Kaspersky Lab opdager skjult orm på egne systemer

Illustration: Virrage Images/Bigstock
Sikkerhedsfirmaet Kaspersky Lab er selv blevet offer for en ny sofistikeret orm, der har ligget skjult på firmaets systemer i månedsvis. Ormen, der er døbt ‘Duqu 2.0’, er noget af det mest avancerede, eksperterne hidtil har set.

Et af verdens førende it-sikkerhedsfirmaer, det russiske Kaspersky Lab, har netop måttet indrømme, at dets egne systemer er blevet infiltreret af en usædvanligt avanceret ‘orm’, der har holdt sig skjult ‘i månedsvis’.

Det skriver flere medier, herunder Ars Technica.

Ormen er af firmaets selv blevet døbt ‘Duqu 2.0’, da Kasperskys analyser af den bagvedliggende kode viser, at den flere steder minder meget om den Stuxnet-lignende malware, som blev opdaget tilbage i 2011.

Læs også: Amerikansk spionprogram infiltrerer firmware

Men den opgradering, som Duqu i mellemtiden har undergået, har gjort softwaren til noget af det mest avancerede, Kasperskys eksperter nogensinde har set, fremgår det af den pressemeddelelse, som firmaet selv har sendt ud om sikkerhedsbruddet.

Ormen skal ifølge det tyske medie Spiegel Online have fundet vej ind i Kasperskys systemer via noget så simpelt som en phishing-e-mail, som en ‘ikke-teknisk’ medarbejder på en af koncernens satellit-kontorer i Asien kom til at åbne.

Duqu 2.0 skal have dernæst have udnyttet en række zero-day exploits i Windows, hvoraf den ene netop er blevet patchet, og herfra kunne den ukendte hackergruppe overvåge og trække data ud af Kasperskys systemer.

Læs også: Duqu-trojaner bruger åbent hul i Windows-kernen

Firmaet blev opmærksom på kompromitteringen blot få uger efter at have afsløret det avancerede hacker-netværk ‘Equation Group ‘, som mange forbandt med NSA, men infiltreringen af systemerne skal have fundet sted en gang i efteråret sidste år.

Læs også: Harddisken skal smadres fysisk: Udødelig malware kan også florere i Danmark

Kaspersky har ligeledes udgivet en rapport om hændelsen. Den kan læses her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Rigét

Jeg har svært ved at tro at der ikke finder angreb sted på min Ubuntu PC. Jeg er temmelig sikker på at nogle mærkelige crash af min browser skyldes angreb. Sikkert rettet mod Windows. Men hvad med den der ikke crasher min app?

Men med tanke på at de flest Ubuntu installationer ikke har nogen som helst automatisk kontrol hvad der kører, ville det være oplagt at målrette angreb mod *nix installationer. Der er man i sikkerhed, når man først er kommet ind.

Bent Jensen

Der er man i sikkerhed, når man først er kommet ind.


Både og, er ikke Expert, som anklagerne i CSC sagen, men vis du vil ændre i kernen, (som kernen) kræver det vel et password fra dig. Ellers er det kun din bruger der bliver angrebet. Men hvis de vil ind, så kommer de ind, NSA kunne i princippet, have købt og betalt sig til adgang. Det har de sikkert også, men de har nok ikke lyst til at få deres kode skreven ud, så kun vis det er noget vigtigt som selv at blive afsløret, ville dem til at bruge denne adgang. Eller som her, mulighed for at inficere alle Antivirus bruger. Vi kan heller ikke vide om alle de andre Virus Programmer er inficeret og der med ubrugeligt. Men det var de jo også inden, så dette er bare en grund til helt at fravælge dem.

Men ud over det, hatten af for modet til at fortælle om det. Viser man er seriøs. De andre "malvare" firmaer er sikkert også ramt, men har enten ikke fundet ud af det, eller har holdt det skjult. Så de er nogen armmatøre, eller det der er være.

