image

Bellingcat-journalisten doelwit van phishingaanval met zeroday

zondag 28 juli 2019, 12:43 door Redactie, 30 reacties
Laatst bijgewerkt: 29-07-2019, 09:26

Journalisten van onderzoekscollectief Bellingcat zijn het doelwit van een phishingaanval geworden waarbij de aanvallers een zerodaylek in een opensourcepakket gebruikten dat bij veel e-mailproviders in gebruik is. Dat laat e-mailprovider ProtonMail in een verklaring weten.

De aanvallers hadden het op de ProtonMail-accounts van de journalisten voorzien en verstuurden e-mails die van ProtonMail afkomstig leken. De phishingmails wezen naar een phishingsite die gebruikers vroeg om op hun ProtonMail-account in te loggen. De aanvallers hadden voor de aanval een tiental domeinen geregistreerd die op het domein van ProtonMail leken.

De aanvallers maakten ook gebruik van een zerodaylek in een niet nader genoemd opensourcepakket dat door veel e-mailproviders wordt gebruikt. De kwetsbaarheid werd gebruikt om spamfilters te omzeilen. ProtonMail stelt dat het al van deze kwetsbaarheid wist en al enige tijd op een beveiligingsupdate wacht. ProtonMail wil de naam van de software niet bekendmaken omdat het niet de ontwikkelaar is. "Deze kwetsbaarheid is niet algemeen bekend en wijst op een hoger niveau van de aanvallers", aldus ProtonMail.

Na ontdekking van de aanval heeft ProtonMail de betreffende registrars en hostingbedrijven geïnformeerd om de domeinen van de aanvallers offline te halen. Tevens is er met de Zwitserse politie samengewerkt om het Zwitserse domein dat bij de aanval werd ingezet te blokkeren.

In tegenstelling tot wat sommige nieuwsberichten claimen is ProtonMail niet gecompromitteerd, aldus de e-mailprovider. De phishingaanval is daarnaast ook mislukt. Geen van de journalisten heeft zijn inloggegevens ingevoerd. "E-mails van ProtonMail worden duidelijk met een ster in de ProtonMail-inbox aangegeven. Aanvallers kunnen dit niet spoofen", zo stelt de provider.

Image

Reacties (30)
28-07-2019, 13:46 door Anoniem
Laat me raden, IP adres van de enige PC die gekoppeld kan worden was van putin persoonlijk?
Tien domeinnamen registeren en dan toch precisietools gebruiken klinkt meer als NSA dan wat anders... beetje als pen uitvinden die in zero gravity werkt op zijn kop... dat is amerikaans.. russen pakken gewoon een potlood.
28-07-2019, 13:48 door Anoniem
Wat is dat voor een warrig verhaal op ThreatConnect? Het lijkt erop dat de schijver ergens een klok heeft horen luiden maar niet weet waar de klepel hangt.

"Building Out ProtonMail Spoofed Infrastructure with Creation Timestamp Pivoting"

Iemand probeert interessant te doen om een simpel phishing incident te beschrijven op een verkeerde manier, zonder onderscheid te maken tussen wat headers zijn en (E)SMTP commands.

Mail.de verzenders kunnen in principe alles wat ze willen via SMTP en IMAP sturen naar de mail.de mail servers. Het enige wat daar voor nodig is, is een mail.de account.
28-07-2019, 14:17 door Anoniem
Bellingcat......
Is dit dan een zogenaamde "catphish"?
28-07-2019, 14:47 door Anoniem
Ziet er niet uit als een geavanceerde phishing:

From: ProtonMail Team <support@protonmail.ch>, ProtonMail Team <support@mail.de>

Dat laatste email adres wijst op phishing.
28-07-2019, 16:09 door [Account Verwijderd]
Rijke voeding voor speculaties. Degenen die deze aanval hebben opgezet, of de opdracht hebben gegeven, zullen zich misschien na een gesmoorde vloek kort achter de oren krabben hoe effectief een eventuele wijzende vinger hen raakt. Bellingcat is beroemd èn... berucht.
28-07-2019, 17:40 door Anoniem
Het lijkt erop dat er ook pro-russische trollen actief zijn op dit forum.
28-07-2019, 22:08 door Briolet
Door Anoniem:
…From: ProtonMail Team <support@protonmail.ch>, ProtonMail Team <support@mail.de>

Dat laatste email adres wijst op phishing.

