image

Onderzoekers ontdekken Linux-versie van Winnti-malware

maandag 20 mei 2019, 10:27 door Redactie, 20 reacties

Onderzoekers van securitybedrijf Chronicle, dat onderdeel van Alphabet is, hebben een Linux-versie van de Winnti-malware ontdekt. Winnti is malware die bij gerichte aanvallen is ingezet en cyberspionage als doel heeft. Farmaconcern Bayer werd door de malware getroffen, alsmede staalgigant ThyssenKrupp.

De malware zou ook zijn gebruikt bij softwarebedrijf TeamViewer en verschillende Aziatische gameontwikkelaars. De aanvallers wisten daar in te breken en legitieme gesigneerde games en een gamingplatform-app van een backdoor te voorzien. In 2015 maakte een Vietnamees securitybedrijf melding dat een gamingbedrijf door de malware was getroffen. Bij het onderzoek naar deze melding ontdekten onderzoekers van Chronicle de Linux-versie van de Winnti-malware.

Die blijkt uit twee bestanden te bestaan, een backdoor en een library. Verder vonden de onderzoekers indicatoren voor drie verschillende campagnes waarbij de Linux-versie zou zijn ingezet. Welke organisaties door de malware besmet zijn geraakt laten de onderzoekers niet weten. Ze merken op dat mogelijk is om een grote internetscan naar besmette systemen uit te voeren, maar dat de resultaten waarschijnlijk alleen een subset zijn van systemen die direct via internet toegankelijk zijn en bijvoorbeeld geen interne systemen.

De onderzoekers van Chronicle merken op dat de aanvallers herhaaldelijk hun expertise hebben gedemonstreerd in het compromitteren van Windows-gebaseerde omgevingen. Dat ze nu ook naar Linux-malware grijpen kan erop duiden dat aan te vallen organisaties van Linux gebruikmaken of dat ze proberen te profiteren van een blinde vlek binnen organisaties als het om security-telemetrie gaat. Naast details over de malware hebben de onderzoekers ook verschillende indicatoren vrijgegeven waarmee organisaties kunnen kijken of ze besmet zijn geraakt.

Reacties (20)
20-05-2019, 11:06 door Bitje-scheef
Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
20-05-2019, 11:26 door Anoniem
Door Bitje-scheef: Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
Ik kom op de een of andere manier veel vaker de bewering tegen dat anderen in die fabel geloven dan mensen die zelf beweren dat Linux onkwetsbaar is. Zelfs mensen die beweren dat het superieur is aan alternatieven gaan voor zover ik het overzie steeds uit van competent beheerde systemen en niet van magie.

Om zelf niet net zo drammerig over te komen als de mensen die je wilt tegenspreken is het handig om overtrokken claims pas tegen te spreken als ze werkelijk gedaan worden, niet voordat ze gedaan worden.
20-05-2019, 12:25 door Anoniem
Door Bitje-scheef: Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
Oh, niemand met een beetje achtergrondkennis die dat probeert vol te houden. Natuurlijk kan alles kaduuk, maar als dat je enige weerwoord is, verraadt dat een gebrek aan inhoudelijke argumenten.

Persoonlijk heb ik zoiets van, "linux malware? zou eens tijd worden." Want hoe lang gaat dat nou al mee? Hoeveel lekken, remote code execution, lokale privilege escalatie en nog meer van zulke exploits zijn er nou wel niet bekend? Ruim genoeg om malware mee te maken, zou je denken.

Kennelijk vertellen de aantallen niet het hele verhaal. Kennelijk is werkzame malware bouwen op linux zo veel moeilijker dan rommelen op dat andere platform dat veel van de malwareknutselaars er helemaal nooit aan beginnen. Je zou dus kunnen zeggen dat linux tot nu to het maar makkelijk heeft gehad door incompetentie, zowel van malwareknutselaars als van de alom gerespecteerde genieën in redmond.

Om daar nou "zie je wel! zie je wel!" op te gaan roepen, tsja, wat denk je daar mee te bereiken? Dat het stiekem toch een goed idee was om van linux weg te blijven en op het alom gebruikte windows te vertrouwen ondanks alle keren dat dat vertrouwen hard beschaamd geworden is? Ik denk dat als je dat denkt dat je dan jezelf een rad voor de ogen aan het draaien bent.
20-05-2019, 13:03 door Anoniem
Door Anoniem:
Door Bitje-scheef: Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
Oh, niemand met een beetje achtergrondkennis die dat probeert vol te houden. Natuurlijk kan alles kaduuk, maar als dat je enige weerwoord is, verraadt dat een gebrek aan inhoudelijke argumenten.

