Buitenlandse ambassades in Belarus zijn op isp-niveau aangevallen, waarbij netwerkverkeer door de lokale provider werd aangepast om slachtoffers malafide Windows-updates te laten downloaden, zo stelt antivirusbedrijf ESET. Volgens de virusbestrijder vinden de spionageaanvallen tegen ambassades al jaren plaats, waarbij er via de geïnstalleerde malware documenten worden gestolen, screenshots gemaakt en de omgeving afgeluisterd.
Windows 10 stuurt standaard een http-request naar www.msftconnecttest.com/connecttest.txt om te kijken of het systeem internettoegang heeft. In het geval dit niet zo is, zal er een browser met de url www.msftconnecttest.com/redirect worden geopend. Om de Windows-systemen van slachtoffers te laten geloven dat ze achter een captive portal zitten, waarbij een gebruiker bijvoorbeeld eerst de voorwaarden moet accepteren voordat er netwerktoegang mogelijk is, wordt het netwerkverkeer op isp-niveau door de aanvallers onderschept.
Daardoor wordt de url www.msftconnecttest.com/redirect doorgestuurd naar een valse Windows Update-pagina http://updates.microsoft.com. De pagina wordt aangeboden over http en niet https en updates.microsoft.com is geen bestaand subdomein op de nameservers van Microsoft. De aanval is mogelijk omdat de aanvallers op isp-niveau het verkeer van hun doelwitten controleren.
De zogenaamde updatepagina die gebruikers te zien krijgen stelt dat ze een kritieke beveiligingsupdate moeten installeren. In werkelijkheid gaat het om malware die de aanvallers vergaande controle over het systeem van het slachtoffer geeft. Ambassades in Belarus zouden al sinds 2017 zijn aangevallen. ESET weet niet wie erachter de aanvallen zit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.