Russische geheime dienst gebruikt nieuw cyberwapen dat zich diep nestelt in je computer

De Russische GRU, de militaire inlichtingendienst, heeft in het geheim nieuwe malware ontwikkeld en geïmplementeerd die vrijwel onmogelijk is uit te roeien. De malware overleeft bijvoorbeeld een volledige vernietiging van de harde schijf van de doelcomputer en stelt de hackers van het Kremlin in staat steeds weer terug te keren naar hun slachtoffer.

De malware, ontdekt door het Europese beveiligingsbedrijf ESET, werkt door de code te herschrijven in de UEFI-chip van een computer, een kleine chip op het moederbord die het opstart- en opstartproces regelt. Die chip werkt op een dieper niveau dan het besturingssysteem, bijvoorbeeld Windows en de malafide software blijft dus ook gewoon zitten in het geval dat het besturingssysteem opnieuw wordt geïnstalleerd of de harde schijf wordt vervangen.

Het is het bewijs dat de hackers die bekend staan ​​als Fancy Bear "misschien nog gevaarlijker zijn dan eerder werd gedacht", schrijven de ontdekkers in een blogpost. Ze presenteerden gisteren ook een paper over de malware op de Blue Hat-beveiligingsconferentie van Microsoft.

Fancy Bear: GRU-eenheden die bekend staan als Unit 26165 en Unit 74455

Onderzoekers van het Slowaakse beveiligingsbedrijf ESET troffen het geavanceerde digitale wapen aan op computers van ministeries en ambassades in Oost-Europse landen. "We weten al langer dat dit in theorie mogelijk is, maar het is de eerste keer dat we een wapen als dit in het wild zien", zegt Robin Wolters van ESET.

Fancy Bear was eerder verantwoordelijk voor aanvallen op onder meer de NAVO, de Amerikaanse Democratische partij en het Franse tv-station TV5Monde. Fancy Bear werd door de speciale commissie onder leiding van Robert Mueller, die onderzoekt in hoeverre Rusland de jongste Amerikaanse presidentsverkiezingen probeerde te beïnvloeden, geïdentificeerd als de twee GRU-eenheden die bekend staan ​​als Unit 26165 en Unit 74455. De GRU is minder bekend dan de KGB doordat het een bijzonder geheime organisatie is, waartoe zelfs de hoogst geplaatste politici geen toegang konden krijgen zonder uitgebreide veiligheidsscreening.

Moeilijk te detecteren

"Het is een heel hardnekkige aanval en moeilijk te verwijderen voor normale gebruikers", zegt Wolters. "Ook is het moeilijk om de aanval te detecteren, omdat de aanvallers al controle hebben over het besturingssysteem voordat het opstart." Daardoor kunnen virusscanners om de tuin worden geleid.

Bij elke herstart controleert de gehackte chip of Windows-malware nog steeds aanwezig is op de harde schijf en als dat niet het geval is, wordt die opnieuw geïnstalleerd.

Waarvoor het wapen is ingezet, is onbekend. "We weten alleen dat de aanvallers zich richtten op landen in de Balkan en Oost-Europa", zegt Wolters.

Vorig jaar onthulde een WikiLeaks-dump dat de CIA zijn eigen malware genaamd "DerStarke" gebruikte om op lange termijn toegang te houden tot gehackte MacOS-machines met dezelfde techniek.

Lees meer