Met een schadelijk progje van waarschijnlijk Turkse komaf zouden e-krakers wereldwijd zo’n 140 doelen hebben belaagd, zo meldt het Russische webbeveiligings-bedrijf Kaspersky. Daartoe behoren banken, overheidsinstellingen en bedrijven in zo’n veertig landen. Een dergelijke grootscheepse aanval zou een aantal jaren geleden nog niet mogelijk zijn geweest, stellen deskundigen. Het progje op de besmette computers en servers zou zich daar listig schuilhouden. De digitale aanvaller nestelt zich niet op de harde schijf maar in het werkgeheugen en zou geen sporen op de computer achterlaten.
De onderzoekers hebben vooral doelwitten in Amerika en Europa gevonden; voor zover bekend niet in Nederland of België, maar dat kan makkelijk veranderen, waarschuwen de onderzoekers. De krakers zouden kwetsbaarheden hebben opgezocht op servers die niet de jongste beveiligingsversie hebben geïnstalleerd. Met allerlei trucjes en testprogramma’s als Powershell, Metasploit en Mimikatz slagen de krakers er in de servers te besmetten met het schadelijke progje. Dat verblijft maar kort op de harde schijf, installeert een trojaan in het werkgeheugen en wist zich.
Het Turkse aan het progje is nauwelijks waarneembaar. Hoe, dat vertelt het artikel in der Spiegel niet.
Wachtwoorden
Is de schadelijke code eenmaal geïnstalleerd in het werkgeheugen van een computer, dan zou de kraker achter allerlei gegevens kunnen komen, zoals wachtwoorden, en dan kan die ook programmatuur op de computer zetten om de computer van afstand pemanent over te nemen. Als de e-krakers bij een bank succes hebben dan zouden ze geldautomaten kunnen overnemen en die er toe brengen geld ‘uit te spugen’. Hoe dat in zijn werk gaat willen de onderzoekers pas in april op een beveiligingscongres bekend maken.
De Kaspersky-onderzoekers vergelijken de huidige aanval met de trojaan Duqu 2.0 een voortontwikkeling van Stuxnet, waarmee de Amerikanen Iraanse kernsinstallaties had ontregeld. Dat kwalijke projge dook twee jaar geleden voor het eerst op. Maandenlang zou die computerworm zich hebben opgehouden op de computers van Kaspersky, hoe ironisch. Destijds werd aangenomen dat het hierbij niet zou gaan om ‘gewone’ e-krakers, maar dat overheden daar achter zouden zitten. De techniek zou voor gewone boeven te ingewikkeld en te duur zijn geweest.
Tijden zijn veranderd
Of dat klopte is nog steeds de vraag. In ieder geval wordt er nu vanuit gegaan dat het om criminelen gaat. “In de afgelopen jaren hebben webboeven geleerd zich met ingewikkelde programma’s vertrouwd te maken”, zegt Kaspersky-medewerker Vicente Diaz. “We moeten er aan wennen dat deze listige aanvallen steeds vaker zullen voorkomen.”
Wie achter die aanvallen schuilgaat is niet bekend. Omdat er vrij gebruikelijke programmatuur wordt gebruikt zou het moeilijk zijn dat te achterhalen. De verdenking gaat uit naar criminelen die bekend staan onder de namen GCMAN en Carnabak. Volgens Kaspersky is het gevaar nog niet geweken.
Opmerkelijk is dat het artikel geen melding maakt van een buit in welke vorm dan ook. Ook Kaspersky heeft het daar niet over. Verder dunkt mij (als leek) dat door de installatie van een progje in het werkgeheugen de aanvaller zijn contact met de ‘geroofde’computer kwijt is als die weer wordt opgestart. Die zal dan daarvoor iets moeten doen om de computer/server permanent over te nemen (lijkt me).
Bron: der Spiegel