Onbekende spionagegroep gebruikt Sauron-keylogger
Een voorheen onbekende spionagegroep blijkt doelen in België, China, Rusland en Zweden met een keylogger te bespioneren die het zelf de naam Sauron heeft gegeven. Beveiligingsbedrijf Symantec ontdekte de groep die minstens sinds oktober 2011 actief zou zijn en "Strider" wordt genoemd.
Symantec stelt dat de aanvallen mogelijk door een land zijn uitgevoerd, maar een naam wordt niet gegeven. Zo zou de groep "voorzichtige banden" met de spionagegroep hebben die het zeer beruchte en geavanceerde Flame-virus ontwikkelde. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld.
Bij één van de doelen van Strider werd de geavanceerde Regin-malware ontdekt, die aan de Amerikaanse inlichtingendienst NSA wordt toegeschreven. Hoe de malware zich precies verspreidt is op dit moment onbekend. Er werden wereldwijd slechts 36 infecties bij 7 organisaties in 4 landen ontdekt. Het gaat onder andere om organisaties en individuen in Rusland, een Chinese luchtvaartmaatschappij, een Zweedse organisatie en een ambassade in België.
Malware
De malware van de groep, die Remsec wordt genoemd, blijkt modulair van opzet. Via de modules hebben de aanvallers volledige controle over de computer. Om niet te worden opgemerkt past de malware verschillende technieken toe, zoals het gebruik uitvoerbare "blobs" (binary large objects) die lastig door anti-virussoftware zijn te detecteren. Ook is de malware alleen in het geheugen van besmette machines actief en wordt er niets naar de harde schijf geschreven, wat detectie ook bemoeilijkt.
Eén van de gebruikte modules is een keylogger die toetsaanslagen opslaat en gegevens naar een server van de aanvallers stuurt. Deze module wordt in de code van de aanvallers "Sauron" genoemd. "Gezien de eigenschappen bestaat de mogelijkheid dat de aanvallers deze module naar het alziende oog in Lord of the Rings hebben vernoemd", aldus Symantec.
Dit script zou op een van mijn installaties niet werken.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Pardon, wat is precies je punt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Local Information Security Officer
Zorg jij ervoor dat we veilig met onze data omgaan? We zijn op zoek naar een security officer met aandacht voor informatie-beveiliging. Je zorgt voor opzet, monitoring en uitdragen van beleid op vlak van informatiebeveiliging. Dit doe je vanuit IT security en IT compliance perspectief voor de organisatie DFM N.V.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?