Københavner-DJ dømt for at liste trojanere ind på kendis-computere

Illustration: Virrage Images/Bigstock
49 personer har været ofre for hackerangreb fra en 33-årig DJ, der nu har tilstået og er blevet idømt fire måneders fængsel som straf.

En københavnsk DJ’s ulovlige indtrængen i private computere har nu fået seriøse konsekvenser for gerningsmanden.

Københavns Byret har idømt den 33-årige mand fire måneders fængsel for at have hacket og snaget i 49 personers computere. Heraf er tre måneder betinget og én måned betinget. Derudover skal DJ’en betale sagsomkostningerne, skriver Berlingske.

Manden har selv tilstået forbrydelsen, der ifølge ham selv var ment som »drengestreger« i starten, men at det så udviklede sig:

»Jeg var drevet af en usandsynlig drenget nysgerrighed. Det var så let. Jeg kunne ikke lade være,« sagde den 33-årige ifølge Berlingske.

DJ’en fik adgang til computerne ved at sende ofrene en email med en musikfil eller et billede, som så aktiverede den trojanske hest. Han har tilstået at have kopieret både billeder og dokumenter fra de inficerede computere, men han afviste dog at have delt indholdet eller fået noget økonomisk ud af det. Erkendelsen lyder dog kun på 47 ud af i alt 50 computere ifølge Berlingske.

Ofrene var især fra det københavnske natteliv, heriblandt bloggeren og reality-stjernen Mascha Vang. DJ’en havde også adgang til at aktivere webkameraer på computerne.

»Det er så grænseoverskridende og krænkende, som noget kan være. Det føles som om, at jeg har haft indbrud i min sjæl,« har Mascha Vang tidligere sagt til BT ifølge Berlingske.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Max Tobiasen

Hvordan kan det lade sig gøre? Billeder eller musikfiler åbnes jo i en viewer eller afspiller - og sådan nogen går vel ikke i gang med at installere embeddede programmer?

formentlig med en fil der hedder picture_of_naked_girlfriend.jpg.exe

Windows har det med at slå fil extensions fra, og almindelige brugere uden det store IT kendskab lader sig narre af den slags. Mange ved slet ikke hvad fil extensions er, og at en .exe er no-go.

Et dårligt lavet stykke malware vil så bare køre den onde kode, og håbe på at brugeren bare tænker at der nok er noget galt med billedet.

Et godt stykke malware leder efter den viewer der er associeret med f.eks.- .jpg henter en passende billedfil der er embeddet i malware koden, åbner billedet i den rette viewer og kører malwaren. På den måde aner brugeren ikke uråd. Sådan ville jeg ihvertfald gøre det.

  • 3
  • 0
#6 Rune Jensen

Hvordan kan det lade sig gøre? Billeder eller musikfiler åbnes jo i en viewer eller afspiller - og sådan nogen går vel ikke i gang med at installere embeddede programmer?

Der har været sårbarheder i både Windows Mediaplayer og senere billedvisere, som gør, at man kan lægge udførbar kode efter video eller efter et billede.

Jeg bruger Microsoft som eksempel, fordi det er hvad jeg lige kan huske. Der er masser andre produkter med lignende fejl, så producenten er ikke afgørende.

Her er Microsofts bulletin omkring en sårbarhed i Mediaplayer helt tilbage i 2003:

https://technet.microsoft.com/en-us/library/security/ms03-017.aspx

Microsoft skriver:

In order to exploit this flaw, an attacker would have to host a malicious web site that contained a web page designed to exploit this particular vulnerability and then persuade a user to visit that site

Ingen af delene er særligt svære i dag, og var det egentlig heller ikke dengang.

For at få "plads" til sin malware, kan man hakke et web site og placere sin malware dér, uden webmasteren ved det. En ganske brugt metode til at hakke et web site er ved at finde sårbarheder i det også. CMSer som Wordpress er fantakstiske, da de er standardiserede i koden, så man kan ramme mange hjemmesider på én gang.

Og du skal ikke studse over, jeg bruger eksempler fra 2003. De er ligeså valide i dag, som dengang.

