Mailservers Microsoft kwetsbaar voor malware via geheime achterdeur
Maanden onopgemerkt

Mailservers Microsoft kwetsbaar voor malware via geheime achterdeur

01-07-2022 09:58 Laatste update: 10:44

De Microsoft Exchange-servers zijn kwetsbaar voor malware, die op zoek gaat naar wachtwoorden en ondanks updates onopgemerkt blijft functioneren.

De malware is al zeker 15 maanden actief, ontdekte cyberveiligheidsbedrijf Kaspersky. Het bedrijf noemt de nieuw ontdekte malware 'SessionManager'. Slachtoffers zijn onder andere overheden, militaire organisaties en NGO's in Europa, het Midden-Oosten, Azië en Afrika.

Op de kaart met getroffen landen staan onder meer het Verenigd Koninkrijk, Polen, Turkije, Argentinië, Rusland en China. West-Europese en Noord-Amerikaanse landen lijken nauwelijks getroffen. Het gaat om 24 bedrijven met in totaal 34 getroffen servers; het gros van de bedrijven zou nu nog steeds gecomprimeerd zijn.

Malware moeilijk te detecteren

SessionManager werd voor het eerst begin 2022 door Kaspersky ontdekt. Het zou zeker sinds maart 2021 al zijn ingezet, direct na de golf aanvallen op Exchange-servers destijds. "De achterdeur van SessionManager geeft kwaadwillenden een voortdurende, update-bestendige en vrij stiekeme toegang tot de IT-infrastructuur van getroffen bedrijven", schrijft Kaspersky.

Eenmaal met de malware besmet, kunnen cybercriminelen via de achterdeur toegang krijgen tot e-mail van bedrijven en meer malware installeren waarmee servers ongemerkt bediend kunnen worden. Zo kunnen belanden op servers worden gezet of er vanaf worden gestolen en kan het netwerkverkeer worden beïnvloed, omgeleid en dus bespioneerd.

Een specifiek kenmerk van SessionManager is volgens Kaspersky de slechte vindbaarheid door virusscanners. De meeste populaire online bestandsscanners zouden de malware niet vinden. Kaspersky ziet veel overeenkomsten tussen doelwitten van SessionManager en het meer voorkomende OwlProxy. Daarom vermoedt het bedrijf dat de Gelsemium-groep achter de malware zit.

Kaspersky onder vuur

Kaspersky is één van de grootste cyberveiligheidsbedrijven ter wereld. Het bedrijf werd in 1997 opgericht door het Russische echtpaar Eugene en Natalya Kaspersky, die vroeger voor de inlichtingendienst van de Sovjet-Unie werkten.

Vlak na de Russische invasie in Oekraïne begon de Amerikaanse regering bedrijven te waarschuwen voor het gebruik van de antivirussoftware van Kaspersky. Het Russische bedrijf zou onder druk van het Kremlin schade kunnen toebrengen aan bedrijven, klonk de waarschuwing. De Amerikaanse toezichthouder FCC zette Kaspersky op de zwarte lijst van bedrijven die een risico voor de nationale veiligheid vormen.

Ook adviseerde de Duitse inlichtingendienst BSI klanten van Kaspersky om een andere leverancier van antivirussoftware te kiezen.