Kaspersky ontdekt NSA-malware DarkPulsar op meerdere apparaten

Kaspersky Lab meldt vandaag dat het computers ontdekt heeft die geïnfecteerd zijn met DarkPulsar. Dat is malware die volgens de geruchten ontwikkeld is door de Amerikaanse National Security Agency (NSA). Netwerken in Egypte, Iran en Rusland zouden te maken hebben met de malware.

Dat stellen onderzoekers van Kaspersky Lab vandaag in een statement. “We hebben ongeveer vijftig slachtoffers gezien, maar geloven dat het werkelijke aantal veel hoger ligt”, aldus de onderzoekers. Alle slachtoffers die gevonden zijn, bevinden zich in Egypte, Iran of Rusland. De meeste servers die ermee te maken hebben draaien Windows 2003/2008 Server. “Doelen waren gerelateerd aan kernenergie, telecommunicatie, IT, de ruimte en R&D.”

Shadow Brokers

De onderzoekers van Kaspersky konden DarkPulsar analyseren omdat het een van de vele hackingtools is waarvan in de lente van 2017 code online verscheen. De tools werden gelekt door een hackersgroep die zichzelf de Shadow Brokers noemen. Zij stelden de gegevens van de Equation Group gestolen te hebben. Dat is weer een codenaam voor een groep waarvan de cybersecurity-industrie denkt dat het de NSA is.

DarkPulsar kwam gedurende meer dan achttien maanden niet of nauwelijks onder de aandacht, mede doordat het tegelijk met EternalBlue gelekt werd. Dat is een exploit die ten grondslag ligt aan de drie grootste ransomware-lekken van vorig jaar: WannaCry, NotPetya en Bad Rabbit. De industrie was daar dan ook vooral op gericht.

FuzzBunch, DanderSpritz en DarkPulsar

De afgelopen maanden hebben de onderzoekers van Kaspersky Lab echter ook gekeken naar de andere lekken die onderdeel uitmaken van Shadow Brokers. Zo ontdekten de onderzoekers FuzzBunch – dat systemen kan uitbuiten – en DanderSpritz, dat werkt als GUI-applicatie waarmee gehackte computers beheerd worden.

DarkPulsar bleek een “implantaat” van FuzzBunch te zijn en wordt vaak in combinatie met DanderSpritz gebruikt. “We analyseerden de tool en begrepen dat het geen achterdeurtje zelf is, maar enkel het administratieve onderdeel”, aldus de onderzoekers. Zo ontdekten ze dat bepaalde delen van de code van DarkPulsar waarschijnlijk gebruikt zouden worden voor malware.

Dat bleek te kloppen, want door naar die code te zoeken, ontdekten de antivirusscanners van Kaspersky op vijftig computers infecties met DarkPulsar. Een van de voornaamste functies van de malware, is dat deze als achterdeur voor geïnfecteerde computers gebruikt wordt. De malware zou zeer waarschijnlijk op meer dan vijftig apparaten hebben gestaan. Deze beschikt namelijk over een speciale functie waarmee deze verwijderd kan worden. “De vijftig slachtoffers waren dus waarschijnlijk de paar apparaten die de aanvallers vergeten waren.”