image

Microsoft vindt overheidsspyware bij zero day-aanval

vrijdag 16 december 2016, 11:42 door Redactie, 9 reacties

Europese internetgebruikers zijn eerder dit jaar het doelwit van een zero day-aanval van twee verschillende groepen geworden, waarbij ook een nieuwe versie van de overheidsspyware FinFisher werd ingezet. De twee aanvalsgroepen worden door Microsoft 'Promethium' en 'Neodymium' genoemd.

In tegenstelling tot andere groepen die systemen voor economische spionage of financiële redenen aanvallen, hebben deze twee groepen het vooral op informatie over bepaalde personen voorzien. De twee groepen hebben daarnaast gemeen dat ze allebei rond hetzelfde moment een zero day-lek in Adobe Flash Player gebruikten om gebruikers in een zelfde gebied aan te vallen. Alleen de aangevallen personen hebben geen overeenkomsten, aldus Microsoft.

Beide groepen maakten gebruik van hetzelfde onbekende lek in Adobe Flash Player om gebruikers met malware te infecteren. Promethium stuurde naar bepaalde gebruikers via instant messenger linkjes die naar een kwaadaardig Word-document wezen. Het document bevatte een embedded Flash-bestand dat de kwetsbaarheid aanviel en vervolgens malware installeerde. Dezelfde malware werd eerder al tegen Nederlandse en Belgische WinRAR-gebruikers ingezet.

Ook in het geval van de Neodymium-groep werd er met kwaadaardige Word-documenten gewerkt. Deze documenten werden echter via e-mail verstuurd. In het geval de aanval succesvol was werd de Wingbird-backdoor geïnstalleerd. Volgens Microsoft lijkt deze backdoor erg veel op FinFisher, spyware die speciaal voor overheden wordt ontwikkeld. Uit de statistieken blijkt dat Wingbird vooral tegen personen en individuele gebruikers wordt ingezet in plaats van dat het tegen netwerken wordt gebruikt.

Microsoft ontdekte tussen mei en november van dit jaar tientallen infecties, voornamelijk in Turkije. "FinFisher claimt dat het de software alleen aan overheidsinstanties verkoopt voor gebruik bij gerichte en rechtmatige strafonderzoeken. Het is waarschijnlijk dat de Wingbird-malware een relatief nieuwe versie van de commerciële spyware is. Het gebruik van FinFisher suggereert dat de exploit en spear phishingcampagne om die te verspreiden het werk zijn van een aanvalsgroep die waarschijnlijk banden met een statelijke actor heeft", aldus Microsoft in de nieuwste editie van het Security Intelligence Report (SIR). Naast Turkije werden er ook infecties in Duitsland, Groot-Brittannië en de Verenigde Staten aangetroffen.

Image

Reacties (9)
16-12-2016, 12:03 door Anoniem
" Coming soon in a selected 'IT theater' near you! "
16-12-2016, 12:29 door Anoniem
@Anoniem 12:03
Geen idee waar die reactie op slaat.

Betreft het artikel vindt ik het alleen maar goed dat mensen aangevallen worden. Het is hun eigen domme schuld om nog gebruik te maken van flash player.
16-12-2016, 13:21 door Anoniem
Kijk..zo zie je maar, (waarschijnlijk) overheidssoftware die in handen valt van criminelen. Leuk vooruitzicht met onze "terughackwet" en dan wilt de politie ook nog de zeroday lekken niet melden. Wordt steeds leuker op 't web.
16-12-2016, 13:47 door ph-cofi
Moderne opsporingstechnieken in de praktijk, strafrechtelijk of politiek gebaseerd. Stel... MS heeft gemerkt dat PC's van Gülen-sympathieke politici zijn "behandeld" op deze manier. Welke andere onderzoeken hebben ze in de gaten en zou men daarover ook contact hebben met regeringen? Het lijkt me dat MS regelmatig moet balanceren tussen burgerrechten, klantrechten en opsporingsdiensten en overheden.

