Een groep cyberspionnen die bij het Duitse ministerie van Buitenlandse Zaken wist in te breken heeft Microsoft Outlook als effectieve backdoor gebruikt voor het bedienen van besmette computers en het stelen van vertrouwelijke gegevens. Dat meldt anti-virusbedrijf ESET vandaag in een analyse (pdf).
De spionagegroep staat bekend als Turla, maar wordt ook Snake of Uroburos genoemd. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zero day-lekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen.
Volgens ESET wist de groep in nagenoeg heel 2017 gegevens te stelen van computers van het Duitse ministerie van Buitenlandse Zaken. De aanval, die de Duitse inlichtingendiensten eind 2017 ontdekten, werd in maart 2018 openbaar gemaakt. De Microsoft Outlook-backdoor die de groep gebruikt is ook tegen de ministeries van Buitenlandse Zaken van twee andere Europese landen ingezet, alsmede het netwerk van een niet nader genoemd defensiebedrijf.
De backdoor die de groep gebruikt werkte eerst via het e-mailprogramma The Bat, dat veel in Oost-Europa wordt gebruikt, aldus ESET-onderzoeker Tomas Foltyn. Nieuwere versies maken echter gebruik van Microsoft Outlook. Hiervoor worden geen kwetsbaarheden in Microsofts e-mailprogramma gebruikt. In plaats daarvan werkt de backdoor via de Messaging Application Programming Interface (MAPI) van Outlook om de mailboxen van het slachtoffer te benaderen.
De aanvallers moeten een systeem eerst zien te infecteren voordat ze de malware kunnen installeren die van Microsoft Outlook een backdoor maakt. De backdoor wordt niet alleen gebruikt om besmette machines mee te besturen, maar ook om gegevens te stelen. De bediening vindt plaats via pdf-bestanden met opdrachten die via e-mail naar de besmette computer worden verstuurd.
Wanneer het slachtoffer een e-mail ontvangt of verstuurt, genereert de backdoor een logbestand met metadata van het bericht, waaronder de afzender, onderwerp en namen van eventuele bijlagen. Geregeld worden deze logbestanden gebundeld, samen met andere data, en verstuurd via een e-mailbericht waaraan een speciaal gemaakt pdf-document is toegevoegd.
In het geval van inkomende berichten controleert de backdoor op de aanwezigheid van een pdf-bestand dat opdrachten van de aanvallers bevat. Daarbij accepteert de backdoor opdrachten van iedereen die ze in een pdf-document kan encoderen. Mochten de hardcoded e-mailadressen van de aanvallers zijn geblokkeerd, dan kunnen ze op deze manier weer de controle over de backdoor krijgen door een e-mail vanaf een willekeurig e-mailadres te sturen.
De e-mails van de aanvallers worden daarnaast niet in de inbox weergegeven en ook notificaties van deze e-mailberichten worden geblokkeerd. De onderzoekers van ESET zeggen niet bekend te zijn met andere spionagegroepen die van een backdoor gebruikmaken die volledig via e-mails met pdf-bijlagen wordt bediend. Volgens Foltyn is de backdoor zo bestand tegen 'takedowns' door autoriteiten, dat die bijna met een rootkit is te vergelijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...
Ik las op diverse plekken dat Nederland een wet heeft aangenomen dat providers verplicht kunnen worden om Huawei-apparatuur uit ...
Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.