‘Waterbeertje’ blijkt listige indringer

Waterbeertje op het webHet ‘waterbeertje’ (‘Tardigrade’) dat het computersysteem van het biomedische bedrijf Biobright was binnengedrongen leek onderdeel van een losgeldaanval, maar de inbrekers leken niet echt geïnteresseerd in het innen van het losgeld. De trojaan bleek bij nader beschouwing uiterst slim in elkaar gestoken en was ook in staat onafhankelijk van de ’thuisbasis’ te opereren. Er werden meer biomedische bedrijven aangevallen.
De cyberveiligheidsorganisatie van die branch, BIO-ISAC, is wat meer aan de weet gekomen over dat ‘beestje’, dat overigens in het echt over wonderbaarlijke eigenschappen beschikt. Het ‘waterbeertje’, de digitale vorm, zit bijzonder listig in elkaar en schijnt zich actief te verspreiden onder branchegenoten van BioBright. “Het is vast begonnen met spionage, maar het houdt zich ook bezig met vernietiging en verstoring”, zegt Charles Fracchia van BioBright. “Het is de meeste geavanceerde kwalijke code die we gezien hebben. Het lijkt griezelig veel op andere aanvallen en campagnes van door landen gesteunde e-krakers op andere bedrijfstakken.”

De onderzoekers vonden dat Tardigrade enige overeenkomst vertoont met de trojaan Smoke Loader (ook bekend als Dofoil). Dat programma verspreidt kwalijke code sinds tenminste 2011. Dat is beschikbaar via duistere fora. Op internet hult dat progje zich in ordentelijke gedaantes zoals dat van privacybewaker (!). Dat progje is gemakkelijk aan te passen aan de behoefte van de gebruiker.

Listiger

Hoewel overeenkomstig is het ‘waterbeertje’ veel listiger dan Smoke Loader en heeft ook meer aanpassingsmogelijkheden. Eenmaal binnengedrongen in een netwerk gaat het ‘beestje’ ook op zoek naar opgeslagen wachtwoorden, maakt gebruik van een toetsenlogger, kaapt informatie en bouwt een achterdeurtje in voor gebruik van de aanvallers.
“Dit progje is gemaakt om zich in verschillende omgevingen anders te gedragen. De signatuur verandert steeds en het is moeilijker te achterhalen”, zegt veiligheidsdeskundige Callie Churchwell van BioBright. “Ik heb het honderd keer getest en elke keer is het anders, ook in de communicatie. Het is in staat zelfstandig te functioneren en dat was volledig onverwacht.” Dat betekent dat Tardigrade zelf kan beslissen hoe hijzij in het netwerk opereert.
Het progje wordt via de aloude hengeltechnieken verspreid, maar ook via besmette usb-sticks of vanuit een besmet netwerk.
Spionage door landen van bedrijfstakken wordt steeds populairder. Fracchia stelt echter dat naar de drijfveren van de aanvallers slechts kan worden gegist. Zo lijkt het vreemd dat zo’n listig progje werd vergezeld van een, noodzakelijkerwijs, ‘luidruchtige’ losgeldeis. Mogelijk dat daarmee een andere activiteit is/werd verhuld.

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.