Onbekende spionagegroep gebruikt Sauron-keylogger
Een voorheen onbekende spionagegroep blijkt doelen in België, China, Rusland en Zweden met een keylogger te bespioneren die het zelf de naam Sauron heeft gegeven. Beveiligingsbedrijf Symantec ontdekte de groep die minstens sinds oktober 2011 actief zou zijn en "Strider" wordt genoemd.
Symantec stelt dat de aanvallen mogelijk door een land zijn uitgevoerd, maar een naam wordt niet gegeven. Zo zou de groep "voorzichtige banden" met de spionagegroep hebben die het zeer beruchte en geavanceerde Flame-virus ontwikkelde. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld.
Bij één van de doelen van Strider werd de geavanceerde Regin-malware ontdekt, die aan de Amerikaanse inlichtingendienst NSA wordt toegeschreven. Hoe de malware zich precies verspreidt is op dit moment onbekend. Er werden wereldwijd slechts 36 infecties bij 7 organisaties in 4 landen ontdekt. Het gaat onder andere om organisaties en individuen in Rusland, een Chinese luchtvaartmaatschappij, een Zweedse organisatie en een ambassade in België.
Malware
De malware van de groep, die Remsec wordt genoemd, blijkt modulair van opzet. Via de modules hebben de aanvallers volledige controle over de computer. Om niet te worden opgemerkt past de malware verschillende technieken toe, zoals het gebruik uitvoerbare "blobs" (binary large objects) die lastig door anti-virussoftware zijn te detecteren. Ook is de malware alleen in het geheugen van besmette machines actief en wordt er niets naar de harde schijf geschreven, wat detectie ook bemoeilijkt.
Eén van de gebruikte modules is een keylogger die toetsaanslagen opslaat en gegevens naar een server van de aanvallers stuurt. Deze module wordt in de code van de aanvallers "Sauron" genoemd. "Gezien de eigenschappen bestaat de mogelijkheid dat de aanvallers deze module naar het alziende oog in Lord of the Rings hebben vernoemd", aldus Symantec.
Dit script zou op een van mijn installaties niet werken.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Pardon, wat is precies je punt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Triage Officer
bij het NCSC
Voor de komende jaren staat er het nodige te veranderen voor het NCSC. Het NCSC kent een uitdagende groei- en ontwikkelambitie. Dit biedt volop kansen en mogelijkheden. De doorontwikkeling van onze waakdienst is daarvan een erg belangrijke! Hiervoor zoeken wij meerdere Triage Officers, die de ogen en oren van cybersecurity Nederland worden. Welkom bij #TeamNCSC!
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.