Persoonlijk heb ik zoiets van, "linux malware? zou eens tijd worden." Want hoe lang gaat dat nou al mee? Hoeveel lekken, remote code execution, lokale privilege escalatie en nog meer van zulke exploits zijn er nou wel niet bekend? Ruim genoeg om malware mee te maken, zou je denken.

Kennelijk vertellen de aantallen niet het hele verhaal. Kennelijk is werkzame malware bouwen op linux zo veel moeilijker dan rommelen op dat andere platform dat veel van de malwareknutselaars er helemaal nooit aan beginnen. Je zou dus kunnen zeggen dat linux tot nu to het maar makkelijk heeft gehad door incompetentie, zowel van malwareknutselaars als van de alom gerespecteerde genieën in redmond.

Om daar nou "zie je wel! zie je wel!" op te gaan roepen, tsja, wat denk je daar mee te bereiken? Dat het stiekem toch een goed idee was om van linux weg te blijven en op het alom gebruikte windows te vertrouwen ondanks alle keren dat dat vertrouwen hard beschaamd geworden is? Ik denk dat als je dat denkt dat je dan jezelf een rad voor de ogen aan het draaien bent.
Blijf maar lekker dromen en ga met lekker door met het bedrijven struisvogelpolitiek.
20-05-2019, 14:19 door Anoniem
Blijf maar lekker dromen en ga met lekker door met het bedrijven struisvogelpolitiek.
Ik vind het toch wel vreemd dat je hier op dit forum nooit Linux en Mac-"problemen" tegenkomt als het om malware gaat of om welke problemen dan ook. En dat die mensen dan hier om raad komen vragen.

Van al die jaren dat op mijn beide systemen een virusscanner zitten, is nog niet 1x malware binnengekomen die het systeem heeft gecompromitteerd. En dat zeg ik zeker niet omdat ik een Linux-Mac-fanboy zou zijn. Deze systemen zijn gewoon probleemloos en dat zullen ze ook wel blijven denk ik. En dat zeg ik als voormalig Windows-gebruiker.
20-05-2019, 16:47 door Anoniem
lol hier een andere anoniem. Ik ben jarenlang c programmeur geweest. En stel dat ik malware zou ontwikkelen..waarom zou ik het voor Linux doen als minstens 3/4 Windows gebruikt.

Zo eenvoudig is dat.

Net zoals een inbreker die liever inbreekt in een woning met een open deur i.p.v. een 3 dubbel beveiligde woning. En aangezien heel veel bendes uit bepaalde gebieden komen kan ik mij niet voorstellen dat die veel anders denken.

Tenzij ze een specifiek doel voor ogen hebben wat linux gebruikt.

Je zou anderzijds ook kunnen denken dat de een windows omgeving steeds lastiger te hacken is en nu de andere omgevingen wellicht interessanter worden.

En als C programmeur zeg ik...niets is onmogelijk. klaar. Laat staan als je nog een niveau lager werkt...
20-05-2019, 16:58 door Anoniem
Door Bitje-scheef: Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
Maar het ene OS (Linux) is wel veiliger dan het andere OS(Windows).
Niet alleen het aantal kwetsbaarheden in een OS telt, maar ook het aantal malware-aanvallen dat op een bepaald OS is gericht. Verder maakt het uit of je een (internet)server runt of een PC/werkstation client.

Als we het over PCs of werkstations hebben:

hoewel een Linux PC tegenwoordig mogelijk zelfs wel meer kwetsbaarheden bevat dan Windows 10, is Linux gemiddeld vermoedelijk nog altijd de veiligste optie. Waarom? Omdat er nog altijd veel minder virusssen en virusaanvallen op Linux zijn gericht. Daarbij zijn er in de Linuxwereld veel Live DVDs beschikbaar. Met een Live-DVD is het meestal een kwestie van even je PC uit/aan (liefst ook de restspanning op condensatoren nog even laten weglopen) en de kans is groot dat je hierna geen besmet systeem meer hebt.
20-05-2019, 18:41 door karma4 - Bijgewerkt: 20-05-2019, 18:43
Door Anoniem: ..
Niet alleen het aantal kwetsbaarheden in een OS telt, maar ook het aantal malware-aanvallen dat op een bepaald OS is gericht. ....
Met de grote hoeveelheid open databases brakke Webservers en meer zoals hard code Passwords hoef je niet eens aan malware te beginnen. Je krijgt alles als gratis en voor niets in dat soort open omgevingen.