Mij verbaast het meer dat er twee "From:" afzenders zijn. Normaal kan dat niet. Is dat iets van protonmail, dat dit een soort geforwarde mail is waarbij beide adressen in de header komen?
28-07-2019, 22:11 door Briolet
Door Anoniem: Het lijkt erop dat er ook pro-russische trollen actief zijn op dit forum.

Blijkbaar heeft de redactie daar al op geanticipeerd. Ik merk bij de vorige post dat nu ook de berichten van geregistreerde gebruikers eerst gemodereerd worden, voordat ze zichtbaar worden.
28-07-2019, 23:05 door Anoniem
Was Bellingcat aanvankelijk niet die huisvader die op zolder het internet afstruinde op zoek naar....
29-07-2019, 00:43 door Anoniem
Door Anoniem: Laat me raden, IP adres van de enige PC die gekoppeld kan worden was van putin persoonlijk?
Tien domeinnamen registeren en dan toch precisietools gebruiken klinkt meer als NSA dan wat anders... beetje als pen uitvinden die in zero gravity werkt op zijn kop... dat is amerikaans.. russen pakken gewoon een potlood.
Dat van die pen en het potlood is een hardnekkige urban legend die maar door blijft gaan.
Niet zo verwonderlijk als je je commentaar begint met: Laat me raden.
Echt weer natte-vinger-werk, zoals zo vaak in dit forum.
29-07-2019, 07:44 door Bitwiper
Door Anoniem: Ziet er niet uit als een geavanceerde phishing:

From: ProtonMail Team <support@protonmail.ch>, ProtonMail Team <support@mail.de>

Dat laatste email adres wijst op phishing.
Meer dan 1 afzenderadres is vermoedelijk gebruikt om DMARC te omzeilen (vette opmaak halverwege toegevoegd door mij), uit https://tools.ietf.org/html/rfc7489#section-6.6.1:
[...]
In order to be processed by DMARC, a message typically needs to contain exactly one RFC5322.From domain (a single From: field with a single domain in it). Not all messages meet this requirement, and handling of them is outside of the scope of this document. Typical exceptions, and the way they have been historically handled by DMARC participants, are as follows:
[...]
o Messages bearing a single RFC5322.From field containing multiple addresses (and, thus, multiple domain names to be evaluated) are typically rejected because the sorts of mail normally protected by DMARC do not use this format;
[...]
The case of a syntactically valid multi-valued RFC5322.From field presents a particular challenge. The process in this case is to apply the DMARC check using each of those domains found in the RFC5322.From field as the Author Domain and apply the most strict policy selected among the checks that fail.

De DMARC ontwerpers hebben overwogen om in zo'n situatie het Sender field te evalueren (dat in zo'n situatie zou moeten bestaan, zie https://tools.ietf.org/html/rfc5322#section-3.6.2), maar aangezien MUA's dat meestal niet tonen, gebeurt dat niet (zie https://tools.ietf.org/html/rfc7489#appendix-A.3).

De regel "are typically rejected because the sorts of mail normally protected by DMARC do not use this format" is m.i. belachelijk; vanzelfsprekend houden phishers en spammers zicht niet aan de regels! We hebben protocollen nodig die nepmails als zodanig herkennen en deze ofwel droppen, ofwel met een flinke waarschuwing doorlaten (als je niet kunt aantonen dat iemand niet is wie hij zegt dat hij is, heeft het weinig zin om aan te tonen dat iemand wel is wie hij zegt dat hij is).

Helaas bestaan er veel te veel manieren om SPF, DKIM en DMARC te omzeilen...
29-07-2019, 07:50 door Anoniem
postfix zeroday ;)
29-07-2019, 08:49 door Anoniem
Laat me raden, IP adres van de enige PC die gekoppeld kan worden was van putin persoonlijk?

Leuk uit je duim gezogen, slaat inhoudelijk werkelijk nergens op.

Tien domeinnamen registeren en dan toch precisietools gebruiken klinkt meer als NSA dan wat anders...

