Tuesday, June 17, 2014

Geavanceerde trojans

Door Stuxnet was er de afgelopen jaren belangstelling voor geavanceerde trojans, malware die zich in kleine stapjes en zeer gericht installeert op computers. Van Stuxnet wordt aangenomen dat het door buitenlandse geheime diensten werd ontwikkeld om de atoomprojecten van Iran te saboteren. In onderstaand, al wat ouder, artikel van Tweakersnet wordt geschreven over nieuwere varianten van zulke trojans.
Ik heb de vragen en antwoorden bij het artikel gelezen en ben wel onder de indruk van het niveau van de discussie. Goed Nederlands taalgebruik, duidelijk veel kennis en inzicht in de materie, maar ook kennis van internationale verhoudingen en de spionage-affaires uit de Koude Oorlogs-tijd. Het niveau van deze discussie steekt schril af tegen het niveau van veel andere discussies op internet, bijvoorbeeld over de euro-problemen of immigratie-zaken.
Een paar wetenswaardigheden uit de discussies. Er wordt opgemerkt, dat de ontdekking van het virus in het Midden-Oosten lang heeft geduurd, omdat de antivirus-industrie daar minder 'honeypots' heeft staan. Blijkbaar worden honeypots ingezet om virussen te ontdekken. Iemand zegt, dat voortdurende monitoring van verkeer nodig is, omdat bijvoorbeeld het versturen van screendumps zou moeten opvallen. Een ander zegt weer, dat je die screendumps goed kunt compressen, zodat ze juist niet opvallen. Monitoren is wel een methode die al langer wordt geadviseerd. Voortdurend monitoren tegenover een bepaalde benchmark of een ijkpunt van normaal geacht verkeer. Het vooraanstaande Fox IT stelt bijvoorbeeld: 'Je moet je niet afvragen of je slachtoffer zult worden van cyberinbraak. De vraag is alleen wanneer.' Dus o.a. Monitoring is absoluut noodzakelijk. Dit wordt wel het nieuwe soort oorlogsvoering. Recent werd ontdekt, dat installaties van waterbedrijven besmet waren en dat pompen van Rijkswaterstaat gemakkelijk te kraken waren; daarmee kan een vijand dus gigantische schade aanrichten in een ander land. Het virus bestaat uit diverse modules en opgemerkt wordt, dat je keyloggers bijvoorbeeld gewoon kant en klaar kunt downloaden.
Quote Tweakersnet:
Nieuwe geavanceerde trojan duikt op in het Midden-Oosten Door Wout Funnekotter, dinsdag 29 mei 2012 08:25 Submitter: JvH, views: 7.961
Beveiligingsbedrijf Kaspersky Labs heeft een nieuw stuk malware ontdekt dat het gemunt heeft op computers in het Midden-Oosten. Het Trojaanse paard, dat Worm.32.Flame gedoopt is, zou geavanceerder zijn dan de Stuxnet- en Duqu-trojans Flame is vooral gericht op computers in het Midden-Oosten, zo schrijft Kaspersky Labs in een faq over de nieuwe trojan. Gebieden waar de trojan momenteel actief is, zijn onder andere Iran, Israel, Palestina, Sudan, SyriĆ«, Libanon, Saudi ArabiĆ« en Egypte. De trojan lijkt volgens onderzoekers niet bedoeld om een specifiek soort computer aan te vallen, zoals bijvoorbeeld bij Stuxnet het geval was, dat het voorzien had op scada-systemen. Flame lijkt meer bedoeld voor algemene spionage. De trojan nestelt zich in een Windows-systeem via verschillende exploits en houdt daarna bij wat gebruikers doen.  Flame is van variabele grootte omdat het opgebouwd is uit verschillende modules. Die losse modules hebben specifieke functies, zoals het registreren van toetsaanslagen, het maken van schermafbeeldingen, het opnemen van audio en het onderscheppen van netwerkverkeer. Met alle modules actief neemt de malware ongeveer 20MB in beslag. Flame bestaat niet uit een enkele executable maar verspreidt zichzelf over verschillende dll-bestanden die bij het starten van de computer ingeladen worden. De verzamelde gegevens worden via beveiligde ssl-verbindingen naar diverse control and command-servers verstuurd. Hoeveel er hiervan operationeel zijn is nog niet bekend. Vanaf deze servers kan de trojan ook beheerd worden; het is mogelijk om de trojan van afstand te repliceren maar ook van een systeem te verwijderen. Flame heeft, afgezien van de exploits die het gebruikt om zich te installeren, technisch gezien weinig overeenkomsten met Stuxnet en Duqu, twee stuks malware die vorig jaar veel in het nieuws waren. De beveiligingsonderzoekers gaan er dan ook van uit dat Flame los van Stuxnet en Duqu ontwikkeld is. Het bedrijf vermoedt dat de ontwikkeling van de trojan, vanwege zijn grote omvang en uitgebreide mogelijkheden, door een land gesponsord is.