image

Spionagemalware monitort gebruik encryptiesoftware TrueCrypt

vrijdag 11 oktober 2019, 11:20 door Redactie, 12 reacties

Onderzoekers hebben een nieuw malware-exemplaar ontdekt dat onder andere het gebruik van de encryptiesoftware TrueCrypt op besmette systemen monitort. De malware heet Attor en wordt door antivirusbedrijf ESET als een compleet spionageplatform omschreven.

Wat de malware naast het monitoren van TrueCrypt ook doet opvallen is het verzamelen van IMEI, IMSI en MSISDN-nummers van aangesloten telefoons. Hoe Attor precies wordt verspreid is onbekend. De malware is sinds 2013 echter al actief en heeft het voornamelijk op Russisch sprekende gebruikers voorzien, aldus de onderzoekers.

Eenmaal actief op een computer maakt Attor screenshots van Russische chat-apps, alsmede van andere software, sociale netwerken, e-maildiensten en cloudopslag- en bestandsuitwisselingsdiensten. Attor kan ook audio opnemen, toetsaanslagen opslaan. De malware heeft het daarnaast voorzien op gebruikers van encryptiesoftware en -diensten. Zo worden screenshots gemaakt bij het gebruik van vpn-dienst Hide My Ass! (HMA), de versleutelde maildienst Hushmail en de e-mailclient The Bat.

Ook bij het gebruik van encryptiesoftware TrueCrypt maakt Attor screenshots. Een ander onderdeel van de malware inspecteert het TrueCrypt-gebruik van het doelwit. Dit onderdeel monitort aangesloten schijven op de computer en kijkt naar de aanwezigheid van TrueCrypt. Wanneer Attor de aanwezigheid van TrueCrypt detecteert stuurt het een specifieke code om de versie te bepalen.

Dit zijn TrueCrypt-specifieke controlecodes. "De makers van de malware moeten de opensourcecode van de TrueCrypt-installer dan ook begrijpen. We hebben deze techniek nog niet eerder gezien of gedocumenteerd in andere malware", zo laten de onderzoekers weten. De malware is sinds 2013 actief, toen TrueCrypt nog door allerlei partijen werd aanbevolen. Sinds 2014 is de ondersteuning van TrueCrypt echter gestopt en krijgen gebruikers juist het advies om met andere encryptiesoftware te werken.

Gsm-fingerprinting

Een ander opvallend onderdeel van Attor is het verzamelen van informatie over aangesloten telefoons. De onderzoekers noemen de manier waarop de malware mobiele telefoons fingerprint zelfs uniek. Zodra er een modem of telefoon op de COM-poort van de besmette computer wordt aangesloten gebruikt de malware AT-commando's om via de seriële poort met het toestel te communiceren.

Volgens de onderzoekers hebben de aanvallers het dan ook niet op moderne smartphones voorzien, aangezien die via usb worden aangesloten en de malware via usb aangesloten apparaten negeert. Een mogelijke verklaring is dat de aanvallers het op modems en oudere telefoons hebben voorzien, of dat het om specifieke apparaten gaat die door het slachtoffer of aangevallen organisatie worden gebruikt. "Het is mogelijk dat de aanvallers via verkenningstechnieken weten dat het slachtoffer deze apparaten gebruikt", merken de onderzoekers op.

De onderzoekers concluderen dat Attor een spionageplatform is dat is gebruikt bij zeer gerichte aanvallen tegen gebruikers in Oost-Europa en Russisch sprekende, securitybewuste gebruikers. Wie erachter de malware zit laat ESET niet weten. Wel bevat het onderzoeksrapport verschillende IOCs (pdf). Indicators of compromise (IOCs) zijn aanwijzingen waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, op een systeem of binnen een netwerk kan worden vastgesteld.

Reacties (12)
11-10-2019, 11:47 door Anoniem
Dit soort functionaliteit hoort natuurlijk standaard in privacy software te zitten ;-)
Ben wel benieuwd hoe de malware zich verspreide in 2013. Omdat er waarschijnlijk een overheid (APT) achter zit..
11-10-2019, 12:20 door Anoniem
Precies een overheid,of een openbaar ministerie
11-10-2019, 14:40 door Anoniem
Lang leve de complotten!
11-10-2019, 14:57 door Anoniem
"In the fantasy book “A Court of Thorns and Roses” (2015) by
Sarah J. Maas, Attor was an evil Faerie. In that book, the
Faeries ruled over all the known world and humans were
their slaves."


