F-Secure: spionagegroep werkt voor Russische overheid
Een groep cyberspionnen werkt al sinds 2008 voor de Russische overheid en is verantwoordelijk voor verschillende spionagecampagnes waarbij inlichtingen op het gebied van buitenlands beleid en veiligheid werden buitgemaakt, zo claimt het Finse anti-virusbedrijf F-Secure in een uitgebreid rapport (pdf).
De groep wordt "Duke" genoemd en is al zeker 7 jaar actief. Voor het infecteren van doelwitten worden voornamelijk spear phishingmails gebruikt. De berichten bevatten besmette bijlagen, zoals een apenfilmpje, of links naar een website die malware via een ongepatcht beveiligingslek probeert te installeren. Op één kwetsbaarheid na, in Adobe Reader, waren alle beveiligingslekken die de groep aanviel op het moment van de aanvallen al gepatcht.
Slachtoffers hadden zich dan ook kunnen beschermen door beveiligingsupdates tijdig te installeren. De enige keer dat er geen spear phishing werd gebruikt was bij de 'OnionDuke' malware. Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid. Zodra Tor-gebruikers een programma via het Tor-netwerk binnenhaalden werd er in real-time malware aan het bestand toegevoegd.
Rusland
Het toeschrijven van aanvallen aan een bepaald land is zeer lastig, maar in dit geval zegt F-Secure dat de spionagegroep door de Russische overheid wordt gesponsord. Daarvoor baseert de virusbestrijder zich op de motivatie en doelen van de groep. "Op basis van wat we nu over de doelwitten weten die Duke de afgelopen 7 jaar koos, gaat het consistent om entiteiten die met buitenlands beleid en veiligheidszaken verband houden", aldus het Finse anti-virusbedrijf.
De voornaamste partij die van het werk van de cyberspionnen profiteert is de Russische overheid, zo stelt F-Secure. Zo zijn er Russische woorden in de Duke-malware aangetroffen en is de groep actief tijdens kantooruren in Rusland. Verder bestaan de doelwitten uit Oost-Europese ministeries van Buitenlandse Zaken, westerse denktanken en overheidsinstanties en zelfs Russisch sprekende drugsdealers. "Al het beschikbare bewijs suggereert volgens ons dat de groep voor Rusland werkt en we zijn niet bekend met bewijs dat anders laat zien."
waar is snowden ?
Nee dat heb je helemaal mis.
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Misschien kun je je eerst in de materie verdiepen voordat je zomaar iets neerzet....
"Trojaans paard via Tor-netwerk en torrents verspreid
De Russische Tor-node die onlangs werd ontdekt en malware aan downloads toevoegde, blijkt een Trojaans paard te hebben verspreid dat voor gerichte aanvallen was bedoeld. Daarnaast werd de malware ook verspreid via geïnfecteerde torrents, zo meldt het Finse anti-virusbedrijf F-Secure."
https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid
Helemaal mee eens, spear phishing is een targeted attack. Het gaat namelijk niet om alleen inloggegevens via een phishingpagina:
Spear phishing may be defined as “highly targeted phishing aimed at specific individuals or groups within an
organization.” Coined as a direct analogue to spearfishing, spear phishing makes the use of information about a
target to make attacks more specific and “personal” to the target. Spear-phishing emails, for instance, may refer
to their targets by their specific name, rank, or position instead of using generic titles as in broader phishing
APT campaigns frequently make use of spear-phishing tactics because these are essential to get high-ranking
targets to open phishing emails. These targets may either be sufficiently aware of security best practices to avoid
ordinary phishing emails or may not have the time to read generic-sounding messages. Spear phishing significantly
raises the chances that targets will read a message that will allow attackers to compromise their networks. In
many cases, spear-phishing emails use attachments made to appear as legitimate documents because sharing via
email is a common practice among large enterprises and government organizations—the usual targets of APT
campaign
Check http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf
Waaruit haal jij uit dat ze het verschil niet weten? Ik vindt het vrij aannemelijk dat malware door zowel een Tor-server als een Torrent verspreid kan worden.
Nee dat heb je helemaal mis.
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Nee, dat klopt niet helemaal.
Spear phishing is een gerichte aanval via (bijvoorbeeld) mail om de ontvanger een malafide link of attachment te laten openen.