Het lijkt wel alsof Adobe zelf altijd passief is in deze kwesties, fouten worden wel opgelost, maar lezen we ooit dat Adobe zelf iets in haar eigen software heeft opgespoord? Zo nee, is die software ontworpen als aanvalsvector? Misschien is dat wel de belangrijkste reden om het nooit meer te gebruiken.
16-12-2016, 14:40 door Anoniem
Daarom zeg ik. Je kan alleen als security datgene maar vertrouwen, wat ze zelf hebt gecontroleerd.
Wantrouw alles totdat bewezen is dat het kan worden vertrouwd.

Alles wat je zelf niet hebt gekeurd, bestempelen als potentieel onbetrouwbaar en dus gevaarlijk is de veiligste weg.
16-12-2016, 17:15 door Anoniem
nou heb nu ook met de nieuwe update dat er malware op staat maar heb alleen de update gedownload en daarnaa een malware bytes laten scannen en heb in eens 3 malware reacties die ik niet in het systeem kan terug vinden en ik kan het vewijderen maar dan staat het er na de herstart ook weer op
16-12-2016, 19:17 door spatieman
tja, nu nog een boer en kaas versie van de bundes trojaner, en nederland kan ook mee doen aan overheids DDOS aanvallen.
17-12-2016, 10:59 door Anoniem
Er zijn 2 gevaren: de overheids-spyware komt in handen van criminelen. Dit kan voorkomen worden door deze overheidsspyware niet te verkopen aan "corrupte" landen,landen waar veel corruptie voor komt,denk aan Turkije,maar ook bijv.Italie,Roemenie,Ex-Joegoslavia,zeg maar heel Oost-Europa,maar ook de Arabische landen,midden en zuid amerika,Azie. 2e gevaar is dat de overheidspyware niet alleen gebruikt wordt om te spioneren,maar ook om personal computers of bedrijfscomputers onklaar te maken, te saboteren,te verklooien en kijk dat laatste gaat echt TE VER! Ik vind dan ook dat mocht het blijken dat overheidsdiensten zoals politie,marechaussee,AIVD/MIVD misbruik maken of deze technologie/kennis in handen laten komen van criminelen danwel corrupte of vijandige landen dat het dan deze diensten verboden word om er nog langer gebruik van te maken.Het terreuraanslag- gevaar word net als in zovele (westerse) landen schromelijk overdreven,de burgers wordt angst aan gejaagd om nog meer privacy- beperkende en privacy aantastende maatregelen te kunnen nemen. Mogelijk zijn de aanslagen zoals 9/11,die in Frankrijk het werk van de regeringen zelf. Arabische en andere huurlingen worden ingezet tegen de eigen burgers om angst en terreur te zaaien. Het is toch inmiddels l duidelijk dat westerse landen Al Qaeda en IS steunen met geld en wapens,Al Qaeda was opgezet als wapen tegen de Russische troepen in Afghanistan,Bin Laden stond op de loonlijst vd CIA,zn dood is nog steeds omgeven door raadsels,zn lijk werd schijnbaar in zee gedumpt,niemand heeft ooit het lijk gezien,en degenen die dat wel moeten hebben gezien en hem gedood zouden hebben zijn op een enkeling na allemaal dood door "ongelukken".Wel vreemd,nietwaar? Ik denk dat de NLse regering deelneemt aan een groot internationaal complot om de vrijheden en rechten vd (westerse) burgers drastisch te beperken en deze overheidsspyware is daar mede een bewijs voor.Laat u niet wijs maken dat het voor uw,mijn,ons aller veiligheid en vrijheid gaat,die veiligheid en vrijheid van ons kan ze geen ene moer schelen. Ze willen wel die vrijheid drastisch beperken. Vele westerse landen zo niet alle zijn bij dit complot betrokken:de VS,Ver.Koninkrijk,Frankrijk,Australie,Nederland zitten wat mij betreft bij de groep verdachte landen.
17-12-2016, 11:37 door Anoniem
En Duitsland,niet te vergeten. Finfisher is Duits produkt. En niet Fins,wat je gezien de naam vd tool zou kunnen denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.