Simon Rigét

Der er sjældent grund til at ændre i kernen.
Et botnet, som nok er det mest almindelige, kører fint under den daglige bruger. Gerne i fbm. browseren.
Hvis det er for at spionerer, er det typisk også den daglige bruger man vil spionere på; læse dokumenter, e-mails, kigge med ud af webcam, og lytte. Det kan en almindelige bruger konto sagtens tillade.
Den eneste grund jeg lige kan komme på, til at behøve root adgang, er for at gemme koden rigtigt godt.
Jeg er overbevist om at der findes gode rootkit til div *nix

Så hvis malwaren er skrevet godt, ved vi så overhovedet at den er der? Hvor mange tjekker det på deres DT, hvis den fungerer fint?
Jeg tjekker yderst sjældet. Og det er tidskrævende!

Christoffer Kelm Kjeldgaard

Hvis det er for at spionerer, er det typisk også den daglige bruger man vil spionere på; læse dokumenter, e-mails, kigge med ud af webcam, og lytte. Det kan en almindelige bruger konto sagtens tillade.

Der er en grund til at browsere er sandboxed. De kan ikke tilgå din hardware eller dit filsystem uden du specifikt giver lov. Det kan du slippe udenom hvis du kan få brugeren til at køre noget udenfor sandkassen, gennem eks. en eksekverbar fil. Browseren kan ikke starte child-processer ud over instanser af den selv, med mindre du kan crashe browseren, og håbe på at du kan skrive til noget af det lager browseren brugte før crashet. og selv hvis du får skrevet noget til hukommelsen er det ikke en garanti for at det vil blive eksekveret.

Root password hjælper overhovedet ikke når der angribes gennem en browser, fordi browserne af sikkerhedsgrunde ikke kan køre i root tilstand, og du kan derfor stadigvæk ikke starte processer.

Lad os sige du som angriber får Chrome til at crashe - og du får lagt noget kode ind der kører for den proces - så kan du stadigvæk ikke hente passwords ud fordi de er krypterede og geo-tagged til din IP-adresse, eller spionere, fordi browseren vil give en memory fejl og afslutte processen.

Simon Rigét

Lad os sige du som angriber får Chrome til at crashe - og du får lagt noget kode ind der kører for den proces - så kan du stadigvæk ikke hente passwords ud

Hvis det lykkes, har du adgang til det brugeren har adgang til.
Derefter er det forholdsvist enkelt at indlejre kode til dit eget formål.
Det er absolut ikke urealistisk.

Hvis du har brug for root adgang på Ubuntu og mange andre systemer der kræver root adgang for at sende en fejlrapport, skal du bare simulerer at en app, f.eks. browseren crasher og fake aports fejlrapporterings vinduet. Så giver brugeren dig sikkert selv passwordet :o)

Men du har da ret: hvis alting virker som det skal, kan det ikke lade sig gøre. Hvor mon det sidst er sket? :c)

Christoffer Kelm Kjeldgaard

Hvis det lykkes, har du adgang til det brugeren har adgang til.
Derefter er det forholdsvist enkelt at indlejre kode til dit eget formål.
Det er absolut ikke urealistisk.

Det er ikke urealistisk - men utrolig svært, og der er en god portion held forbundet.

Koden til dit eget formål kan stadig ikke bryde ud af sandkassen. Det er selvfølgelig ikke umuligt, men sandboxing er et meget simpelt sikkerhedssystem der er efterprøvet og har nået en høj kvalitet - Det ses på at mængden og severity af sandbox-escapes er faldet markant siden 2013.

Kilde: https://hackerone.com/sandbox

Der er ingen grund til at skabe påstyr eller utryghed over et problem, der ikke umiddelbart er der.

Simon Rigét

... Uden at gå i detaljer; der er masser af eksempler på at browsere og andre programmer har sårbarheder der kan udnyttes til at afvikle kode under den bruger der kører dem.
Det undrer mig hvis du ikke har hørt om det før nu! :c)

Desuden er meget af koden den samme på windows og *nix, i de kendte apps. Man må formode at den kan have nogle af de samme sårbarheder.

Det er nok lidt naivt at håbe at softwareproducenterne når at lukke alle huller inden de bliver udnyttet, bare fordi man kører *nix.
Men du har da ret i at antallet af fundne huller i browsere er faldet meget.

Vi mener at vi har kunnet gemme os på *nix systemer fordi der er så få af os og *nix er så sikkert.

Min pointe er at at gevinsten ved at hacke *nix systemer er stor, evnen til at agerer proaktivt er lille og at der er erfaringen med hacking af *nix systemer der ude. både af servere og af appel OSer. Så hvorfor ser vi ikke mere til hackede Ubuntu PCere? er det muligt at vi bare ikke ser det?

Christoffer Kelm Kjeldgaard

... Uden at gå i detaljer; der er masser af eksempler på at browsere og andre programmer har sårbarheder der kan udnyttes til at afvikle kode under den bruger der kører dem.
Det undrer mig hvis du ikke har hørt om det før nu! :c)

Jeg skrev og implementerede noget af den Attack-code, der blev fundet af MJ. Kelly. Jeg er godt klar over at der er fejl i kode. Men det ændrer ikke på at computere og linux kernen og applikationer har en række countermeasures der gør det utrolig svært at udnytte selv alvorlige eploits.

Fra Shewale's artikel omkring Linux og Android vulnerabilities:

".... even if some application is able to
perform buffer overflow and put the exploit code on the stack or
heap, the exploit would not execute because of this protection. It
also added the format string vulnerability protection as users
were able to input specially crafted strings which the application
evaluated as a command allowing code execution, reading the
stack or cause segmentation faults in the running application.
Apart from this, mmap_min_addr is introduced at a basic level
to check NULL pointer dereference bugs in kernel space. " Shewale, 2014

Bent Jensen

... Uden at gå i detaljer; der er masser af eksempler på at browsere og andre programmer har sårbarheder der kan udnyttes til at afvikle kode under den bruger der kører dem.
Det undrer mig hvis du ikke har hørt om det før nu! :c)


Simon jeg tror bare at Christoffer ikke mener det er meget savnsynligt, og da han samtidig arbejde meget i dybten med dette, så mener han at kunne sige at de er meget sikkert. Du kender ikke til mere end det du postulere, end at du sammenligne OS Windows og Unix, og mener det stort set er det samme, og derfor må have de samme sikkerheds huller.
Du går ikke i detaljer, for du kender dem ikke, og ved ikke hvad du taler om. Hvad for nogen sprog programmere du selv i, og hvad arbejde levere du til Linux med hensyn til sikkerheds test eller moduler. Dinne spørgsmål svare til at den nye piccoline prøvet at fortælle Mærsk, at han ikke ved noget om transport.

Christoffer er bare mere venlig og tålmodig end jeg er, og prøver sødt at forklare, at dine formodninger ikke er rigtigt.

Når en Fiat ruster så må en Ferrari også, de er fra sammen land og koncern.

Simon Rigét

Kære Bent Prøv at være lidt seriøs.

*nix kan hackkes med exploits. Det kan du selv forvisse dig om, f.eks. her: https://www.exploit-db.com/platform/?p=linux eller lave en google søgning. Det er forøvrigt altid en god start for et fakta tjek.

Et argument som Christoffer fremfører er at browsere kører i sandkasse og den måde malloc er udformet på, forhindre exploits af en bestemt type - underforstået at systemet er sikkert i sig selv. Chrome kører faktisk i en dobelt sandkasse. Man kan så overveje hvorfor een ikke er nok? :c)
Spørgsmålet er ikke om der findes exploits der kan angribe *nix og afvikle kode med brugerens rettigheder. Spørgsmålet er hvor ofte det sker.

Sourcekode til Chrome for linux og windows er den samme. se https://www.chromium.org/developers/how-tos/get-the-code.
Selvom om der er OS specifik kode og bibliotekerne kan være forskellige, er store dele af den koden der kører på linux identisk med den der kører på windows. I teorien kunne et expolit bruges (måske på forskellig måde) på forskellige OS.

