
De cyberweek (18-3-2018)
Veel cyberaanvallen in het nieuws deze week, van cryptominende iStore-apps tot aanvallende overheden tot een kijkje achter de schermen bij Steve Bannon’s hersenspoelfabriek (waarover ongetwijfeld volgende week meer). Een keuze.
Grote aanval op petrochemische fabriek voorkomen
– door een bugje in de malware
Volgens de New York Times zijn hackers in januari de systemen van een petrochemische fabriek in het Midden-Oosten binnengedrongen met de bedoeling om een explosie te veroorzaken. Een intelligente en vernieuwende aanval – waarschijnlijk state sponsored.
Doelwit was de Schneider Triconex controller – notabene veiligheidshard- en software. Die controllers kunnen alleen fysiek bediend worden. Tenminste, dat dachten we tot nu toe.
De aanval is mislukt. Niet omdat de malware op tijd werd gevonden, maar omdat malware ook wel eens bugjes heeft. In plaats van de boel te laten ontploffen werd de fabriek door de malware uitgezet.
Eind goed al goed? Nee. De aanvallers hebben hun bugje ondertussen ongetwijfeld gefixt. En de Schneider’s Triconex controllers die aangevallen zijn worden wereldwijd op zo’n 18.000 locaties wereldwijd. In raffinaderijen, kerncentrales en waterzuiveringsinstallaties. De uitdaging voor de aanvallers zit ongetwijfeld in het binnendringen in die systemen, maar dat het mogelijk is weten we nu. Wordt dus waarschijnlijk vervolgd.
Inval in een drugspostorderbedrijf
Vorige week berichtte ik over de overname van het Team High Tech Crime van de polite van de Hansa market. Deze week horen we over de follow-up. Achter Hansa handelaar Doug-Heffernan zat een Nederlandse drugsorganisatie. Bij een politieinval werden de verdachten niet alleen op heterdaad betrapt. De politie vond ook een serie 3D printers. Die werden gebruikt om de verpakkingen te maken waarin de drugs verstuurd werden: Nintendo spelcomputers, inktcartridges en dat soort onschuldig ogende dingen. De bende had een uitgebreide klantenadministratie en verkocht over de hele wereld.
Spear phishing – hoe onderscheid je je target van de rest van de wereld?
Volgens Unit42, onderdeel van Palo Alto networks, is afgelopen week een Europese regering aangevallen door Fancy Bear. De aanval zelf was niets nieuws: een spear phishing email met een besmet attachment dat gebruik maakt van een kwetsbaarheid in Flash. Het aanhangsel was een word document getiteld “Defence & Security 2018 Conference Agenda.docx” – gekopieerd van een bestaande conferentie.
Nieuw was dat de Trojan op de derde pagina verstopt zat en pas actief werd als deze pagina werd geopend. Daardoor besmet je alleen de mensen die daadwerkelijk doorlezen tot pagina 3 – je targets.

Het malafide flash-object op pagina 3 lijkt op een misplaatste punt.
De Strava hittekaart
In januari kwam de fitnesstracker Strava in het nieuws omdat ze heat maps publiceerden van de routes van hun gebruikers – waardoor Amerikaanse bases in het Midden-Oosten zichtbaar werden. Strava heeft de kaarten nu aangepast zodat alleen geregistreerde gebruikers ze kunnen zien. Dat helpt wellicht om de pers even weg te houden, maar geïnteresseerde vreemde mogendheden stop je daar niet mee.
Strava toont nu ook alleen routes op plaatsen waar meerdere gebruikers actief zijn. De morning run van die ene Amerikaanse soldaat in Afghanistan is er daarmee uitgefilterd.
Natuurlijk ligt de lek niet alleen aan Strava – gebruikers op gevoelige locaties zouden er natuurlijk aan moeten denken om hun locatieservice uit te zetten. Wat me eraan doet denken… op hoeveel apps heb ik die eigenlijk aanstaan?
No Comments :