En måde at vise omfanget på, er at henvise til en offentlig database over sårbarheder i alle produkter i dag. Der er ikke så få:

http://web.nvd.nist.gov/view/vuln/search-results?query=&search_type=all&...

  • 1
  • 0
#7 Rune Jensen

En måde at vise omfanget på, er at henvise til en offentlig database over sårbarheder i alle produkter i dag. Der er ikke så få:

Som en sidenote, så har jeg så sent som i går fået et link til et dansk firmas hjemmeside, som er 99% sikker på, er blevet hakket. Den hoster så (tilsyneladende) ikke malware, men spam.

Da det ligger på en dynamisk adresse, kan man ikke tilgå det direkte fra hovedsiden.

I stedet linkes til den adresse fra andre sider (blogs), via andet spam.

Men resuméet er, jeg tror ikke, de aner de er hakket, for den spam vil ødelægge deres placering i søgemaskinerne.

Og jo, jeg har tænkt mig at skrive til dem...

Update: Har lige kigget i kildekoden til kontaktsiden. Oh, my der er 100-vis skjulte links. I en

<

div style="height:1px;overflow:hidden;">

Og på alle deres andre sider også...

Tror jeg skal have fat i en email nu :)

  • 4
  • 0
#9 Rune Jensen

Hvor hårdt er Mac og Linux OS'er ramt af det der, nogen der ved noget om det?

Prøv at søge på noget a la quicktime executable code vulnerability

Fandt denne, som jeg ikke er helt sikker på, vil kunne gøre det, men så må man jo lede lidt længere, for helt sikkert, det er der: https://scapsync.com/cve/CVE-2013-1018?version=97400d1ab604e2f7d6c91060d...

Iøvrigt kører jeg selv Linux, og jeg har hærdet maskinen så godt jeg kan. Du skal ikke tro på det dér fis med, at Linux og Mac ikke kan få malware. Og virus kan gøres cross platform med en cross platform plugin som Flash eller JAVA fx. hvor der er masser af huller at tage af.

Husk også her... det er måske kun dine passwords, de er interesserede i i første omgang. Og de gemmes så vidt jeg ved i klar-tekst i et standardbibliotek fra browsere. Behøver ikke noget Linux eller Mac specifict for at gøre det.

  • 2
  • 0
#10 Jesper Poulsen

Hvor hårdt er Mac og Linux OS'er ramt af det der, nogen der ved noget om det?

Fordelen ved Linux distroer er, at de ikke anvender det samme software som Windows-brugere til at opnå den samme funktionalitet. Det er derfor næppe de samme fejl der er at finde på de to platforme. Så en fejl der kan underminere en Windows-maskine kan næppe underminere en Linux-maskine og vice versa. Desuden er en fejl i et KDE-program næppe at finde i et Gnome-program eller et LXDE-program og vice versa.

  • 2
  • 0
#11 Rune Jensen

Jesper, du har sådan set ret. For nu har jeg undersøgt, om der findes Cross Platform Viruses "in the wild". Det lader til, de stadig er på proof-of-concept stadiet. Og jeg synes bestemt, jeg har set V2 artikler om "rigtige" af slagsen...?

Never mind.

Hvad jeg derimod har kunnet finde er:

Javascript, som deteksterer det overliggende system, sandsynligvis også plugins

Conditional levering af malware, alt efter Operativsystem og plugins.

Så en payload vil ganske givet indeholde ikke ét, men adskillige muligheder for exploits optimeret til hvert system, som den så finder frem til ved at prøve sig frem.

Det er ikke helt ligeså godt som én enkelt stykke malware, som kan ramme alle vha. generisk kode, fordi det kræver lidt mere research (eller lidt flere penge til at købe exploits), hvis man vil ramme alle i ét hug. Men det er altså teoretisk muligt.

Det er dog også på serversiden, hvor Linux angribes mest. Og der er altså godter, skulle jeg hilse og sige.

Det betyder så ikke, at man ikke skal være varsom på hverken Mac eller Linux.

