image

Kaspersky lokt cyberspionnen in de val (video)

vrijdag 12 april 2013, 15:45 door Redactie, 2 reacties

Al een aantal jaren vindt er een omvangrijke spionagecampagne tegen gamebedrijven over de hele wereld plaats, maar de cyberspionnen zijn tijdens hun operatie ook zelf bespioneerd. De meeste gerichte aanvallen waarbij geprobeerd wordt om organisaties binnen te dringen en waardevolle data te stelen lijken meestal op bedrijven in de energie-, defensie- en andere hightech sectoren gericht.

In het geval van de Winnti-malware zijn ontwikkelaars van computergames het doelwit. De groep die de malware inzet werd al in 2010 onderzocht door het Amerikaanse beveiligingsbedrijf HBGary. Eén van hun klanten, een gamebedrijf, was door de groep getroffen. Eind 2011 kwamen de cyberspionnen in het vizier van het Russische anti-virusbedrijf Kaspersky Lab.

Infecties
In de herfst van 2011 werd er op een 'gigantisch aantal' computers een Trojaans paard ontdekt. Alle besmette computers waren van mensen die een populair online spel speelden. Later bleek dat de malware via de officiële updateservers van het spel onder gebruikers was uitgerold. Ee werd zelf aangenomen dat de speluitgever de spelers wilde bespioneren.

Verder onderzoek wees uit dat het Trojaanse paard per ongeluk onder de spelers was verspreid. De criminelen achter de malware hadden het op bedrijven voorzien die spellen ontwikkelen en uitgeven. De gebruikte malware was een Trojaans paard dat 64-bit computers kon infecteren en van een geldig certificaat was voorzien.

Niet eerder was er 64-bit malware met een geldig certificaat ontdekt. Bedrijven kunnen bestanden met een certificaat signeren zo dat gebruikers weten van wie het afkomstig is. Tijdens het anderhalf jaar durende onderzoek werden nog een dozijn certificaten ontdekt die de malwaremakers hadden gestolen en gebruikt voor het signeren van hun Trojaanse paard.


Broncode
De groep had vooral als doel het stelen van de broncode voor online games, digitale certificaten van legitieme softwareleveranciers, informatie over netwerkinfrastructuren en het opzetten van productie- en gamingservers en nieuwe ontwikkelingen, zoals ideeën en ontwerpen.

Om meer inzicht in de werkwijze van de aanvallers te krijgen besloot Kaspersky Lab die in de val te lokken. In eerste instantie werd dit via twee virtuele machines gedaan. De aanvallers ontdekten al gauw dat ze niet op een echt systeem actief waren en verbraken de verbinding.

Voor de derde poging werd een fictief gamebedrijf opgezet dat uit verschillende werknemers zou bestaan. Eén van de machines werd besmet en maakte verbinding met de Command & Control-server van de aanvallers. Vervolgens gingen die handmatig de computer verkennen en probeerden ook andere machines in het netwerk aan te vallen.

Hoe de aanvallers te werk gingen laat Kaspersky in dit artikel en onderstaande video zien. Ondanks de pogingen om de activiteiten van de groep te verstoren zijn die volgens het Russische anti-virusbedrijf nog steeds actief.

Reacties (2)
13-04-2013, 21:41 door Anoniem
Helemaal niks met het artikel te maken maar leuk dat midnight commander even om de hoek komt kijken :)
14-04-2013, 22:45 door Anoniem
Door Anoniem: Helemaal niks met het artikel te maken maar leuk dat midnight commander even om de hoek komt kijken :)

Bijna goed, het is FAR manager (russische norton command kloon)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.