lek uit 2009. In de zomer van vorig jaar werden de Word-lekken ook gebruikt.

Datadiefstal
Om het netwerk van geïnfecteerde computers aan te sturen, creëerden de aanvallers meer dan 60 domeinnamen en diverse server hostlocaties in verschillende landen, waarvan het merendeel in Duitsland en Rusland. De gebruikte Command & Control (C2)-infrastructuur toont aan dat de keten van servers in feite dienst deed als proxies, om de locatie van de control server van het 'moederschip' te verbergen.

Op besmette systemen werden onder andere bestanden met de extensies: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr en acidssa gestolen.

De "acid*"-extensies in het bijzonder lijken te verwijzen naar de geheime "Acid Cryptofiler"-software die door verschillende instanties wordt gebruikt, van de Europese Unie tot de NAVO.

Malware
Naast het aanvallen van traditionele werkstations, is de 'Rocra-malware' ook in staat om data te stelen van mobiele apparaten zoals smartphones (iPhone, Nokia en Windows Mobile). De malware kan bovendien configuratiegegevens stelen van netwerkapparatuur zoals routers en switches, maar ook verwijderde bestanden van verwisselbare schijfstations. In totaal detecteerde de virusbestrijder duizend kwaadaardige bestanden, waarvan de eerste van mei 2010 dateert.

De malware wist meer dan 300 unieke systemen te infecteren, waarvan de meesten (35) in de Russische Federatie staan. België staat met 15 computers op een gedeeld derde plek.

"Met Rocra wisten de aanvallers meer dan 5 jaar onopgemerkt blijven en detectie van de meeste anti-virusproducten omzeilen, terwijl ze bezig bleven met het stelen van gegevens, wat inmiddels terabytes zal bedragen", aldus Kaspersky Lab.

Reacties (5)
14-01-2013, 16:45 door Anoniem
Kasp heeft er belang bij de zaak te overdrijven, maar het ziet er wel weer behoorlijk indrukwekkend uit. En deze keer lijken het dus de Russen te zijn, voor de verandering.
14-01-2013, 17:41 door _roel
Fijn dat wij Nederlanders geen slachtoffer zijn van deze aanvallen, volgens Kaspersky :P
Het lijkt erop dat Kaspersky vindt dat hun marktaandeel in Nederland groot genoeg is.

Is natuurlijk vooral als humor bedoelt deze post, spionage activiteiten zijn, en blijven een hot item in de infosec wereld.
14-01-2013, 19:19 door Anoniem
Andere domeinen op dezelfde IP als de nt-* domeinen.

brecciori.com
bunkeromi.com
burgunershro.com
caesubj.com
cairnar.com
carbouc.com
caressf.com
carpsman.com
casiderhet.com
ceiveyanie.com
ciderme.com
cisterererpa.com
closseiz.com
colledgie.com

Dat ziet er niet uit als een willkeurige verzameling. De meeste zijn niet meer in gebruik.
14-01-2013, 22:09 door Anoniem
Lees eerst het artikel maar eens voordat je dit bagataliseert roel...
15-01-2013, 19:34 door spatieman
/alu hoed mode
russen of chinezen, het zijn bijde communisten. dus een pot nat
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.