Houdt China speciaal de Duitse industrie in de gaten?

Binaire code

Binaire code is onleesbaar voor niet-ingewijden (afb: Ruhruniversiteit Bochum)

Twee Duitse tv-zenders en onderzoekers van de Ruhruniversiteit in Bochum (D) hebben getracht te achterhalen hoe een groep digitale inbrekers, Winnti (pdf-bestand) of ook wel APT10 genoemd, te werk is gegaan. De groep, waarvan aangenomen wordt dat die uit China komt, zou het voorzien hebben op grote ondernemingen waarvan, ten minste, acht Duitse. Chemie, halfgeleider-, fama-, spellen- en telecomindustrie vond Winnti interessant.
Het onderzoek werd uitgevoerd onder aanvoering Thorsten Holz. “Er zijn drie generaties Winnti-programma’s”, zegt Holz. “Die zijn modulair gestructureerd. De groep (e-krakers; as) kan modules samenvoegen om kwaadaardige prorgs te maken voor een bepaald doel en toegesneden op een bedrijf.” Zo zou je een module hebben die de malware maskeert op de doelserver van het aangevallen bedrijf, een module die informatie verzamelt via het bedrijfsintranet en een module die verbinding met buiten onderhoudt.
In de code van die programmatuur is ook in een bestand voorzien dat de opties bevat voor de Winnti-progjes. Het gaat om binaire code, waar machines mee overweg kunnen, maar voor (niet-ingewijde) mensen niet leesbaar is. De Ruhronderzoekers vertaalden de code in menselijke taal.
Daaruit bleek, bijvoorbeeld, dat er bestanden waren die informatie bevatten welke server de programmatuur aanstuurde en waar het progje was verborgen in het systeem van het doelwitbedrijf. Die malware werd meestal aangestuurd vanuit externe servers, maar soms werden ook de eigen servers van het doelwit daartoe misbruikt. Holz: “De configuratiebestanden gaven ook aanwijzingen over welke bedrijven en organisaties waren aangevallen. Waarschijnlijk helpt dat de groep hun aanvallen te organiseren.”

De onderzoekers haalden de te onderzoeken kwalwaar van de Virustotal-databank. Iedere gebruiker kan daar virussen vandaan halen en die loslaten op vijftig verschillende antivirusprogs.

Niet alleen bedrijven

De onderzoekers namen contact op met veertien bedrijven om ze te waarschuwen voor mogelijke besmetting. Sommige daarvan gaven toe dat ze al digitaal waren aangevallen. Er lopen nog diverse onderzoeken bij bedrijven.
De Winnti-groep had niet alleen bedrijven in het vizier, maar ook de regering van Hongkong, de stad met een status aparte in China die het zo moeilijk heeft met zijn eigen inwoners. Volgens de onderzoekers duidt dat er op dat de inbrekers niet alleen industriële spionage bedreven, maar ook politieke.

Kwaadaardige progs worden meestal binnengesluisd via hengelberichten. Klikt de ontvanger op een bijlage of koppeling dan wordt het progje op de computer van de ontvanger geïnstalleerd en dringt zo het bedrijfsnetwerk binnen. Dat progje kan tijden inactief blijven tot het geactiveerd wordt via een (al of niet ‘gekaapte’) server. De communicatie met buiten onderhoudt het progje via een versleuteld kanaal.
Holz: “Volgens onze analyse houdt de Winnti-programmatuur zich vaak weken of maanden zoet. Dan werkt het een dag of een week en wordt daarna weer uitgezet.”

Winnti richt zich vooral op Windows, maar er schijnt ook een versie te zijn voor Linux-systemen, zo bleek maar dit jaar. Holz: “We hebben die ook bestudeerd. Die lijkt heel erg op die voor Windows.”

Bron: Alpha Galileo

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.