MiniDuke-malware valt Belgische overheidsinstellingen aan

Bedrijfsnieuws 27/02/2013 16:48:48

Kaspersky meldt dat het nieuwe spionageprogramma MiniDuke de voorbije week overheidsinstellingen in België heeft aangevallen. ‹Een ongebruikelijk cyber attack›, aldus de IT-beveiliger.

Lees hieronder verder   
Verwant

Stroomverbruik van artificiële intelligentie drastisch verminderd

Zijn uw behuizingen klaar voor de zomer? - column

Gratis AI-applicatie detecteert personen zonder mondmasker

Afstand houden en volgen ... - artikel

Lancering een van de eerste Europese volwaardige 5G-testnetwerken

Organische elektronica: nog veel te doen - artikel

>> Meer verwant nieuws
Carrièrekansen (meer)
Agenda

Basiskennis bedrijfsfinanciën

Het ingenieurshuis - Antwerpen

van 24/08/2020 tot 31/08/2020

Onderhandelen met impact (online)

Het ingenieurshuis - Antwerpen

van 26/08/2020 tot 27/08/2020

De Logistiek Manager als Logistiek Auditor

IMF Academy (centraal Nederland)

dinsdag 1 september 2020

Piping en Engineering

Het ingenieurshuis - Antwerpen

van 2/09/2020 tot 21/01/2020

Big data in the cloud

Het ingenieurshuis - Antwerpen

donderdag 3 september 2020

Warmtewende voor industrie

Havenhuis Antwerpen

maandag 7 september 2020

Keuze van de redactie

(13/7) Verwerking afvalstof lignine tot groene olie in proeffabriek

(7/7) ArcelorMittal zoekt partner voor warmtenet in North Sea Port

(1/7) Nieuw investeringsfonds van 42 miljoen euro voor start-ups en scale-ups

(1/7) Gentse biotech start-up ontwikkelt universeel Covid-19 vaccin

(29/6) Vlaamse bedrijven krijgen 14,8 miljoen euro voor technologische begeleiding

(29/6) Innovatief zonnepaneel voor grootschalige productie op komst

>> Meer blikvangers

ENGINEERINGNET -- Experts van Kaspersky Lab publiceerden een nieuw onderzoeksrapport dat een reeks veiligheidsincidenten analyseert met betrekking tot het gebruik van de recent ontdekte PDF-exploit in Adobe Reader en MiniDuke, een nieuw kwaadaardig programma.

De MiniDuke backdoor werd de afgelopen week gebruikt om wereldwijd meerdere overheidsinstellingen en instituten aan te vallen, onder meer in Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland. Kasperky in een mededeling: 'De veiligheid van een aantal prominente doelwitten is al in het geding gekomen'. Om welke diensten het concreet gaat, werd niet meegedeeld.

Naast de overheidsinstellingen kwamen onder meer een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije onder vuur te liggen.

"Dit is een zeer ongebruikelijke cyberaanval", zegt Eugene Kaspersky, oprichter en CEO van Kaspersky Lab. "Ik herinner me deze vorm uit het eind van de jaren '90. Het lijkt er op dat dit type malwareontwerpers na een winterslaap van ruim een decennium plotseling zijn ontwaakt en zich hebben aangesloten bij de huidige groep van actieve dreigingsontwikkelaars."

"Deze elite, 'old school' malware-auteurs waren in het verleden zeer goed in het creëren van zeer complexe virussen, en combineren deze vaardigheden nu met recent ontdekte sandbox-ontwijkende exploits om overheidsinstanties of onderzoeksinstellingen in verschillende landen aan te vallen."

"MiniDuke's sterk aangepaste backdoor werd geschreven in Assembler en is zeer klein in omvang, slechts 20kb," voegt Kaspersky toe. "De combinatie van ervaren malwareschrijvers en het gebruik van nieuw ontdekte exploits en slimme social engineering om in het oog lopende doelwitten aan te vallen, is uiterst gevaarlijk." << (BB) (foto: Kasperky)

VOOR PROFESSIONALS
De MiniDuke-aanvallers zijn op dit moment nog steeds actief en hebben recent (20 februari 2013) nog malware gecreëerd. Om de beveiliging van slachtoffers aan het licht te brengen, gebruikten de aanvallers uiterst effectieve social engineering-technieken, waaronder het verzenden van kwaadaardige, relevante PDF-documenten naar hun doelwitten. De PDF’s bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap.

