Belgische diplomaten geviseerd door malware

Dit artikel delen:

Een recent ontdekte malware werd gebruikt om te doelen op diplomatieke missies en overheidsinstellingen in België, Slovakije, Brazilië, Chili en Guatemala. De uit China opererende Ke3chang-groep zou achter de cyberspionage zitten.

De bevinding staat in een onderzoeksrapport van securityspecialist Eset. Hun onderzoeksteam ontdekte een nieuwe versie van de malware-families gekoppeld aan de zogenaamde Ke3chang APT-groep, samen met een eerder ongekende backdoor. Volgens Eset is deze groep sinds een aantal jaren vanuit China actief.

De recent ontdekte backdoor, Okrum genaamd, dook eerst in 2016 op. Het werd gebruikt diplomatieke missies en overheidsinstellingen in België, Slovakije, Brazilië, Chili en Guatemala te viseren. Al gaat het rapport niet in detail over de Belgische aanvallen en implicaties.

Ketrican en Okrum

Daarnaast bleef Eset nieuwe versies van de gekende malware-families detecteren, toegeschreven aan de Ke3chang APT-groep. 

In onderzoek dat tot 2015 teruggaat, identificeerde Eset nieuwe verdachte activiteiten in Europese landen. De groep achter deze aanvallen scheen bijzondere aandacht te hebben voor Slovakije. Ook ander meer Kroatië en Tsjechië werden getroffen. Bij analyses van deze aanvallen, ontdekten onderzoekers dat de aanval banden had met gekende malware-families verbonden aan de Ke3chang APT-groep. Ze gaven deze nieuwe versies de naam Ketrican.

Op het einde van 2016 ontdekten de onderzoekers dat een voorheen onbekende backdoor gericht was op dezelfde doelwitten in Slovakije als deze die in 2015 de doelwitten van Ketrican waren. De nieuwe backdoor, die dus de naam Okrum meekreeg, bleef actief in 2017.

‘We ontdekten dat de Okrum backdoor gebruikt werd om een Ketrican-backdoor te droppen die in 2017 was samengesteld. Bovendien bleken bepaalde diplomatieke entiteiten, die in 2015 getroffen waren door de Okrum-malware, ook getroffen door de Ketrican backdoors uit 2017’, oppert Zuzana Hromcova, onderzoekster van Eset, die tot in maart van dit jaar een nieuw Ketrican-staal ontdekte.

Eenzelfde werkwijze

Het onderzoek toont volgens Eset dus aan dat de nieuwe backdoor Okrum aan de Ke3chang-groep kan toegeschreven worden. Naast de gedeelde doelwitten, heeft Okrum eenzelfde werkwijze als de voorheen gedocumenteerde Ke3chang-malware. 

Okrum is, volgens Hromcova, bijvoorbeeld enkel uitgerust met standaard backdoord-opdrachten en is afhankelijk van met de hand ingevoerde opdrachten en van het uitvoeren van externe tools voor de meeste van zijn schadelijke activiteiten. ‘Dit is de standaard werkwijze van de Ke3chang-groep bij de eerder onderzochte campagnes’, klinkt het.

Technisch niet complex

Al wijzigen de hackers om de paar maanden de implementatie van de Okrum laad- en installatiecomponenten om een eventuele detectie te voorkomen. ‘Ondanks het feit dat de malware technisch niet complex is, kunnen we met zekerheid vaststellen dat de kwaadwillige daders achter Okrum probeerden onopgemerkt te blijven.’ Of hoe de Ke3chang APT-groep dus al jaren zijn slag tracht te slaan.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-07-19T14:04:00.000Z William Visterin
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.