Leuk uit je duim gezogen, slaat inhoudelijk wederom nergens op. Alsof enkel de NSA aanvallen uit kunnen voeren.

russen pakken gewoon een potlood.

Tuurlijk.....
29-07-2019, 08:50 door Anoniem
Ziet er niet uit als een geavanceerde phishing

Maakt het iets uit, zolang de aanval maar succesvol is ? Of denk je dat geavanceerdheid een doel op zich is ?
29-07-2019, 09:01 door Anoniem
Degenen die deze aanval hebben opgezet, of de opdracht hebben gegeven, zullen zich misschien na een gesmoorde vloek kort achter de oren krabben hoe effectief een eventuele wijzende vinger hen raakt.

Waarom zou het hen boeien ? Maakt het iets uit of er succesvolle attribution wordt verricht ? Belangrijker zal de vraag zijn of de aanval succesvol was, en of ze de informatie in handen hebben gekregen waar ze op uit waren.
29-07-2019, 09:27 door Anoniem
Door Anoniem: Bellingcat......
Is dit dan een zogenaamde "catphish"?
je zit te veel op dumpert als je denkt dat deze reactie past op security.nl

maar wel leuk op maandag ochtend.
29-07-2019, 11:04 door Anoniem
Door Anoniem: Ziet er niet uit als een geavanceerde phishing:

From: ProtonMail Team <support@protonmail.ch>, ProtonMail Team <support@mail.de>

Dat laatste email adres wijst op phishing.
Afgezien de zero day vulnerability waar nog geen fix voor is?

Blijkbaar bekijkt niet iedereen de code helemaal goed. Anders was deze allang bekend. Maar dat is het mooie van OS. Hackers hebben direct al toegang tot de code, en kunnen dus gemakkelijk bugs vinden en misbruiken.
29-07-2019, 11:12 door [Account Verwijderd]
Door Anoniem:
Degenen die deze aanval hebben opgezet, of de opdracht hebben gegeven, zullen zich misschien na een gesmoorde vloek kort achter de oren krabben hoe effectief een eventuele wijzende vinger hen raakt.

Waarom zou het hen boeien ? Maakt het iets uit of er succesvolle attribution wordt verricht ? Belangrijker zal de vraag zijn of de aanval succesvol was, en of ze de informatie in handen hebben gekregen waar ze op uit waren.

Vanuit IT gedacht OK maar boeit mij in deze context niet.
Speculaties - en daar quote je me nu net niet - is de allerheetste brij. Die kunnen door heetgebakerde politici als bron van zwartmaken > polarisatie > (diplomatieke) conflicten op internationale schaal worden misbruikt.
Denk aan Salvini, Putin, Trump, Johnson (nieuwe Britse premier) om enkele als het hen uitkomt naar populisme riekende (regerings)leiders te noemen.
Kijk naar: US/Noord-Korea, Iran/US, Rusland/Oekraïne.
Dit soort verwikkelingen zijn een risico voor instandhouding van vreedzame intenationale verhoudingen. En daar mag je gerust reëel bevreesd om zijn.
29-07-2019, 11:45 door Bitwiper
Om te voorkomen dat je tijd verspilt met een bijdrage waarin je schrijft wat hier de vermoedelijke "zero day" is: mijn reactie van tegen 8 uur vanochtend is niet geplaatst (best frustrerend als je ziet dat vervolgens anonieme reacties wel worden geplaatst).

Achteraf vermoed ik dat om dezelfde reden een eerdere reactie van Briolet niet is geplaatst.
29-07-2019, 12:17 door Briolet
Door Bitwiper: Achteraf vermoed ik dat om dezelfde reden een eerdere reactie van Briolet niet is geplaatst.

Ik zie mijn reactie inderdaad nog steeds niet. Die van twee minuten erna kon ik wel zo plaatsen. Zelf vermoedde ik dat de reactie voor moderatie achtergehouden werd doordat ik de reactie van "29-7-'19, 14:47" quote die een e-mail adres bevatte.
29-07-2019, 13:50 door Anoniem
Door Anoniem:
Ziet er niet uit als een geavanceerde phishing

Maakt het iets uit, zolang de aanval maar succesvol is ? Of denk je dat geavanceerdheid een doel op zich is ?

