Nieuws
image

Amerikaanse en Britse bedrijven gehackt via zeer oud Java-lek

donderdag 6 augustus 2015, 17:32 door Redactie, 4 reacties

De afgelopen jaren zijn Amerikaanse en Britse bedrijven gehackt via een beveiligingslek in Java dat in 2011 al door Oracle werd gepatcht. De aanvallers die achter de aanvallen zitten verstuurden daarnaast ook zip-bestanden met malware naar hun slachtoffers. Dat heeft Dell SecureWorks bekendgemaakt.

Om de bedrijven via het oude Java-lek aan te vallen hackten de aanvallers zo'n 100 websites die door werknemers werden bezocht. Het ging dan om websites van grote productiebedrijven, ambassades van landen uit het Midden-Oosten, Europa en Azië in Washington D.C. en non-gouvernementele organisaties (Ngo's). Om ervoor te zorgen dat alleen de juiste bedrijven werden aangevallen gebruikten de aanvallers een whitelist. Op basis van IP-adres werd bepaald of gebruikers via het Java-lek werden aangevallen.

De groep zou ook andere bekende kwetsbaarheden waarvoor patches beschikbaar waren hebben aangevallen, maar de Java-kwetsbaarheid zou met name populair zijn geweest. Zodra er toegang tot de machine van een werknemer was verkregen werd een kwetsbaarheid in JBoss uit 2010 gebruikt om de browsers van andere gebruikers naar de aanvalscode door te sturen, zodat de aanvallers ook toegang tot andere systemen kregen.

Social engineering

Naast het aanvallen van bekende kwetsbaarheden gebruikten de aanvallers ook social engineering. Zo werden er gerichte e-mails naar doelwitten gestuurd met een zip-bestand. Het zip-bestand bevatte zowel legitieme bestanden als de malware. Zo bevatte één van de zip-bestanden een pdf-bestand, een afbeelding en de malware die als bestand was vermomd. Doordat Windows standaard geen bestandsextensies weergeeft zagen gebruikers in dit geval niet dat de "afbeelding" bijvoorbeeld op .exe eindigde.

Volgens Dell hadden de aanvallers het vooral voorzien op defensiebedrijven en werd er gezocht naar informatie over Amerikaanse defensieprojecten. Bedrijven en organisaties in andere sectoren waren echter ook het doelwit. Hoeveel bedrijven de aanvallers hebben weten te compromitteren is niet bekendgemaakt.

Reacties (4)
06-08-2015, 20:14 door Anoniem
Kijk daar heb je weer van die "niet updaters"!
Voor straf upgraden naar Windows 10 !
Eigen schuld!
06-08-2015, 22:49 door karma4 - Bijgewerkt: 06-08-2015, 22:51
Dat "niet updaten" is een probleem veroorzaak doordat er allerlei applicaties bovenop draaien. Die ketting is zo naar dat een update in het OS of andere onderdelen de applicaties onderuit haalt. Dit is meteen na een actie duidelijk. Met ITIL wordt geleerd dat een verandering gevaarlijk is en je dat bij het niet weten van de impact moet tegenhouden. Er wordt niet geleerd dat het tegenhouden van onderhoud/vernieuwing ook gevaar met zich meebrengt. Dat gevaar van geen onderhoud plegen (technical debt ALM SDLCM) stapelt zich op en is niet meteen merkbaar.

Op zich al raar dat bestanden met deze extensie door de mailsystemen heen gekomen zijn. Een beetje modern mailsysteem is al tijden zo in te stellen dat het er niet eens doorheen komt.
07-08-2015, 09:41 door Anoniem
Door karma4: Dat "niet updaten" is een probleem veroorzaak doordat er allerlei applicaties bovenop draaien. Die ketting is zo naar dat een update in het OS of andere onderdelen de applicaties onderuit haalt. Dit is meteen na een actie duidelijk. Met ITIL wordt geleerd dat een verandering gevaarlijk is en je dat bij het niet weten van de impact moet tegenhouden. Er wordt niet geleerd dat het tegenhouden van onderhoud/vernieuwing ook gevaar met zich meebrengt. Dat gevaar van geen onderhoud plegen (technical debt ALM SDLCM) stapelt zich op en is niet meteen merkbaar.

Op zich al raar dat bestanden met deze extensie door de mailsystemen heen gekomen zijn. Een beetje modern mailsysteem is al tijden zo in te stellen dat het er niet eens doorheen komt.

Daarom dus een TS achter een hoop protected systems en een goede beveiligde gateway.
Maar security is duur, helaas voor deze mensen niet zo duur als het geintje wat ze nu is overkomen.
07-08-2015, 10:33 door [Account Verwijderd]
Door Anoniem:
Daarom dus een TS achter een hoop protected systems en een goede beveiligde gateway.
Maar security is duur, helaas voor deze mensen niet zo duur als het geintje wat ze nu is overkomen.
Relatief gezien is security niet duur.
Zoals jij zelf al opmerkt is zo een soort situatie veel duurder.

Als eerste moet je als bedrijf zijnde erachter komen dat je gehackt ben.
Dan moet je een forensisch expert binnenhalen die aangeeft wat er allemaal kapot is en wat ertegen gedaan kan worden.
Je moet je gebruikers op een cursus zetten, zodat het niet nogmaals gebeurt
Waarschijnlijk ook je administrators op cursussen zetten zodat ze weten wat ze moeten doen in zo een geval
En tot slot, je data ligt op straat. Klant data, bedrijfsgeheimen, informatie die in ieder geval flink financiële schade kunnen aanrichten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search