Spionagegroep zeer actief met zero days en usb-malware

[Captain Kirk]

Een spionagegroep die al sinds 2008 actief is heeft dit jaar de activiteiten bijna vertienvoudigd en meerdere zero day-exploits en geavanceerde usb-malware ingezet. Dat meldt anti-virusbedrijf Kaspersky Lab. De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd.

De afgelopen maanden gebruikte de groep vijf zero day-exploits in Microsoft Office, Oracle Sun Java, Adobe Flash Player en Windows. Op het moment van de aanvallen waren er nog geen beveiligingsupdates beschikbaar. De groep heeft het vooral voorzien op defensiebedrijven die aan NAVO-landen leveren, maar ook overheidsinstellingen zijn regelmatig het doelwit geweest.
Usb-malware

Naast het gebruik van zero day-exploits werden ook de tools voor het stelen van gegevens verbeterd, waaronder de usb-malware waarmee offline computers worden aangevallen. Om gerichte aanvallen op netwerken te voorkomen is het gebruik van een 'air gap', een geïsoleerd netwerk waarbij de computers niet met internet zijn verbonden, een populaire verdedigingsmaatregel. De Sofacy-groep ontwikkelde usb-malware om dit te omzeilen. Op een al besmette computer wacht 'USB stealer', zoals de malware wordt genoemd, totdat er een usb-stick wordt aangesloten en plaatst daar vervolgens een Autorun-bestand op dat de malware op andere computers kan installeren.

De aanval werkt echter alleen op computers waar Autorun staat ingeschakeld. Standaard staat Autorun voor usb-apparaten op Windows 7 en nieuwere Windowsversies uitgeschakeld. In 2009 publiceerde Microsoft een update die deze maatregel op Windows XP en Vista doorvoerde. De update werd begin 2011 automatisch onder Windowsgebruikers verspreid. Eerder liet anti-virusbedrijf ESET al weten dat het regelmatig voorkomt dat systemen die offline zijn, juist doordat ze niet op internet zijn aangesloten, belangrijke beveiligingsupdates missen.
Maatregelen

Het afgelopen jaar is de Sofacy-groep één van de meest actieve spionagegroepen geworden. Toch zijn organisaties niet machteloos, aldus Kaspersky Lab. "De beste verdediging tegen gerichte aanvallen is een meerlaagse aanpak", aldus de virusbestrijder. Zo wordt een combinatie van patchmanagement, anti-malware, whitelisting en intrusion detection aangeraden. Het anti-virusbedrijf wijst naar onderzoek van de Australische overheid, waaruit blijkt dat 85% van de aanvallen via vier eenvoudige maatregelen is te voorkomen. "Hoewel 100% bescherming onmogelijk is, komt het in praktijk erop neer dat je je verdediging zo moet versterken dat het te kostbaar voor de aanvaller wordt, die dan opgeeft en andere doelwitten gaat zoeken", aldus Kaspersky Lab.

 

bron: security.nl