Ja, natuurlijk maakt het uit. Hoe geavanceerder de phishing aanval en hoe overtuigender de mail er uit ziet, hoe groter de kans van slagen. Dus nee, het is geen doel op zich, maar een middel om tot het gewenste resultaat te komen. Waarom stuur je anders dit soort mails.
29-07-2019, 15:01 door johanw
Door Anoniem: Was Bellingcat aanvankelijk niet die huisvader die op zolder het internet afstruinde op zoek naar....
Ja. Bellingcat is tegenwoordig gewoon een anti-Russische lobbyclub.
29-07-2019, 17:14 door Anoniem
Door Anoniem: Het lijkt erop dat er ook pro-russische trollen actief zijn op dit forum.

Dit is niveau van 1480 toen heksenjachten nog normaal waren. Bellingcat is ontzettend pro anglicaans/amerikaans dat is gewoon een feit. Met informatie die ze op internet vinden beweren ze feiten te fabriceren. Want immers wat op internet staat is waar. En vervolgens iedereen die nuchter na denkt met het niveau van meer dan een amoebe (wie zegt wat en wat hebben zij daar aan en wie geeft ze geld en op welke punten hebben ze al eerder laten zien niet betrouwbaar te zijn) kom je bij bellingcat al snel op het spoor van Amerikaanse sponsoring. Dus wanneer je roept "russische trollen" ben je ongeveer op het niveau van boeren in de 15de eeuw die eerst een vrouw aanranden of verkrachten en dan wanneer ze miepen ga je roepen "heks!!!"... wil je dat niveau uit blijven dragen of ga je onderbouwde bijdragen leveren?
30-07-2019, 00:36 door Anoniem
Door Anoniem:
Door Anoniem: Het lijkt erop dat er ook pro-russische trollen actief zijn op dit forum.
Bellingcat is ontzettend pro anglicaans/amerikaans dat is gewoon een feit.
Voor mij is het een stelling. Bewijs het maar!
30-07-2019, 09:44 door Briolet
Door Bitwiper: De regel "are typically rejected because the sorts of mail normally protected by DMARC do not use this format" is m.i. belachelijk; vanzelfsprekend houden phishers en spammers zicht niet aan de regels! We hebben protocollen nodig die nepmails als zodanig herkennen en deze ofwel droppen, ofwel met een flinke waarschuwing doorlaten (als je niet kunt aantonen dat iemand niet is wie hij zegt dat hij is, heeft het weinig zin om aan te tonen dat iemand wel is wie hij zegt dat hij is).

Als het 'typycally rejected' wordt, is het toch goed. Het is geen normaal mail formaat. Waarschijnlijk is dit de zero day waar ze op doelen, dat dit niet volgens het protocol verworpen was door de gebruikte software. Software schrijvers hebben er een handje van om geen rekening te houden met uitzonderingen die ze in de praktijk nog nooit gezien hebben, ook al staan ze in het protocol.
30-07-2019, 14:45 door Bitwiper
Eigenlijk heb ik niet meer zoveel zin om actief te zijn op security.nl (aangezien mijn bijdrage bijna een dag werd tegengehouden, terwijl politiek gekleurde crap bijdragen - zonder onderbouwing - wel werden geplaatst). Lastig discussiëren zo, en zonde van m'n tijd.

Door Briolet:
Door Bitwiper: De regel "are typically rejected because the sorts of mail normally protected by DMARC do not use this format" is m.i. belachelijk; vanzelfsprekend houden phishers en spammers zicht niet aan de regels! [...]

Als het 'typycally rejected' wordt, is het toch goed.
DMARC lijkt zich niet verantwoordelijk te voelen voor deze situatie (zie mijn onderbouwing hieronder). Het lijkt er sterk op dat DMARC zo'n mail niet afkeurt en ervan uit gaat dat een ander protocol of service dat maar moet doen.

Door Briolet: Het is geen normaal mail formaat.
Het wordt misschien zelden gebruikt, maar het is (helaas wat mij betreft) een geldig e-mail formaat. Uit de link die ik in mijn eerste bijdrage in deze draad noemde (https://tools.ietf.org/html/rfc5322#section-3.6.2):
The from field consists of the field name "From" and a comma-separated list of one or more mailbox specifications.
[...]
  from    = "From:" mailbox-list CRLF
  sender  = "Sender:" mailbox CRLF
[...]

