Nul
Video: met behulp van trojan Ransomware truc uit te breiden bedreiging
Een voorheen onbekende hacken en spionage-operatie is het gebruik van malware om te infiltreren overheden, in een poging tot het stelen van gevoelige gegevens in een serie van zeer gerichte aanvallen.
Nagesynchroniseerde Sowbug, de groep achter de aanslagen is blijkbaar gericht op het buitenlands beleid van de instellingen en diplomatieke doelen in Zuid-Amerika en zuidoost-Azië en wordt gedacht aan het actief zijn sinds ten minste het begin 2015.
Een low-profile, onder-de-radar werking heeft bijgedragen aan de werking detectie vermijden, zelfs als het uitgevoerde campagnes die onopgemerkt bleef door de regeringen voor maximaal zes maanden.
Regeringen in Brazilië, Argentinië, Peru, Ecuador, Maleisië en Brunei zijn al slachtoffer geworden van Sowbug campagne, die werd beschreven door onderzoekers van Symantec.
De groep maakt gebruik van Felismus, een backdoor-trojan is in al zijn aanvallen. De malware werd voor het eerst geïdentificeerd in Maart en onder andere biedt aanvallers de mogelijkheid om het gedrag van spionage, key-logging, analyse van het verkeer, verdere malware-implementatie, de mogelijkheid om detectie te vermijden en meer.
De groep achter de aanslagen wordt beschreven als goed gefundeerde en geschikt voor het infiltreren van meerdere doelen tegelijk via campagnes die werken buiten de werktijden van gerichte organisaties om te zorgen voor het aanvallen van een laag profiel houden.
Hoewel het onbekend is waar in de wereld de Sowbug is gebaseerd, of die ze uiteindelijk zijn — of van werkzaamheden ten behoeve van-het is mogelijk het zou een state-back-operatie.
“Ze draagt een aantal kenmerken van een groep mogelijk gemaakt door een natie-staat-de malware gebruikt in deze aanvallen lijken te worden verfijnd. De groep is waarschijnlijk ook de middelen, die heeft het te blijven onder de radar en informatie te stelen van deze buitenlands beleid en de diplomatieke doelen sinds begin 2015” Alan Neville, bedreiging, onderzoeker bij Symantec, vertelde ZDNet.
Analyse van besmette slachtoffers scheen licht op Sowbug activiteiten, evenals aanwijzingen voor de groep mogelijke beweegredenen — die lijken te zijn gebaseerd op de diefstal van specifieke informatie.
Zie ook: Cyberwar: Een gids voor de angstaanjagende toekomst van online conflict
Een aanval op een Zuid-Amerikaanse ministerie van buitenlandse zaken – gedateerd te hebben plaatsgevonden in Mei 2015 – verscheen specifiek te concentreren op de afdeling verantwoordelijk voor de relaties met de regio Azië-Pacific. De aanval resulteerde in alle Word-documenten gewijzigd na 11 Mei opgeslagen binnen de doelstelling van de file server uitgepakt.
De aanvallers later terug naar het uitpakken van alle documenten gewijzigd van 7 Mei 2015. Extra aanvallen voortgezet – met meer en meer documenten worden verwijderd en de inzet van twee onbekende payloads op de geïnfecteerde server – voor vier maanden, voordat de mensen achter de campagne veegde hun aanwezigheid van de server in September 2015.
Een methode die aanvallers gebruiken om te handhaven op de lange termijn aanwezigheid op geïnfecteerde netwerken is door het verhullen van de kwaadaardige bestanden als gebruikte software, zoals Windows of Adobe Reader. De kwaadaardige tools worden bestandsnamen gegeven in de gelijkaardig aan die die gebruikt worden door legitieme software en verborgen in de directory bomen, waardoor ze aanwezig blijven zonder die voortvloeien vermoeden.
De heimelijke aard van de Sowbug werking en de Felismus distributie campagne betekent dat het nog niet bekend is hoe de aanvallers infiltreren in eerste instantie een doel-netwerk.
In sommige gevallen is er geen spoor van hoe Felismus zijn weg op besmette computers – wijzen op de mogelijkheid het was geïmplementeerd vanuit een in gevaar gebracht systeem in het netwerk. In andere gevallen, er is enig bewijs dat de Felismus is geïnstalleerd met behulp van een malware-loader genaamd Starloader, maar het is onbekend hoe Starloader zelf binnenvalt een computer.
Een theorie is dat Starloader wordt ingezet als nep-software-updates, zo vonden de onderzoekers bewijs van Starloader bestanden AdobeUpdate.exe, AcrobatUpdate.exe en INTELUPDATE.EXE onder anderen.
Sowbug ook dient als een herinnering dat het niet uitmaakt waar een doel is in de wereld, kunnen ze het slachtoffer geworden van cyberaanvallen en spionage.
“Hoewel we niet op het podium, waar geen enkele regio is onaangetast door cyber spionage, vroeger was het ongebruikelijk om te zien landen in Zuid-Amerika gericht door groepen zoals Sowbug,” zei Neville.
Felismus verworven zijn genoemd bij de eerste ontdekking in Maart door een verwijzing naar Tom & Jerry in de enige leesbare encryptie sleutel – Felis is latijn voor ‘kat’ en Mus is latijn voor ‘muis’.
Felismus malware heeft verworven in de naam van verwijzingen naar een kat en muis in de code.
Beeld: iStock
Vorige en aanverwante dekking
Wat is phishing?
Alles wat je moet weten om jezelf te beschermen tegen scam e-mails en meer
HET leader ‘ s guide op de dreiging van een cyberoorlog kunnen [Tech Pro Onderzoek]
Als we steeds afhankelijker werd van de digitale infrastructuur, de mogelijkheid van een verlammende cyberaanval blijft te monteren. Communicatie-en bankwezen, elektriciteitsnetten en fabrieken–allemaal geconfronteerd worden met een verhoogd risico van een aanval.
Cybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op big business
Franchises, resellers, klantenservice, collaboration tools en opleidingen-professionele hacken organisaties zijn nu actief als elk ander bedrijf.
Lees meer over cybercriminaliteit
Hackers gebruiken het hotel Wi-Fi om te spioneren op de gasten, stelen dataChinese hacken van de groep keert terug met nieuwe tactieken voor spionage campagne Hackers toegang krijgen tot honderden wereldwijde elektrische systemen [CNET]CIA-instrumenten blootgesteld, door Wikileaks gekoppeld aan het hacken over 16 countriesThe nieuwe kunst van oorlog: Hoe trollen, hackers en spionnen zijn het herschrijven van de regels van het conflict [TechRepublic]
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0