Na blootstelling van het systeem wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor. Na het opnieuw opstarten van de PC, gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie. Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware te vermijden. Indien een van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen. Dit geeft aan dat de malware-auteurs exact weten wat antivirus- en IT-beveiligingsprofessionals doen om malware te analyseren en te identificeren.

Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts. Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C2) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors. Deze URL's verlenen toegang aan de C2's, die vervolgens zorgen voor potentiële opdrachten en versleutelde overdrachten van aanvullende backdoors op het systeem via GIF-bestanden.

Op basis van de analyse lijkt het erop dat MiniDuke de makers een dynamisch back-up systeem biedt dat bovendien onder de radar kan blijven. Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C2 te vinden. Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat waar nodig andere opdrachten of kwaadaardige codes via backdoors kunnen worden opgehaald.

Zodra het geïnfecteerde systeem de C2 lokaliseert, ontvangt het versleutelde, binnen GIF-bestanden verborgen backdoors die vermomd als afbeeldingen op de computer van een slachtoffer verschijnen. Zodra deze zijn gedownload kunnen ze een grotere backdoor downloaden die diverse basisacties uitvoert, zoals bestanden kopiëren, verplaatsen en verwijderen, een directory aanmaken, processen beëindigen en natuurlijk nieuwe malware downloaden en uitvoeren.

De malware backdoor maakt verbinding met twee servers, in Panama en Turkije, om instructies te ontvangen van de aanvallers. <<

Reageren
Abonneer op onze nieuwsbrief

Mis ook dit niet...

Verwerking afvalstof lignine tot groene olie in proeffabriek

De groene olie dient als grondstof voor bioplastics, chemicaliën en brandstof. De installatie van Vertoro, een spin-off van TU Eindhoven, is deel van een unieke Multi Purpose Pilot Plant.

Afstand houden en volgen ... - artikel

Nog maar kort geleden leek onze overheid een contacttracing-app op je smartphone te willen installeren als een manier om te sturen in de strijd tegen de verspreiding van Covid-19.

Tom Hautekiet aangesteld als nieuwe CEO Port of Zeebrugge

Na een selectieprocedure en een screening van een 110 potentiële kandidaten door een onafhankelijk extern selectiekantoor, werd Tom Hautekiet gekozen als opvolger van Joachim Coens.

Composieten op zoek naar nieuwe toepassingen - artikel

Nu JEC World in Parijs toch niet doorgaat, klopten we aan bij Linde De Vriese, Team Lead Composites bij het SLC-Lab van Sirris in Heverlee, om te vernemen welke trends de sector beheersen.

ArcelorMittal zoekt partner voor warmtenet in North Sea Port

ArcelorMittal Belgium start deze zoektocht samen met Provincie Oost-Vlaanderen, POM Oost-Vlaanderen, Psychiatrisch Centrum Sint-Jan-Baptist Zelzate en gemeente Zelzate.

Onderzoekers brengen luchtcirculatie Covid-19 beter in kaart

Een unieke luchtopstelling maakt luchtstroom real-time zichtbaar. Dit om het effect van mondkapjes te meten en ventilatie-oplossingen voor het openbaar vervoer en theaters te testen.

Tumar overgenomen door Wilo

De aandeelhouders van Tumar, leverancier en installateur van vuilwaterpompen en dompelmengers in de afvalwatersector, hebben besloten hun familiebedrijf te verkopen aan Wilo.

Lancering een van de eerste Europese volwaardige 5G-testnetwerken

Dit netwerk maakt het mogelijk om de meest geavanceerde toepassingen te testen, zoals AR/VR, hoge snelheid videoverbindingen, zelfrijdende auto's en drones voor industriële toepassingen.

Leybold breidt Turbovac i/iX-familie verder uit

Vacuümspecialist Leybold heeft zijn Turbovac i/iX-serie uitgebreid met de maten 850 i/iX en 950 i/iX tot zes modellen. De twee nieuwe turbomoleculaire pompvarianten worden voornamelijk gekenmerkt door een langere, probleemloze werking, een langere levensduur van het systeem en lagere bedrijfskosten.

Partners