Kaspersky: sterke link tussen gelekte tools en Equation Group
Er is een sterke link tussen de tools en exploits die deze week op internet verschenen en de spionagegroep genaamd Equation Group, zo stelt het Russische anti-virusbedrijf Kaspersky Lab. Het was Kaspersky Lab dat vorig jaar het bestaan van de Equation Group openbaar maakte.
De groep spionnen zou banden met de Amerikaanse inlichtingendienst NSA hebben en beschikte over zeer geavanceerde malware. Deze week liet een groep die zichzelf ShadowBrokers noemt weten dat het toegang tot exploits, bestanden en tools van de Equation Group had gekregen. Verdere technische informatie om deze claim te onderbouwen werd niet gegeven. Kaspersky Lab besloot de gelekte bestanden te analyseren en stelt dat verschillende honderden tools uit het lek een sterke link met de Equation Group hebben.
Implementatie
De virusbestrijder baseert zich op de manier waarop de spionagegroep twee encryptie-algoritmes heeft geïmplementeerd. De Equation Group maakt namelijk uitgebreid van de RC5- en RC6-encryptie-algoritmes gebruik. De manier waarop de spionnen de encryptie toepassen is echter opmerkelijk. In de meeste publieke RC5/RC6-code wordt met de constante 0x9E3779B9 gewerkt. In het geval van de Equation Group wordt echter van de constante 0x61C88647 gebruik gemaakt.
Deze constante vonden onderzoekers ook in de door ShadowBrokers gelekte tools. "Als we de oudere bekende RC6-code van Equation Group vergelijken met de code die in de meeste bestanden van het nieuwe lek wordt gebruikt, zien we dat ze functioneel identiek zijn en dezelfde bijzondere eigenschappen met betrekking tot hun implementatie delen", aldus de onderzoekers van Kaspersky Lab.
Aan de hand van de overeenkomsten stellen ze met hoge mate van zekerheid dat de tools van het ShadowBrokers-lek gerelateerd zijn aan de malware van de Equation Group. "Hoewel de ShadowBrokers claimden dat de data van de Equation Group was, gaven ze geen technisch bewijs om dit te onderbouwen. Deze zeer specifieke encryptie-implementatie hieronder bevestigt deze claims."
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
VA heeft Stuxnet mischien wel gevonden maar kaspersky heeft de analyse gedaan. Tevens hebben we het hier over threat actors die hun kenis niet zomaar even op de openmarkt kunnen gooien. Die gasten worden echt wel in de gaten gehouden. En als die zich bij een andere groep aansluiten en hun kenis van blackops delen dan plegen ze landsveraad in oorlogstijd.
Er zijn op dit moment meerdere sources die bevestigen dan het inderdaad om een toolkit gaat van de NSA hoe die in het bezit is gekomen van ShadowBrokers staat nog ter discussie.
Geweldig...
Ooit gehoord van een black market en variants van malware?
Dit bedrijf zakt steeds verder in geloofwaardigheid voor mij persoonljik.
Geen aanname: een concreet feit dat de module die deze groep gebruikt overal in hun malware voorkomt (en zij als enigen).
Van de malware die zij van deze groep hebben gevonden zijn geen varianten en gezien de modus operandi van de groep is de kans dat deze op een black market verkochten niet aanwezig.
Er is daarnaast al een oud-TAO medewerker die bevestigd heeft dit dit inderdaad één van de tools waren die zij gebruikte (en ze nog veel uitgebreidere tools bezitten).
Kaspersky is niet het bedrijf dat zomaar wat roept. Hun technische analyse van de malware families van deze groep is zeer diepgaand (zij waren ook diegene die na Stuxnet de families hebben gevonden).
Kaspersky roept niet zomaar?
ik denk dat je even buiten hun eigen websites en reportings moet zoeken en dat je dan wel wat tegen kan komen.
Zij hebben stuxnet niet gevonden, dat was VirusBlokAda .
Dat malware overeenkomt zegt niet dat het dezelfde groep is, zo vaak dat een schrijver zijn eigen pad kiest of zichzelf bij een andere groep aansluit.
Over die TAO medewerker: source?
Dat een variant niet bekend is of gevonden, betekend niet dat hij niet bestaat, denk aan het feit dat men de aarde als plat zag.
VA heeft Stuxnet mischien wel gevonden maar kaspersky heeft de analyse gedaan. Tevens hebben we het hier over threat actors die hun kenis niet zomaar even op de openmarkt kunnen gooien. Die gasten worden echt wel in de gaten gehouden. En als die zich bij een andere groep aansluiten en hun kenis van blackops delen dan plegen ze landsveraad in oorlogstijd.
Er zijn op dit moment meerdere sources die bevestigen dan het inderdaad om een toolkit gaat van de NSA hoe die in het bezit is gekomen van ShadowBrokers staat nog ter discussie.
Er waren nog wat andere vragen, zou je die ook kunnen beantwoorden?
Nogsteeds opzoek naar die source.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.