Door Briolet: Waarschijnlijk is dit de zero day waar ze op doelen, dat dit niet volgens het protocol verworpen was door de gebruikte software. Software schrijvers hebben er een handje van om geen rekening te houden met uitzonderingen die ze in de praktijk nog nooit gezien hebben, ook al staan ze in het protocol.
Je kunt in dit geval software schrijvers niet de schuld geven, want het DMARC protocol is inconsistent - in elk geval met RFC 5322.

Als je in https://dmarc.org/Diff_draft-dmarc-base-00-02_IETF-00.html#part-l15 onder 11.1 kijkt (beide zijn voorlopers van de huidige standaard) zie je in beide versies staan:
[...]
This includes messages with multiple RFC5322.From fields (which is also forbidden under [MAIL]) [...]
waarbij [MAIL] verwijst naar RFC 5322 (https://tools.ietf.org/html/rfc5322).

Dat "multiple RFC5322.From fields" forbidden zijn is onjuist; kennelijk hadden de bedenkers van DMARC die standaard niet goed gelezen. En kennelijk is dit slechts deels (zie onder) "gecorrigeerd" voordat de standaard gepubliceerd werd.

Na mijn eerste bijdrage in deze draad heb ik verder onderzoek gedaan en kwam de volgende tekst tegen in de DMARC standaard, een stukje naar beneden in https://tools.ietf.org/html/rfc7489#page-9:
It is important to note that Identifier Alignment cannot occur with a message that is not valid per [MAIL], particularly one with a malformed, absent, or repeated RFC5322.From field, since in that case there is no reliable way to determine a DMARC policy that applies to the message. Accordingly, DMARC operation is predicated on the input being a valid RFC5322 message object, and handling of such non-compliant cases is outside of the scope of this specification.
Further discussion of this can be found in Section 6.6.1.
Hier staat dus nog dat volgens RFC 5322 een RFC5322.From veld precies 1 afzender zou moeten kennen, en dat klopt niet.

Met andere woorden, de bedenkers van DMARC vinden dat opzettelijk gemanipuleerde e-mails (die wel aan RFC5322 voldoen) "out of scope" zijn en lijken daarom te specificeren dat DMARC er niets mee moet doen (niet afkeuren dus). Vandaar mijn eerdere opmerking "We hebben protocollen nodig die nepmails als zodanig herkennen en deze ofwel droppen, ofwel met een flinke waarschuwing doorlaten (als je niet kunt aantonen dat iemand niet is wie hij zegt dat hij is, heeft het weinig zin om aan te tonen dat iemand wel is wie hij zegt dat hij is)".
30-07-2019, 16:09 door Briolet
Misschien wel inconsistent, maar als laatste alinea van https://tools.ietf.org/html/rfc7489#section-6.6.1 lees ik:

The case of a syntactically valid multi-valued RFC5322.From field presents a particular challenge. The process in this case is to apply the DMARC check using each of those domains found in the RFC5322.From field as the Author Domain and apply the most strict policy selected among the checks that fail.

Daar staat dat elk veld gecontroleerd moet worden en de strengste controle te gebruiken. Dus als één of meerdere from niet voldoen de strengste regel te hanteren die deze domeinen ingesteld hebben.

In dit geval heeft "mail.de" een dmarc policy van 'none' en waarschijnlijk is alleen deze afzender gecheckt door de software.
30-07-2019, 18:28 door Bitwiper
Door Briolet: Misschien wel inconsistent, maar als laatste alinea van https://tools.ietf.org/html/rfc7489#section-6.6.1 lees ik:
[...]
Weet ik (heb ik bewust opgenomen in m'n eerste bijdrage).

Door Briolet: Daar staat dat elk veld gecontroleerd moet worden en de strengste controle te gebruiken. Dus als één of meerdere from niet voldoen de strengste regel te hanteren die deze domeinen ingesteld hebben.
Dat vind ik een onzin-oplossing. Sowieso is er maar 1 return-path-domein dat door SPF gecheckt wordt, dus wat is "het strengste"?

