image

Systeembeheerders doelwit getrojaniseerde beheersoftware

maandag 13 februari 2017, 14:43 door Redactie, 5 reacties

Systeembeheerders zijn het doelwit geworden van een aanval waarbij getrojaniseerde beheersoftware werd ingezet om toegang tot bedrijfsnetwerken te krijgen. Dat laat beveiligingsbedrijf RSA weten. Het betreft legitieme software die voornamelijk door beheerders van Windows-systemen wordt gebruikt en waar een backdoor aan was toegevoegd.

Om welk pakket het precies gaat heeft RSA nog niet laten weten. "Door zich te richten op een applicatie die bijna alleen door zakelijke Windows-systeembeheerders wordt gebruikt, krijgen de aanvallers direct toegang tot de meest gevoelige onderdelen van een bedrijfsnetwerk", zegt Amy Blackshaw van RSA. Volgens het beveiligingsbedrijf zou de getrojaniseerde beheersoftware slecht door standaard anti-virussoftware worden gedetecteerd.

De belangrijkste vraag blijft echter om welke software het gaat en hoe de getrojaniseerde versie werd verspreid. We hebben RSA dan ook om opheldering gevraagd. In het verleden is het vaker voorgekomen dat websites van softwareleveranciers zijn gehackt om malware te verspreiden. Zo is er regelmatig via de officiële website van computerbeheersoftware Ammyy Admin een besmette versie aangeboden.

Update

Het rapport van RSA over de aanval staat nu ook online (pdf), alleen zijn de naam van de software en leverancier in kwestie achterwege gelaten. De software zou echter door allerlei grote organisaties, banken, overheidsinstanties, telecomaanbieders en onderwijsinstellingen worden gebruikt. Verder blijkt dat de aanvallers de website en het updatesysteem van de leverancier hebben gehackt om hun malware te verspreiden. Zo werden getrojaniseerde downloads aangeboden en besmette updates verspreid.

Reacties (5)
13-02-2017, 15:27 door Anoniem
Advies is ook al je tools van de officiele download sites van de leverancier te downloaden, niet van een tussenpartij.
13-02-2017, 18:53 door Anoniem
De error melding in figuur 9 en de leesbare filename en signature delen in figuur 5 van de RSA PDF doen vermoeden dat het gaat om EvLog2 van Altair Technologies
14-02-2017, 05:44 door Anoniem
Mja, als het zowel via de website als ook het update process wordt aamgeboden dan is het game-over. Tenzij je netwerk of host IDS iets verdachts opmerken.

Ik mag hopen dat dit dan gelijk het einde betekend van deze "software ontwikkelaar". Goed voorbeeld voor de concurrentie om de eigen security nog eens na te lopen.
14-02-2017, 07:42 door Anoniem
Door Anoniem: Advies is ook al je tools van de officiele download sites van de leverancier te downloaden, niet van een tussenpartij.

Uit het artikel:
Verder blijkt dat de aanvallers de website en het updatesysteem van de leverancier hebben gehackt om hun malware te verspreiden. Zo werden getrojaniseerde downloads aangeboden en besmette updates verspreid.

Ik ben het helemaal met jouw advies eens, maar in dit geval had je daar niets aan gehad.......
21-02-2017, 19:53 door Anoniem
Artikel op KrebsonSecurity hierover, het gaat om het product EVlog, van Altair Technologies Ltd.

https://krebsonsecurity.com/2017/02/how-to-bury-a-major-breach-notification/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.