De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn. Eigenaren zoeken het daar maar uit of losgeld betalen.
21-05-2019, 00:01 door Anoniem
Door karma4:
De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn..
Ik als simpele computeraar heb geen idee wat een mongool db is. Ik Linux maar gewoon verder zonder virusscanner en dat gaat tot nu toe prima.
21-05-2019, 06:19 door [Account Verwijderd] - Bijgewerkt: 21-05-2019, 06:38
Door Anoniem:
Door Bitje-scheef: Zoals je ziet is geen enkel OS veilig. De illusie dat MAC of Linux niet getroffen kan worden is echt een fabel. Is het moeilijker ? Ja maar niet onmogelijk.
Ik kom op de een of andere manier veel vaker de bewering tegen dat anderen in die fabel geloven dan mensen die zelf beweren dat Linux onkwetsbaar is.

Inderdaad!

Door karma4:
Door Anoniem: ..
Niet alleen het aantal kwetsbaarheden in een OS telt, maar ook het aantal malware-aanvallen dat op een bepaald OS is gericht. ....
Met de grote hoeveelheid open databases brakke Webservers en meer zoals hard code Passwords hoef je niet eens aan malware te beginnen. Je krijgt alles als gratis en voor niets in dat soort open omgevingen.

De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn. Eigenaren zoeken het daar maar uit of losgeld betalen.

Wat een wanhopige en zielige poging om amateuristisch beheer af te schuiven op het gebruikte besturingssysteem en free open source software. Terwijl een kleuter kan bedenken dat er geen enkel verband hiermee is.

Denk je serieus dat je security.nl zou kunnen kraken omdat het met een (FOSS) LAMP stack is gebouwd? Ik denk eerder het tegenovergestelde.

https://en.m.wikipedia.org/wiki/LAMP_(software_bundle)
21-05-2019, 08:23 door linuxpro
Door Anoniem: lol hier een andere anoniem. Ik ben jarenlang c programmeur geweest. En stel dat ik malware zou ontwikkelen..waarom zou ik het voor Linux doen als minstens 3/4 Windows gebruikt.

Zo eenvoudig is dat.


3/4 van wat? thuisgebruikers, ja misschien vroeger. heb je niet opgelet, de pc/notebook is in veel huishoudens vervangen door een tablet / smartphone en die dingen draaien (god zijn dank) geen Windows maar iets van Android of iOS. 3/4 van gebruikers op het werk, ja daar wordt nog wel (te) veel Windows gebruikt. 3/4 van de servermarkt? Ook niet, ook daar maakt Microsoft de pis niet lauw en is het aandeel linux/unix vele malen groter.

Ik zou zeggen, kom eens onder je steen vandaan en kijk eens om je heen. De wereld is veranderd.
21-05-2019, 10:28 door Anoniem
god zijn dank) geen Windows maar iets van Android
Waarom god zijn dank, ik heb niets met Windows maar die die spyware van Google is geen haar beter.
21-05-2019, 10:47 door Anoniem
Door Anoniem: lol hier een andere anoniem. Ik ben jarenlang c programmeur geweest. En stel dat ik malware zou ontwikkelen..waarom zou ik het voor Linux doen als minstens 3/4 Windows gebruikt.
Je gaat nu uit van een malware auteur die generieke malware wil schrijven met een zo groot mogelijke impact. Dit artikel gaat over andere malware schrijvers: er wordt een target gekozen en de malware wordt aangepast op hetgeen er in dat bedrijf aanwezig is aan hard- en software. Het target bedrijf is hier leidend, niet het marktaandeel van een OS of techniek. Belangrijk om dat onderscheid te maken.
21-05-2019, 15:01 door Anoniem
Door linuxpro:
Door Anoniem: lol hier een andere anoniem. Ik ben jarenlang c programmeur geweest. En stel dat ik malware zou ontwikkelen..waarom zou ik het voor Linux doen als minstens 3/4 Windows gebruikt.

Zo eenvoudig is dat.