Et andet argument der tit nævnes, er at det ikke kan betale sig, fordi der er så få linux installationer. Det er det argument jeg forsøger at belyse fra en anden vinkel: der er visse fordel ved at angribe en *nix desktop PC.

Det er ikke nemt at afslører velskrevet mallware under linux. Kunne man tænke sig at mange DT brugere ikke tjekkede for mallware særligt ofte? (mig selv inklusiv) eller overhovedet? i så fald kan der være et stort mørketal.

At tro at man er smartere end hackerene, er arrogant. Man er formegentligt bare dårligere motiveret til at finde exploits.

Christoffer Kelm Kjeldgaard

pwn2own konkurrencen viser at det er muligt at hacke sig vej for malware på nogle *nix systemer.

Pwn2Own har ikke til formål at udvikle malware. Vi skal lige have begreberne slået fast.

Malware består af 3 vigtige dele:

  1. Delivery mechanism - Måden hvorpå der nås ud til mange brugere. Tænk eksempelvis på Blaster, der brugte et WebDAV exploit.
  2. Payload mechanism - Måden hvorpå, der opnås eks. elevated privileges gennem exploits. Herunder også hvordan du får data ud igen.
  3. Concealment - Hvordan du skjuler dig fra brugeren og andet software.

På Pwn2Own arbejder man hovedsageligt kun med et af disse, oftest payload. Mange af de efterviste bugs tager typisk omkring 1 år for et fuldtidsteam at udvikle. Mange af disse bugs er allerede patchet inden de vises på pwn2own.

Linux har gode patchingsmekanismer samt fornuftige eksekveringsregler. SE Linux er sikkert på et paranoidt niveau (for desktop brugere, ikke for servere).

Et andet argument der tit nævnes, er at det ikke kan betale sig, fordi der er så få linux installationer.

Det er fordi det ikke kan betale sig. Patches når brugeren hurtigt, og du skal have i mindste fald både 1 og 2 dækket indenfor det relativt korte vindue der er. Altså det, som tager et fuldtidsudviklingsteam med et speciale herindenfor omkring et år eller mere.

Det er ikke nemt at afslører velskrevet mallware under linux. Kunne man tænke sig at mange DT brugere ikke tjekkede for mallware særligt ofte? (mig selv inklusiv) eller overhovedet? i så fald kan der være et stort mørketal.

Malware er manifesterende. Det er meget svært at skjule sig på Linux, jeg ved ikke hvad du baserer ovenstående på. Antagelser?

At tro at man er smartere end hackerene, er arrogant. Man er formegentligt bare dårligere motiveret til at finde exploits.

Dommedagsprofetier er lige så arrogante. En god portion sund fornuft derimod kombineret med data er vejen frem.

Simon Rigét

og på trods af alle gode argumenter, er det alligevel sket flere gang :c)

http://www.computerworld.com/article/2857129/turla-espionage-operation-i...

Malware er manifesterende. Det er meget svært at skjule sig på Linux, jeg ved ikke hvad du baserer ovenstående på. Antagelser?

Kun hvis du leder efter det.

Virkeligheden overgår nogle gange ens forestiller om den...

Christoffer Kelm Kjeldgaard

og på trods af alle gode argumenter, er det alligevel sket flere gang :c)

http://www.computerworld.com/article/2857129/turla-espionage-operation-i...

OK, lad os bare snakke Turla, eller cd00r.

For det første:
Target er militære installationer. Ikke almindelige desktop PCere.

For det andet:
cd00r / Turla bygger på et ældgammelt kernel exploit til privilege escalation (2 ovenfor) der er 15 år gammelt (til kernel 2.2.x). Maskiner der er patched indenfor de sidste 15 år er sikre mod Turla. Selv de gamle server kernels er blevet patchet.

For det tredje:
Turla, trods at det er udviklet af en af de største efterretningstjenester i verdenen, har ikke nogen delivery method til Linux. Turla bygger udelukkende på social engineering for infektion.

Log ind eller Opret konto for at kommentere