Door Briolet: In dit geval heeft "mail.de" een dmarc policy van 'none' en waarschijnlijk is alleen deze afzender gecheckt door de software.
Als daarop gecheckt zou zijn, hadden deze phishers heus wel een "sender-domein" gekozen waar dat wel goed geregeld is. Sterker, wellicht hebben ze die optie bewust nog niet ingezet om nog een kans te hebben zodra protonmail (of hun software-leverancier) de "fix" implementeert die jij voorstelt.

In de DMARC spec had m.i. moeten staan dat mails met meer dan 1 RFC5322.From veld, en alle andere "non-compliant" mails, als kwaadaardig moeten worden beschouwd - door DMARC zelf dus. Een aanvaller heeft maar één gat nodig, dus zul je ze allemaal moeten dichten.
31-07-2019, 10:27 door Briolet
Door Bitwiper:
Door Briolet: Daar staat dat elk veld gecontroleerd moet worden en de strengste controle te gebruiken. Dus als één of meerdere from niet voldoen de strengste regel te hanteren die deze domeinen ingesteld hebben.
Dat vind ik een onzin-oplossing. Sowieso is er maar 1 return-path-domein dat door SPF gecheckt wordt, dus wat is "het strengste"?

Dat klopt niet. De SPF check op het returnpath is een andere dan de SPF check door DMARC. Die kijkt naar de domeinnaam in het From veld.

Op mijn server zijn dat ook twee onafhankelijke checks. DMARC kan voor elk From domein de SFP controleren. En omdat de kans groot is dat het afzender IP niet in beide SPF records staat, zal een van beide waarschijnlijk falen. De mail is dan nog steeds geldig als hij voor alle From adressen een DKIM ondertekening heeft.
31-07-2019, 12:05 door Bitwiper
Door Briolet:
Door Bitwiper: Sowieso is er maar 1 return-path-domein dat door SPF gecheckt wordt, dus wat is "het strengste"?

Dat klopt niet. De SPF check op het returnpath is een andere dan de SPF check door DMARC. Die kijkt naar de domeinnaam in het From veld.
Een DMARC implementatie conform RFC 7489 voert geen SPF check(s) uit. In de DMARC standaard is uitsluitend sprake van "identifier alignment".

M.a.w., bij de volgende gegevens (uitgaande van geen DKIM, en apestaart vervangen door _at_ om moderatie te voorkomen):
De ontvangende en checkende mailserver ontvangt de mail vanaf IP-adres A.B.C.D
RFC5321.MailFrom: <whatever_at_example.com>
RFC5322.From: <boeitniet_at_example.com>
gebeurt, als ik mij niet vergis, het volgende:

1) SPF checkt (onmiddelijk nadat RFC5321.MailFrom is ontvangen) of IP-adres A.B.C.D namens het domein in RFC5321.MailFrom e-mail mag verzenden;

2) DMARC checkt of de domeinen in RFC5321.MailFrom en RFC5322.From geheel (of gedeeltelijk) overeenkomen (de identifier alignment).

Door Briolet: Op mijn server zijn dat ook twee onafhankelijke checks. DMARC kan voor elk From domein de SFP controleren.
Dat is dan een implementatie die afwijkt van de standaard.

Door Briolet: En omdat de kans groot is dat het afzender IP niet in beide SPF records staat, zal een van beide waarschijnlijk falen.
Waarschijnlijk zo groot dat het onzinnig is om mails te sturen met meerdere RFC5322.From afzenders uit verschillende domeinen. Je kunt je de lookups besparen en de mail al tijdens ontvangst rejecten (mocht het om een fake afzender gaan, dan voorkom je zo in elk geval backscatter; is de afzender legitiem, dan weet hij of zij zo snel mogelijk dat de mail niet kon worden afgeleverd).

Door Briolet: De mail is dan nog steeds geldig als hij voor alle From adressen een DKIM ondertekening heeft.
Wat als voor één afzenderdomein SPF klopt, en voor het andere DKIM: wat is dan de strengste check? Of kan het dan niet om phishing gaan?

Anyway, mooi dat jouw server een uitbreiding heeft op DMARC waardoor jouw gebruikers mogelijk niet kwetsbaar zijn voor het type phishing in het redactie-artikel, maar dat betekent nog steeds dat de DMARC standaard niet voorziet in dit type phishing - en dat is wat ik probeerde aan te geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.