Drukke tijden in security. Hackers belagen chemiebedrijven en …
Drukke tijden in security. Hackers belagen chemiebedrijven en het Stuxnet-achtige Duqu maakt misbruik van een zwakke plek in Microsoft-software.
Volgens securityspecialist Symantec hebben hackers sinds april van dit jaar achtereenvolgens ngo-organisaties, de automobiel- en de scheikundesectoren aangevallen. Die laatste sector vormde van eind juli tot medio september het doelwit in het kader van wat Symantec de ‘Nitro’-campagne noemt. Concreet werden de chemiebedrijven bestookt met een aantal uiterst gerichte e-mails (verzoeken om afspraken afkomstig van personen die gekend zijn door het doelwit, of verzoeken tot security-updates), waaraan besmette documenten waren gehecht. Het ‘werkzame’ element in die documenten was een oud Chinees remote access tool, Poison Ivy, dat op zijn beurt bijkomende malware binnenhaalde. Met behulp daarvan werd informatie gestolen, zoals beheeraccounts en ‘intellectual property’.
In totaal werden 29 bedrijven in de chemische sector aangevallen, waaronder grote bedrijven in de Fortune 100 met onderzoek naar nieuwe materialen of bouwers van chemische productie-infrastructuur. Volgens Symantec was een van deze bedrijven gebaseerd (“country of origin”) in België…
Duqu-update Symantec meldt tevens dat van het Duqu virus nu ook een ‘installer’ werd gevonden. Het Hongaarse securitybedrijf CrySyS – de ontdekker van de Duqu binaries – stuitte op een Word document dat een ‘exploit’ bevatte die gebruik maakt van een voordien onbekende kwetsbaarheid in de Windows kernel. Het openen van het document triggerde de exploit, wat de ketting in gang zette tot Duqu actief was. Ook in dit geval werd het document uiterst gericht verspreid naar personen in de belaagde bedrijven.
Het Duqu-virus baart zorgen omdat het sterke gelijkenis vertoont met Stuxnet, de malware die industriële automatiseringselementen heeft aangevallen. Het vermoeden bestaat dat Duqu door het zelfde team als Stuxnet wordt gebouwd (of minstens de broncode aan de bouwers van Duqu heeft doorgegeven). Gezien het gevaar dat Stuxnet en eventuele afgeleiden vormen voor infrastructuren van nutsvoorzieningen en bedrijven, wordt deze malware diepgaand bestudeerd. Zo zou de gevonden ‘installer’ van Duqu allicht niet de enige zijn die in omloop is. Wat de betrokken exploit van de Windows-kernel betreft, wordt door Microsoft gewerkt aan een bescherming.
Symantec publiceerde een document over Nitro, evenals een update over Duqu.
