Sinds 2016 actieve Gazer backdoor richt zich op ambassades en ministeries

Beveiligingsbedrijf ESET heeft een backdoor ontdekt die het zelf de naam Gazer heeft gegeven. De malware zou door de Turla-groep worden gebruikt om ambassades en ministeries van Buitenlandse Zaken binnen te dringen, vooral in Zuidoost-Europese en voormalige Sovjetlanden.

Volgens het bedrijf is de malware in ieder geval sinds 2016 in gebruik, maar is deze tot nu toe niet ontdekt. Dat komt door de manier waarop de kwaadaardige software detectie ontwijkt, bijvoorbeeld door bestanden op een veilige manier te verwijderen en verschillende strings toe te passen in uiteenlopende versies van de malware. ESET zegt er redelijk zeker van te zijn dat Gazer het werk is van de Turla-groep, die eerder satellietverbindingen bleek te kapen en in verband wordt gebracht met Rusland.

Daarvoor zijn verschillende aanwijzingen, bijvoorbeeld de keuze voor doelwitten als ambassades. Ook de manier van het infecteren van systemen zou naar Turla wijzen. Hierbij wordt eerst via gerichte phishingmails een first stage backdoor verstuurd, waarna deze de tweede, moeilijker te detecteren backdoor binnenhaalt. De eerste backdoor, Skipper genaamd, zou eerder door de groep zijn ingezet en werd in de meeste gevallen samen met Gazer aangetroffen.

Bovendien zijn er veel overeenkomsten tussen Gazer en andere Turla-tools, zoals Carbon en Kazuar, aldus ESET in een uitgebreidere analyse. Zo zijn ze bijvoorbeeld geschreven in C++ en maken ze allemaal gebruik van versleutelde communicatie met een command-and-controlserver. De groep gebruikt voornamelijk overgenomen legitieme WordPress-sites als proxies voor communicatie met de c2-server. Turla bleek volgens ESET eerder Instagram-commentaar voor c2-communicatie in te zetten.

Een opvallend aspect is dat er gebruik wordt gemaakt van zelfgemaakte encryptie, die niet voortkomt uit een publieke bibliotheek of leunt op de Windows-api. Via de c2-server kan de backdoor verschillende commando’s via http-verzoeken ontvangen, zoals het uploaden en downloaden van bestanden, het aanpassen van de configuratie en het uitvoeren van een commando. Voordat er een poging wordt gedaan om met de server contact te maken, controleert Gazer of er internettoegang is door de servers van onder meer Google en Microsoft te bezoeken.

Een ander detail is dat de laatste versie van Gazer strings bevat die verwijzen naar jargon uit games. Zo komt de tekst ‘only single player is allowed’ voor in de code, wat volgens ESET een poging tot humor is. De onderzoekers zeggen niet hoeveel doelwitten door Gazer zijn getroffen.

Bron: Tweakers

Berijdersgegevens van 52 leasebedrijven waren toegankelijk via server

Beveiligingsbedrijf ESET heeft ontdekt dat de gegevens van mensen die een leaseauto rijden op een centrale server toegankelijk waren. Het gaat om namen, adressen, leasecontracten en bekeuringen die in te zien waren bij in totaal 52 leasebedrijven.

ESET-directeur Dave Maasland zegt tegen het AD dat het om de gegevens van 180.000 tot 250.000 leaserijders gaat. Het beveiligingsbedrijf vond de gegevens toen het op zoek was naar een nieuwe leasemaatschappij. Zo was het binnen ‘een paar minuten’ mogelijk om toegang tot de server te krijgen, al legt ESET niet uit op welke manier dat mogelijk was. Maasland zegt tegen RTL dat het ‘een kwestie van cijfers aanpassen’ was en dat het bij de kwetsbare software om LeaseWise ging.

Na ontdekking van het lek informeerde ESET de getroffen bedrijven, waarna het lek werd gedicht. Het is onduidelijk of er misbruik van de gegevens is gemaakt. Het Verzekeringsbureau Voertuigcriminaliteit laat aan het AD weten dat adressenlijsten waarop staat welk type auto op welk adres aanwezig is van waarde kunnen zijn voor criminelen. Bijvoorbeeld om de auto’s of onderdelen ervan te stelen.

Volgens Maasland waren ook andere gegevens in te zien, bijvoorbeeld kilometerstanden en de locatie van de opslag van winterbanden.

Update, 09:35: Een gepubliceerde blogpost bevat meer informatie over de manier waarop ESET toegang kon verkrijgen tot de gegevens. Daaruit blijkt dat er in één ASP.Net-portaal de sessie van een andere gebruiker over te nemen was door session prediction. Dat was mogelijk door bepaalde id’s steeds te verhogen.

Ook in een tweede portaal was het mogelijk om een volgnummer in de url te verhogen en zo toegang tot de gegevens van een anders persoon te krijgen. Door het aanpassen van een query was het bovendien mogelijk om een csv-lijst met data van meer dan 3400 bestuurders op te vragen. Nadat bleek dat de gegevens van verschillende maatschappijen op één server stonden, waren deze ook door middel van een aangepaste query op te vragen.

Bron: Tweakers