Web14.01.2013

Cyberspionage-campagne ontdekt die al sinds 2007 actief is


Kaspersky Lab publiceerde eerder vandaag een nieuw onderzoeksrapport waarin ze een cyberspionage-campagne identificeren, die de afgelopen 5 jaar ongrijpbaar is gebleken, en die gericht is op diplomatieke, overheids- en wetenschappelijke onderzoeksorganisaties uit verschillende landen.

De primaire focus van deze campagne is gericht op landen in Oost-Europa, de voormalige Sovjet-republieken en landen in Centraal-Azië. Slachtoffers zijn echter overal te vinden, inclusief ook West-Europa en Noord-Amerika. De belangrijkste doelstelling van de aanvallers was het verzamelen van gevoelige documenten van de getroffen organisaties. Hiertoe behoorden geopolitieke informatie en toegangsgegevens tot beveiligde computersystemen, persoonlijke mobiele apparaten en netwerkapparatuur.

De security Experts van Kaspersky Lab startten in oktober 2012 een onderzoek naar aanleiding van een reeks aanvallen op computernetwerken, gericht op internationale diplomatieke diensten. Tijdens dat onderzoek werd een grootschalig cyberspionagenetwerk blootgelegd en geanalyseerd. Operatie ‘Red October’ is nu nog altijd actief en het is een campagne die teruggaat tot 2007.

Red October

Onderzoeksuitkomsten

– De aanvallers zijn minstens sinds 2007 actief en richtten zich op diplomatieke en overheidsinstanties, onderzoeksinstellingen, energie- en nucleaire groepen, handels- en ruimtevaartdoelen van verschillende landen over de hele wereld.  De Red October-aanvallers ontwierpen hun eigen malware, geïdentificeerd als “Rocra”, met een eigen unieke modulaire architectuur bestaande uit kwaadaardige extensies, informatie stelende modules en backdoor Trojans.

– De aanvallers maakten vaak gebruik van uit besmette netwerken verkregen informatie als methode om toegang te krijgen tot aanvullende systemen. Zo werden gestolen identificatiegegevens gebundeld in een lijst en gebruikt wanneer de aanvallers wachtwoorden of zinnen moesten raden om toegang te krijgen tot additionele systemen.

– Om het netwerk van geïnfecteerde computers aan te sturen, creëerden de aanvallers meer dan 60 domeinnamen en diverse server hostlocaties in verschillende landen, waarvan het merendeel in Duitsland en Rusland. Kaspersky Lab’s analyse van Rocra’s Command & Control (C2)-infrastructuur toont aan dat de keten van servers in feite dienst deed als proxies, om de locatie van de control server van het ‘moederschip’ te verbergen.

– De informatie gestolen van geïnfecteerde systemen omvat documenten met extensies: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr en acidssa. De “acid*”-extensies in het bijzonder lijken te verwijzen naar de geheime “Acid Cryptofiler”-software die door verschillende instanties wordt gebruikt, van de Europese Unie tot de NAVO.

Slachtoffers

Om systemen te infecteren stuurden de aanvallers een doelgerichte spear-phishing e-mail naar hun slachtoffers, met daarin een aangepaste Trojan dropper. Om de malware te installeren en het systeem te infecteren, bevatte die schadelijke e-mail exploits die speciaal waren gemanipuleerd om beveiligingslekken in Microsoft Office en Microsoft Excel te benutten. De exploits van de in de spear-phishing e-mails gebruikte documenten werden door andere aanvallers gecreëerd en ingezet tijdens verschillende cyberaanvallen, onder andere tegen Tibetaanse activisten, alsmede tegen militaire en energiesector doelwitten in Azië. Het enige wat in het door Rocra gebruikte document werd veranderd was de ingebouwde executable, die door de aanvallers werd vervangen door een eigen code.

Een van de opdrachten in de Trojaanse dropper verandert de codetabel van de opdrachtprompt-sessie naar 1251, wat nodig is om Cyrillische fonts te renderen.

Dit bericht is eerst verschenen op Dutch Cowboys

Verder lezen over Security

​Je woning via je smartphone in de gaten houden

Een smartphone is een compacte computer die je overal mee naartoe kunt nemen. Naast Facebook, Whatsapp en internetpagina’s bekijken kun je nog veel meer met mobiele telefoons …. zelfs bellen is mogelijk! Zo kun je sm...

Technology23.03.2020

​Je woning via je smartphone in de gaten houden

‘Verander je wachtwoord’-dag: zo maak je een sterk wachtwoord

"Je nieuw wachtwoord moet een kleine letter, een hoofdletter en cijfer en minstens 8 tekens bevatten." Klinkt het bekend? Een verplichting bij veel websites en bedrijven, maar eigenlijk te belachelijk voor woorden! Het...

Web01.02.2018

‘Verander je wachtwoord’-dag: zo maak je een sterk wachtwoord

Smartphones te hacken met geprinte vingerafdruk

Aan de Universiteit van Michigan zijn onderzoekers erin geslaagd om een Huawei Honor 7 en een Samsung Galaxy S6 te ontgrendelen via de vingerafdruk scanner, met een geprinte vingerafdruk. Hiervoor hadden ze wel een gloe...

Technology09.03.2016

Smartphones te hacken met geprinte vingerafdruk

D-Link toont panorama camera en twee supersnelle routers

Op het Mobile World Congress in Barcelona heeft D-Link ‘s werelds eerste 180 graden draadloze AC panorama camera geïntroduceerd. Ook leveren ze een extreem WiFi bereik met hun nieuwe EXO Routers, die vooral opvallen d...

Technology22.02.2016

D-Link toont panorama camera en twee supersnelle routers

10 tips: veilig omgaan met je smartphone, laptop en internet

Vandaag, op Safer Internet Day, staan we samen stil rond online veiligheid. Google zocht uit waar in België het meest wordt gezocht naar zoektermen die betrekking hebben tot internetveiligheid. De resultaten zijn op zij...

Algemeen09.02.2016

10 tips: veilig omgaan met je smartphone, laptop en internet

Safer Internet Day
Gratis 2GB extra Google Drive cloud opslag

Gastartikel geschreven door Peter Colpaert (Facebook - Twitter)

Algemeen09.02.2016

Gratis 2GB extra Google Drive cloud opslag

Safer Internet Day
Weg met passwords

Hetzelfde password gebruiken voor al je verschillende accounts, en dan zeker die genre “12345”, zijn meteen redenen waarom het principe van een wachtwoord als enige security voor al je persoonlijke, financiële en an...

Web23.12.2015

Weg met passwords

Google start password-free login tests
Dit is de reden dat je smartphone slecht beveiligd is

Beveiligingsproblemen op de smartphone is een onderwerp dat al vaak naar voorkwam het afgelopen jaar. Dit probleem doet zich vooral voor bij Android-toestellen, maar ook iPhones en Windows Phones blijven niet ongeschonde...

Mobile18.12.2015

Dit is de reden dat je smartphone slecht beveiligd is