F-secure heeft het hier goed.
Spear phishing wordt in dit soortgevallen gebruikt als onderdeel van een targeted attack.
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Lees het artikel maar even. De redactie snapt het verschil wel.
Spear phishing is een subtype van phishing. Phishing gaat altijd over het vissen naar iets, meestal inloggegevens of credit card gegevens of iets dergelijks. Spear phishing is doelgerichte phishing. Bijvoorbeeld email verzonden naar een voor de aanvallers bekend persoon met toegang tot een bankrekening met hoog saldo.
Nee, dat zou een zeer ongebruikelijke mix van twee verschillende soorten aanvallen zijn. Zulke uitspraken zaaien alleen maar verwarring.
Lees nog maar eens wat de echte definitie is: 14:40 door Anoniem:
Spear phishing is doelgerichte phishing. Phishing is het overreden van de gebruiker om inloggegevens prijs te geven.
"targeted attack" is historische term om aanvallen via malware (doorgaans trojans) aan te duiden. Dat zijn twee verschillende aanvallen, ieder met hun eigen terminologie.
Overigens wordt bij sophisticated targeted attacks veelvuldig gebruik gemaakt van zero day of recent ontdekte exploits. Het doel is om data te stelen van de getroffen organisatie. Dit wordt doorgaans gedaan door geheime diensten van landen en door criminelen die de gestolen data verkopen aan landen of anderen die daar veel geld voor over hebben.
De malware wordt voor relatief weinig aanvallen gebruikt om zodoende onder de radar te blijven van antivirus scanners. Na verloop van tijd wordt de malware en de onbekende exploit vaak toch ontdekt. Dit wordt ook soms aangeduid met APT, advanced persistent threats, maar dat dekt de lading ook niet volledig. Het is wel advanced (sophisticated) en persistent, maar het is niet alleen een threat, het is een daadwerkelijke aanval.
Er wordt wat aangerommeld met de terminologie. Meestal door PR lieden. We hebben niet nodig dat mensen die het verschil kunnen weten ook al de verkeerde termen gaan gebruiken. Zoals het misbruik van het woord virus wanneer een trojan wordt bedoeld.
Zorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Het moet er ook niet staan. Lees https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid dan zie je dat de aanval via een Tor-server en torrent-bestanden liep. Er wordt dus GEEN torrent netwerk bedoeld.
http://www.trendmicro.com/vinfo/us/security/definition/targeted-attacks
En spear Phishing: http://www.trendmicro.com/vinfo/us/security/definition/spear-phishing
Ik was er toevallig bij toen de term targeted attack werd gecoined. Maar jij weet het kennelijk beter met je wiki en FAQ kennis.
Er is wel degelijk een verschil tussen een .torrent bestand, en bestanden die via het torent netwerk worden gedeeld.
Het laatste zal wel bedoeld worden, maar het staat er niet.
Het moet er ook niet staan. Lees https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid dan zie je dat de aanval via een Tor-server en torrent-bestanden liep. Er wordt dus GEEN torrent netwerk bedoeld.
Heel gek, ik lees zojuist het artikel dat je aanhaalt, en lees "De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden"
"In het geval van de kwaadaardige Tor-exitnode werden downloads van Tor-gebruikers vervangen door een "wrapper". Deze wrapper bevatte het originele bestand en het Trojaanse paard.Zodra de gebruiker de download opende werden zowel het Trojaanse paard als het originele bestand geïnstalleerd, waardoor de gebruiker dacht dat alles prima was verlopen. Aan de hand van de gevonden malware-exemplaren stelt F-Secure dat de aanvallers achter de malware al sinds oktober 2013 op deze manier bestanden van malware voorzien.
Sinds februari van dit jaar zou de malware zich ook op een andere manier verspreiden, namelijk torrent-bestanden. De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden."
Oftewel, "Deze malware werd via een kwaadaardige Tor-server en Torrent-bestanden verspreid". Dus torrent en het tor-netwerk zoals in de tekst staat en ik steeds herhaal!
Zorg eerst dat je je op de hoogte stelt van de gangbare terminologie (onder professionals) en nadat je dan hebt toegegeven dat je fout zit, praten we verder.
Tot daarna :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.