3/4 van wat? thuisgebruikers, ja misschien vroeger. heb je niet opgelet, de pc/notebook is in veel huishoudens vervangen door een tablet / smartphone en die dingen draaien (god zijn dank) geen Windows maar iets van Android of iOS. 3/4 van gebruikers op het werk, ja daar wordt nog wel (te) veel Windows gebruikt. 3/4 van de servermarkt? Ook niet, ook daar maakt Microsoft de pis niet lauw en is het aandeel linux/unix vele malen groter.

Ik zou zeggen, kom eens onder je steen vandaan en kijk eens om je heen. De wereld is veranderd.
Onder welke steen leef jij dan. Kantoor automatisering bestaat nog steeds voor 80-90% uit MS servers. Slaap lekker verder onder je steen.
21-05-2019, 15:24 door Anoniem
Door karma4:
Door Anoniem: ..
Niet alleen het aantal kwetsbaarheden in een OS telt, maar ook het aantal malware-aanvallen dat op een bepaald OS is gericht. ....
Met de grote hoeveelheid open databases brakke Webservers en meer zoals hard code Passwords hoef je niet eens aan malware te beginnen. Je krijgt alles als gratis en voor niets in dat soort open omgevingen.

De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn. Eigenaren zoeken het daar maar uit of losgeld betalen.

Herhaling:
16:58 door Anoniem.................Verder maakt het uit of je een (internet)server runt of een PC/werkstation client.

Als we het over PCs of werkstations hebben:
...........etc......etc.............
O ja,
en draai op een PC/werkstation dan geen applicaties die in wezen een server van de PC/werkstation maken.(uiteraard).
21-05-2019, 20:12 door [Account Verwijderd]
Door Anoniem: Kantoor automatisering bestaat nog steeds voor 80-90% uit MS servers. Slaap lekker verder onder je steen.

Bron voor deze stelling?
22-05-2019, 09:07 door [Account Verwijderd]
Door Kapitein Haddock:
Door Anoniem: Kantoor automatisering bestaat nog steeds voor 80-90% uit MS servers. Slaap lekker verder onder je steen.

Bron voor deze stelling?

Dat dacht ik al (stilte). Onzinverhaal dus. Op servers draait Linux.
23-05-2019, 22:09 door karma4
Door Anoniem:
Door karma4:
De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn..
Ik als simpele computeraar heb geen idee wat een mongool db is. Ik Linux maar gewoon verder zonder virusscanner en dat gaat tot nu toe prima.

Even googlen https://www.techzine.nl/nieuws/418082/mongodb-databases-worden-twee-jaar-na-eerste-aanvallen-nog-steeds-gegijzeld.html huur wat computers in de cloud doe wat hippe snelle projecten, maak je niet druk of het veilig moet.
Heb je iemand die daarna vraagt https://www.security.nl/posting/610083/Overheid+over+op+één+nieuwe+Baseline+Informatiebeveiliging[/url doe dat dan af als onbegrijpelijk irrelevant want Linux opensource en zo.
23-05-2019, 22:53 door [Account Verwijderd] - Bijgewerkt: 23-05-2019, 22:55
Door karma4:
Door Anoniem:
Door karma4:
De laatste in die hoek is dat 10 duizenden Mongo db's maar eens door hackers verwijderd zijn..
Ik als simpele computeraar heb geen idee wat een mongool db is. Ik Linux maar gewoon verder zonder virusscanner en dat gaat tot nu toe prima.

Even googlen https://www.techzine.nl/nieuws/418082/mongodb-databases-worden-twee-jaar-na-eerste-aanvallen-nog-steeds-gegijzeld.html huur wat computers in de cloud doe wat hippe snelle projecten, maak je niet druk of het veilig moet.
Heb je iemand die daarna vraagt https://www.security.nl/posting/610083/Overheid+over+op+één+nieuwe+Baseline+Informatiebeveiliging doe dat dan af als onbegrijpelijk irrelevant want Linux opensource en zo.

Kortom, karma4 heeft ook geen idee...
25-05-2019, 13:12 door Krakatau
Door Kapitein Haddock: Denk je serieus dat je security.nl zou kunnen kraken omdat het met een (FOSS) LAMP stack is gebouwd? Ik denk eerder het tegenovergestelde.

https://en.m.wikipedia.org/wiki/LAMP_(software_bundle)

LAMP voor security.nl? Serieus? Zal wat gekost hebben en wat kosten in onderhoud om dat met PHP te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.