Onbekende spionagegroep gebruikt Sauron-keylogger
Een voorheen onbekende spionagegroep blijkt doelen in België, China, Rusland en Zweden met een keylogger te bespioneren die het zelf de naam Sauron heeft gegeven. Beveiligingsbedrijf Symantec ontdekte de groep die minstens sinds oktober 2011 actief zou zijn en "Strider" wordt genoemd.
Symantec stelt dat de aanvallen mogelijk door een land zijn uitgevoerd, maar een naam wordt niet gegeven. Zo zou de groep "voorzichtige banden" met de spionagegroep hebben die het zeer beruchte en geavanceerde Flame-virus ontwikkelde. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld.
Bij één van de doelen van Strider werd de geavanceerde Regin-malware ontdekt, die aan de Amerikaanse inlichtingendienst NSA wordt toegeschreven. Hoe de malware zich precies verspreidt is op dit moment onbekend. Er werden wereldwijd slechts 36 infecties bij 7 organisaties in 4 landen ontdekt. Het gaat onder andere om organisaties en individuen in Rusland, een Chinese luchtvaartmaatschappij, een Zweedse organisatie en een ambassade in België.
Malware
De malware van de groep, die Remsec wordt genoemd, blijkt modulair van opzet. Via de modules hebben de aanvallers volledige controle over de computer. Om niet te worden opgemerkt past de malware verschillende technieken toe, zoals het gebruik uitvoerbare "blobs" (binary large objects) die lastig door anti-virussoftware zijn te detecteren. Ook is de malware alleen in het geheugen van besmette machines actief en wordt er niets naar de harde schijf geschreven, wat detectie ook bemoeilijkt.
Eén van de gebruikte modules is een keylogger die toetsaanslagen opslaat en gegevens naar een server van de aanvallers stuurt. Deze module wordt in de code van de aanvallers "Sauron" genoemd. "Gezien de eigenschappen bestaat de mogelijkheid dat de aanvallers deze module naar het alziende oog in Lord of the Rings hebben vernoemd", aldus Symantec.
Dit script zou op een van mijn installaties niet werken.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Dit script zou op een van mijn installaties niet werken.
Hahahaha, pruts script ? Als u het blauwe balkje bovenaan deze pagina bedoelt, dat is een extract uit het script of zelfs de code.
Pardon, wat is precies je punt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.