image

Geavanceerde spionage-rootkit besmet offline computers

vrijdag 28 februari 2014, 15:30 door Redactie, 6 reacties

Onderzoekers van een Duits anti-virusbedrijf hebben naar eigen zeggen één van de meest geavanceerde rootkits ooit ontdekt, die offline computers kan infecteren en voor spionagedoeleinden werd gebruikt. De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen.

Vanwege het rootkit-onderdeel is de malware zeer lastig te identificeren. Aan de hand van de structuur zeggen onderzoekers van het Duitse anti-virusbedrijf G Data dat Uroburos het werk van zeer ervaren programmeurs is. Daarbij wordt er zelfs aangenomen dat de ontwikkelaars aan nog geavanceerdere versies werken die nog ontdekt moeten worden.

Offline

De malware is ontwikkeld om in peer-to-peer-mode te werken, zodat het ook computers kan infecteren die niet op het internet zijn aangesloten. Via een computer die wel online is kunnen de aanvallers vervolgens de computers die offline zijn aansturen. Bestanden die de aanvallers willen stelen worden via de offline computers naar de online computer doorgestuurd, waarna de data naar de aanvallers gaat.

De oudste driver van Uroburos dateert uit 2011, wat mogelijk inhoudt dat de malware drie jaar langer verborgen bleef. Hoe Uroburos zich verspreidt, door wie die ontwikkeld is en wie de doelwitten zijn, is onbekend. In de code van de malware werden wel Russische woorden aangetroffen, wat er mogelijk op duidt dat de ontwikkelaars Russisch spreken, aldus de onderzoekers.

Die vermoeden dat de groep die de malware ontwikkelde ook achter een aanval tegen het Amerikaanse leger in 2008 zat. Een worm genaamd Agent.BTZ wist toen allerlei computers en netwerken van het leger te infecteren, wat uiteindelijk voor een verbod op USB-sticks zorgde. Uroburos controleert op de aanwezigheid van Agent.BTZ. Wordt de worm aangetroffen, dan voert de spionage-rootkit geen verdere handelingen uit en blijft inactief.

Reacties (6)
28-02-2014, 16:29 door Anoniem
Ik kan in het oorspronkelijke verhaal nergens iets vinden over offline computers. Ja, er is wat onderzoek gedaan naar gebruik van microfoons en luidsprekers om informatie door te geven, maar ik heb niet echt idee dat deze malware daar gebruik van maakt.

Ik verwacht dan ook dat mijn laptop, die geen actieve netwerkaansluiting heeft, op geen enkele wijze opgenomen kan worden in dit peer-to-peer netwerk.

Wat in het artikel staat, duidt eerder op een exfiltratie machine die een verbinding heeft met internet en met de (eveneens) besmette computer. Maar dat is oud nieuws. Dat wordt al jaren gedaan bij APT aanvallen.

Peter
28-02-2014, 16:42 door Anoniem
Dat klinkt interessant, dan moet er toch een kabel of wireless/bluetooth in aan staan om peer to peer besmet te raken.
Haal offline maar uit het artikel want dat klopt niet. Bedoeld is dat de computers niet op Internet hoeven te zitten.
28-02-2014, 17:32 door Anoniem
By commanding one infected machine that has Internet connection, the malware is able to infect further machines within the network, even the ones without Internet connection.

Een computer zonder internetverbinding zou ik toch wel offline willen noemen
28-02-2014, 17:52 door vimes
Een beetje vreemd verhaal. Een doorsnee worm verspreidt zich ook prima over netwerken zonder dat er verbinding met internet is. Niks nieuw onder de zon dus. En een dergelijke situatie als offline beschouwen is mi onjuist. Een computer is pas offline als er totaal geen verbinding met een andere computer mogenlijk is. En voor de paranoia's onder ons liever ook geen lichtnet.
01-03-2014, 03:56 door Anoniem
Dit ruikt naar een G Data promotieverhaal.
Tja, als de utp-kabel uit m'n PC is, het ding kan geen Wifi aan, dan wil ik wel eens zien hoe m'n PC besmet raakt met deze malware.

Via het lichtnet mischien, en dan de voeding van m'n PC in en dan verder via het moederbord naar de HDD en dan het OS in?
01-03-2014, 13:36 door Anoniem
Verklaard misschien wel het flikkeren van led lampen, wat overal alleen maar lijkt toe te nemen.

Als fabrikanten van PC voedingen en moederborden verplicht worden bepaalde frequenties niet uit de voeding te filteren dan zou in theorie een FSK-sginaal op het lichtnet gebruikt kunnen worden om geheugenadressen in een computer te overschrijven met mallware code. De mallware zou de gestolen info kunnen verpakken op gebrande CD's of USB sticks om ze op een ander device via Internet te versturen. Wellicht dat een slimme meter gebruikt kan worden als zender voor het signaal; zo worden alleen de computers in een bepaald gebouw besmet. Het zou wel het 'verplicht' gebruik van deze meter goed kunnen verklaren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.