___ Zuzana Hromcová, ESET
11-10-2019, 15:20 door Anoniem
Door Anoniem: Precies een overheid,of een openbaar ministerie

openbaar ministerie is toch ook overheid?
12-10-2019, 14:04 door Anoniem
Diegenen die TrueCrypt nog gebruiken moeten dan maar snel overstappen op VeraCrypt: een doorontwikkelde versie van TrueCrypt, sinds de makers van TrueCrypt er plots en zonder aankondiging ermee ophielden.

Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.

Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.
12-10-2019, 22:12 door Anoniem
Door Anoniem: Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt.

Ja, want ik zie niet in waarom niet. Als Attor tot Windows is doorgedrongen, dan moet je het als gecompromitteerd beschouwen. Het kijkt met je over je schouder mee en het logt je toetsaanslagen. Dan heeft ook VeraCrypt weinig zin.
13-10-2019, 09:23 door Anoniem
Door Anoniem: Diegenen die TrueCrypt nog gebruiken moeten dan maar snel overstappen op VeraCrypt: een doorontwikkelde versie van TrueCrypt, sinds de makers van TrueCrypt er plots en zonder aankondiging ermee ophielden.

Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.

Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.

Het is voor de compleetheid wel fijn om te melden dat de audit geen cryptografische kwetsbaarheden heeft ontdekt in TrueCrypt. Er kwamen enkele mogelijkheden naar voren als je, bijvoorbeeld, een cache-timing aanval zou uitvoeren, maar dat komt niet door fouten in de encryptie.
VeraCrypt is ondertussen een stuk verder, dus doorontwikkeld, maar uit de eerdere audits wijzen wel op een probleem. Er kwamen problemen aan het licht met de implementatie van het cryptografische gedeelte, wat je afvraagt of deze ontwikkelaars van hetzelfde niveau zijn als zij die TrueCrypt hebben gebouwd (en daarbij deze fouten niet maakten).

Voor zover mij bekend, is TrueCrypt nog steeds veilig te gebruiken, zolang je jouw machine niet deelt met anderen.
13-10-2019, 13:06 door SPer
Door Anoniem: Diegenen die TrueCrypt nog gebruiken moeten dan maar snel overstappen op VeraCrypt: een doorontwikkelde versie van TrueCrypt, sinds de makers van TrueCrypt er plots en zonder aankondiging ermee ophielden.

Er is ooit een audit geweest op TrueCrypt, en daar kwamen een aantal kwetsbaarheden naar voren. VeraCrypt heeft dit opgepakt en is inmiddels stukken veiliger en meer doorontwikkeld.

Ben benieuwd of Attor hetzelfde kan als men gebruik maakt van VeraCrypt. Wat overigens ook een fantastisch tooltje is en die ik dagelijks gebruik in zowel zakelijke als niet-zakelijke omstandigheden.
Heeft u iets te verbergen ? ;-)
13-10-2019, 14:49 door Anoniem
Reactie van SPer (iron!)
Heeft u iets te verbergen ? ;-)

Is anoniem van 14:04 van gisteren dan wellicht een Rus of een slavische talen-sprekend iemand?

Ik ben een security-bewuste persoon, maar heb er geen enkele last van.

Moet het daarom niet juist andersom wezen: "Grozi nam niebezpiecze?stwo z Zachodu"
(Er dreigt voor u gevaar vanuit het westen)

luntrus
14-10-2019, 00:11 door Anoniem
dat was 2013, moet je nagaan...en we zitten nu in 2019.

Wat zou er nu mogelijk zijn..? de ontwikkelingen hebben vast ergens wel een tijdssprong voorwaarts gemaakt... ben benieuwd waar het volgende schandaal vandaan zal gaan komen komende tijd...
14-10-2019, 13:55 door Anoniem
@ reactant van 00:11,

Ja moeilijk, als het pas vorig jaar ontdekt werd. Men liep dus eventjes bij het ontdekken van Attor 5 jaar achter.

Of is het pas na 5 jaar "gelekt". Targeted Malware met RSA ge-encrypte speciaal ontworpen DLL's voor acht modules.

Slowakije had vroeger in Bratislava een Oostblok-hoofdkwartier, de tanks op weg naar onze duinen moesten ten tijde van het Ijzeren Gordijn vandaar gaan rijden. Nog is er een sterk aanwezigheid van Russische business-men.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.