<< error >> (our Markdown requires valid webpage links, not image links, see manual)

‘NSA infecteert computers op grote schaal met malware’

De NSA gebruikt op grote schaal malware om computers te infecteren. Dat blijkt uit documenten van NSA-klokkenluider Edward Snowden. Daarbij wordt onder meer gebruikgemaakt van bugs in webbrowsers, plug-ins en routerfirmware.

Vlak voor de jaarwisseling bleek al uit documenten van NSA-klokkenluider Snowden dat de NSA internetverkeer manipuleert, bijvoorbeeld door eigen pakketjes te injecteren op bepaalde punten op internet. Naar nu blijkt gebeurt dat niet slechts in individuele gevallen; de NSA past de capaciteiten op grote schaal toe. Dat meldt The Intercept, de nieuwe site van journalist Glenn Greenwald, die het gros van de Snowden-onthullingen naar buiten heeft gebracht.

Het infecteren van computers en vervolgens inwinnen van inlichtingen is voor een groot deel geautomatiseerd, zo blijkt uit de onthullingen. Daardoor zou het mogelijk zijn om miljoenen implants, zoals de NSA de infecties noemt, te beheren. Tien jaar geleden beheerde de NSA op een bepaald moment nog slechts 100 tot 150 implants. Hoeveel het er nu precies zijn, is niet duidelijk.

De aanvallen worden uitgevoerd op choke points op internet; punten waar grote hoeveelheden dataverkeer langskomen, zoals internetknooppunten. Op die plekken kan iedereen die langskomt worden geïnfecteerd, zo blijkt uit een interne NSA-presentatie. Dat gebeurt door een man-in-the-middle-aanval uit te voeren, waarbij de gebruiker zonder dat hij het merkt, geen verbinding maakt met de site die hij zoekt, maar met een server van de NSA.

NSA-slidesNSA-slidesNSA-slides
Bovendien zou de NSA over software beschikken om versleutelde verbindingen met vpn-servers toch te kunnen kraken. Het is onduidelijk om welk type vpn-verbindingen het daarbij gaat; sommige protocollen, zoals pptp, bevatten ernstige beveiligingsproblemen.

De inlichtingendienst maakt daarbij gebruik van kwetsbaarheden in browsers als Firefox en Internet Explorer, maar ook in plug-ins als Java en Flash. Ook worden kwetsbaarheden in routers misbruikt. De kwetsbaarheden zouden moeilijk te detecteren zijn en de hackers van de NSA hebben er vertrouwen in dat ze virusscanners en firewalls kunnen omzeilen. "Als we een doelwit zover kunnen krijgen om ons in een webbrowser te bezoeken, kunnen we het waarschijnlijk ownen", aldus de hackers in interne NSA-documenten. "Het is een kwestie van hoe."

De NSA zou zich onder meer voordoen als servers van Facebook om malware te injecteren. Ook worden spam-mails gebruikt, maar die zouden in de laatste jaren minder succesvol zijn geworden, doordat gebruikers sceptischer zijn geworden over mailtjes van onbekenden. Een andere methode is het overnemen van botnets om malware te verspreiden.

Hoewel het mogelijk is om iedereen die verbinding maakt te injecteren met malware, kan ook een selectie worden gemaakt. Dat kan bijvoorbeeld op basis van de cookies die iemand naar de server zendt, maar in het geval van telefoons ook om imei's, claimt de NSA, al is onduidelijk hoe dat werkt. Imei's worden niet meegezonden tijdens het browsen.

De NSA zou onder meer routers van internetproviders hacken om verkeer te kunnen onderscheppen. Daarbij zijn ook sysadmins van internetproviders een doelwit. Via hen probeert de NSA binnen te dringen in de netwerken van de providers. Dergelijke tactieken zouden ook zijn ingezet bij de aanval op de Belgische internetprovider Belgacom, die door de GCHQ werd uitgevoerd. Uit de Snowden-onthullingen blijkt dat de NSA al sinds 2010 toegang tot de servers van die telco had.

De inlichtingendienst zet volgens The Intercept onder meer malware in om iemands pc-microfoon af te tappen. Ook kan de webcam worden afgetapt en is er malware die bijhoudt welke websites worden bezocht. Daarbij worden ook ingevoerde gebruikersnamen en wachtwoorden opgeslagen. De geheime dienst beschikt bovendien over keyloggers en malware om bestanden van pc's te halen.

tweakers.net