Jeg kan henvise hertil angående Linux malware/viruses, han har generelt nogle gode videoer, og så laver han faktisk også malware analyzis selv...

https://www.youtube.com/watch?v=94QsgdXnsmU

  • 1
  • 0
#12 Jesper Poulsen

Jesper, du har sådan set ret. For nu har jeg undersøgt, om der findes Cross Platform Viruses "in the wild". Det lader til, de stadig er på proof-of-concept stadiet. Og jeg synes bestemt, jeg har set V2 artikler om "rigtige" af slagsen...?

Det gør der i princippet, så længe det holdes på et rimeligt højt abstraktionsniveau. Og det er bestemt også muligt at lave en løsning der finder ud af hvilken platform der er tale om og hvilke angrebsflader der er mulige. Men sandsynligheden for at et sådan setup findes udenfor laboratoriet er ikke ret stor. Gevinsten er for lille ift. det arbejde der skal lægges i det. De fleste computerbrugere i verden sidder alligevel med en Windows-maskine med de samme standardløsninger på.

Bare tænk på Java. På Windows sidder alle med Oracles implementation. På Linux sidder alle med OpenJDK og IcedTea. Oracle har større problemer med at holde deres implementation fejlfri end OpenJDK-folkene har. Sammenlignet med den enorme brugerskare på Windows gør det platformen væsentlig mere interessant at angribe.

  • 2
  • 0
#13 Rune Jensen

Men sandsynligheden for at et sådan setup findes udenfor laboratoriet er ikke ret stor. Gevinsten er for lille ift. det arbejde der skal lægges i det. De fleste computerbrugere i verden sidder alligevel med en Windows-maskine med de samme standardløsninger på.

Skeln her imellem den fuldstæændigt generiske malware, som med én slags kode kan klare hele turen og ramme enhver platform/OS, som ikke eksisterer udenfor laboratoriet, og så den malware, som bruger javascript til at detectere browser, plugins, styresystem, og downloader en payload optimeret imod det.

Det sidste er hvad videoen handler om. Den fortæller hvordan han er ramt med netop en sådan conditional malware på Ubuntu, og hvordan den måtte igennem sådan en slags trial-and-error for at finde den malware der passede til hans system. Det er ikke generisk kode hele vejen igennem, så den har i sidste ende leveret en Ubuntu-optimeret malware. Så... Stadig dyrere at lave, ja. Men han har altså været ramt af det...

  • 1
  • 0
#15 Morten Hersom

Jeg har også tænkt over hvordan det kan lade sige gøre. Læste at det var en trojaner der var blevet placeret. Mascha Vang som var en af de ramte så ud til at bruge OSX. Derudover så i et DR program at andre på OSX var blevet hacket så de blev optaget via webcam når de lavede forskellige ting :-) Når jeg henter filer vil OSX have mig til at godekende installationer.

  • 0
  • 0
#19 Rune Jensen

Til gengäld så er "ulempen" at en angriber ikke behöver at "roote" maskinen for at anvende den til interessante ting. "User" er ganske tilsträkkeligt for at köre botnets, DDOS og andet.

Javascript kan stadi afvikles i browseren som udgangspunkt.

Man kan lave ret sjove ting med javascript uden at røre ting udenfor browserens eget område.

"Javascript botnets" er et interessant fænomen. Man kan lave på via at sætte en "anonymous" proxy op, som man injecter code i, eller via reklamer, eller endda via cloud services.

Men selvfølgelig klienten selv er det mest interessante. At kunne udnytte millioner af browsere til fx. at DoSe eller cracke passwords, endda gemme filer distribueret udover masser af browsere i local storage. Mange muligheder.

Men en anden interessant ting er, at vores informationer efterhånden faktisk flyttes fra klienten til nettet igennem social networks.

Det betyder, at fokus fra crackere også flyttes fra klienten til webapps, fordi det er der pengene vil være. Så kan være, fremtiden ikke hedder binær kodet malware, men fokus på fx. XSS... Could be. HTML5 har selv nogle interessante muligheder i nyeste version.

For dem, som er interesseret, kan man søge på javascript botnets på youtube og webapplication security mv. (hint: Blackhat og Defcon...)

  • 0
  • 0
#20 Christian Nobel

.. kunne man godt bruge at V2 levede op til sit formål om at levere nyheder til professionelle, så der ikke skulle gættes på hvordan ting var blevet udført.

Og hvilket platforme der blev ramt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere