Monthly Archives: October 2014






LTE direct is a new feature that is part of the LTE Protocol, it will be availble soon and has some nice features for us all!


Future Smartphones Won’t Need Cell Towers to Connect

Qualcomm, Facebook, and other tech companies are experimenting with technology that lets smartphones use their LTE radio to connect directly to other devices up to 500 meters away.

By Tom Simonite on September 29, 2014
A new feature being added to the LTE protocol that smartphones use to communicate with cellular towers will make it possible to bypass those towers altogether. Phones will be able to “talk” directly to other mobile devices and to beacons located in shops and other businesses.

Known as LTE Direct, the wireless technology has a range of up to 500 meters, far more than either Wi-Fi or Bluetooth. It is included in update to the LTE standard slated for approval this year, and devices capable of LTE Direct could appear as soon as late 2015.

LTE Direct has been pioneered by Qualcomm, which has been working on the technology for around seven years. At the mobile chip manufacturer’s Uplinq conference in San Francisco this month, it announced that it’s helping partners including Facebook and Yahoo experiment with the technology.

Researchers are, for example, testing LTE Direct as a way to allow smartphones to automatically discover nearby people, businesses, and other information. Some see the technology as a potential new channel for targeted promotions or advertising.

Despite its long range, LTE Direct uses relatively little power, so a phone could be constantly looking for nearby devices without significantly draining its battery life. A device with LTE Direct active might discover other phones using the technology or communicate with beacons—fixed devices installed in businesses or integrated into the infrastructure of an airport or train station.

“You can think of LTE Direct as a sixth sense that is always aware of the environment around you,” said Mahesh Makhijani, technical marketing director at Qualcomm, at a session on the technology. “The world around you is full of information, and the phone can use that to predict and to help you in your everyday life.”

Beacons using LTE Direct could broadcast useful information as well as special offers. A beacon installed in an airline check-in desk, for instance, might offer information on delays to people nearby who are booked on an affected flight.

Facebook is exploring how the technology could be used with its mobile app. “LTE Direct would allow us to create user experiences around serendipitous interactions with a local business or a friend nearby,” said Jay Parikh, Facebook’s vice president of infrastructure engineering. “You could find out about events or do impromptu meet-ups.”

LTE Direct can be used much like the iBeacons announced by Apple last year, which retailers including Macy’s are testing as a way to track and connect with shoppers’ mobile devices. However, iBeacon devices use the Bluetooth protocol, which has a much shorter range, and which not everyone leaves switched on.

Yahoo has also begun developing apps that use LTE Direct, says Beverly Harrison, a principal scientist at Yahoo Labs. One is a kind of digital tour guide. If you tell the app how long you have to spare, from 10 minutes to two hours, it will suggest a route past nearby points of interest, drawing on online information about places detected using LTE Direct. Harrison says Yahoo plans to start testing the app in January.

LTE Direct could also help smooth out the network glitches that occur when large numbers of users are trying to connect to the same cell tower. R/GA, an ad agency in New York whose clients include Nike and Beats, is designing a system that would use LTE Direct to serve up to a million people in or around Times Square on New Year’s Eve. Roman Kalantari, a creative director at RG/A, says LTE Direct is the only wireless technology that could keep devices online under such conditions.

RG/A and a technology consultancy called Control Group are also interested in using LTE Direct to serve targeted promotions. A smartphone could use LTE Direct to signal to nearby businesses what types of foods or products a customer is interested in so that it can offer customized deals, says Kalantari. “The idea that every retailer could be observing purchase intent is extraordinary valuable,” he says.

In theory, LTE Direct could be used to create communication apps that route all data from device to device. Some chat apps can already use Wi-Fi and Bluetooth to link up nearby phones (see “The Latest Chat App for iPhone Needs No Internet Connection”), but LTE Direct could offer extended range and better performance. However, carriers will control which devices on their networks can use LTE Direct because it uses the same radio spectrum as conventional cellular links. Wireless carriers might even gain a new stream of revenue by charging companies that want to offer services or apps using the technology, Qualcomm says.


Omerta Information Security


Screen Shot 2014-10-30 at 20.48.59

Taylor Swift is more then just a popstar. In Europe many people don’t know about how talented she really is. She makes her own music, writes books, is an information security specialist and uses social media like she didn’t do anything else since she was born.

Please read the story hereunder, the story is a good eyeopener for the people who say : “I have nothing to hide” or “I have an antivirus scanner, its the best there is”………. But also for all of us, the nerds and the geeks included.

Judge for yourself, happy reading!


A story about Jessica.

I want you to imagine someone for me. Her name is Jessica and she is 17 years old. She lives in a two bedroom apartment with her mother and uses an old laptop she got from one of her mom’s ex boyfriends. With it, she browses the portals that serve as her connection to the community constructed around attending the same high school. She is concerned with boys and love and the next rent payment keeping her and her mother in the apartment.

She doesn’t have the money for a new laptop. She doesn’t have the money to upgrade it, either. She doesn’t even know how you do that. She has other interests, like biology. She just worries about how she would pay for college, if she can keep her grades up enough to get a scholarship somehow.

The only person she knows in her whole life that’s good with computers is Josh, in English class. She knows she needs an antivirus, so she asks him. He gives her an option that costs $50 a year, but he notices her sudden discomfort and kindly mentions about an antivirus that’s free. When she goes home she downloads and installs it. It took some effort and it seemed complicated and took awhile, but there was now a reassuring new icon in the bottom right of her screen that says “Protected” when she hovers the mouse icon thing over it.

Jessica hears on the news all the time about companies being hacked and photos being stolen. She heard on CNN you’re supposed to have a complex password with something special in it, like a dollar sign, so she does. At least on her Facebook account – she isn’t interested enough to find out how to change her other account passwords. That sounds like such an investment of time, and she is busy enough focusing on remembering abstract strings of equations in Math class. She doesn’t want to remember another abstract string of numbers and letters for passwords. Besides, she’s a teenager, whose brains aren’t very good at planning or compensating for risk.

She heard about something called a password manager, but she knows not to download things from the Internet. She doesn’t know what to trust. One time, she clicked the “Download Now” button for a program she heard about from the news, and it took her to a different website. She doesn’t have a community to ask for advice. And, besides, she’s trying to figure out what to wear to her date with Alex on Saturday. Jessica worries if he’s going to like her once he gets to know her better, sitting together and talking one on one for the first time. She also worries if he’s going to break her heart, like the others.

Sometimes, she gets prompts to update software. But one time, she updated something called Java, and after clicking the blue E that gets her to Facebook a new line of icons appeared. She doesn’t know for sure it was related, but she’s kind of suspicious. The computer still works, and she doesn’t want to break anything trying to figure it out. She can’t afford to pay Geek Squad $200. It’s annoying, but it’s still working. The next time something asks to update, she’ll say no. She doesn’t need any new features, especially ones that make her Facebook window smaller. And if they were important – wouldn’t they just install automatically? Why would it even ask?

One day, Jessica gets an email that says it’s an eviction notice. And it says it’s from She knows what HUD is by the forms her mother fills out to help pay for the apartment. But she heard about opening unknown files on the news, so she goes into detective mode. She types in and it’s what she thinks it is. U.S. Department of Housing and Urban Development. She browses the site – it doesn’t look like anyone in Russia wrote it. So she opens the file. Adobe Reader opens, but the email plainly says that if the document is empty, there’s nothing to worry about. She tries to go to the next page, but there isn’t one. Oh well. She won’t mention it to her mother. She doesn’t want to worry her. It’s 7:40PM. She has to leave for her date.

What Jessica doesn’t know is the white light on her laptop that started coming on that day is the indicator for the camera that’s built in. She doesn’t even know it has a camera. But that camera started recording her. And the software recording her camera also started recording the screen. Including when she was emailing the pictures she took for Alex after she fell in love with him. At least when she types in passwords they always show up as black dots. Even if someone was behind her watching, they wouldn’t know the password. She doesn’t know her keyboard was being recorded, too. Nothing told her. Just like nothing told her the camera was on. Or the microphone.

Once in awhile, she hovers her mouse over the antivirus icon. It says Protected. It must be right. It’s the software Josh recommended, after all.


What is Jessica’s sin in this story? Was it not educating herself on the benefits of Open Source philosophy and running Linux – which is free? Was it not having friends or family that know a lot about computers that she could ask for advice? Was it not befriending Josh? Was it being someone who has other priorities in life? Was it not knowing that the companies providing her software updates also try to screw her over with junkware, and she needs to uncheck it – every time? Was it stupidly not knowing the era that SMTP was designed in and that it doesn’t provide any authentication? Why didn’t she put tape over the webcam? Why didn’t she take apart the laptop to remove the microphone?

Maybe this isn’t her fault. Maybe computer security for the average person isn’t a series of easy steps and absolutes they discard from our golden mouths of wise truths to spite the nerd underclass.

Perhaps it’s the very design of General Purpose Computing. And who built this world of freedom, a world that has so well served 17-year-old Jessica? You did. We did.

So whose fault is it.


Taylor Swift


Microsoft waarschuwt voor ‘zero day-lek’

Auteur: Aleksandra Micic
Stagiaire Omerta Security

Een ‘zero day-lek’ is een computerdreiging die probeert misbruik te maken van zwakke delen in software welke onbekend zijn voor andere of de softwareontwikkelaars.

Microsoft waarschuwt gebruikers voor een ‘zero day-lek’ in Windows, wat gebruikt word om computers te infecteren met malware.
De lek laat de ‘aanvaller’ met een willekeurige code met de rechten van de gebruiker die ingelogd is, uitvoeren als er ‘kwaadaardig’ Windows Office-bestand wordt geopend.

Volgens de ‘softwaregigant’ zouden er ‘beperkte’ gerichte aanvallen plaatsvinden waarbij er ‘kwaadaardige’ PowerPoint bestanden werden gebruikt.

Bij de waargenomen ‘aanvallen’ laat User Account Controle een venster zien om de rechten te verhogen, afhankelijk van de rechten van de ingelogde gebruiker. Aangezien een ‘aanvaller’ de rechten van de ingelogde gebruiker krijgt, adviseert Microsoft om een account met minder rechten te gebruiken.

De kwetsbaarheid is vooral aanwezig in Vista, server 2008, Windows 7, Windows 8, Windows 8.1, Server 2012 en Windows RT. In deze porgramma’s zit de kwetsbaarheid het meeste.

Tijdens het wachten op een update, heeft Microsoft een Fix-it oplossing vrijgegeven waarmee Windows gebruikers met maar een muisklik deze ‘kwetsbare’ code kunne uitschakelen.

Ook zorgt het gebruik van de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) ervoor dat wanneer dat word ingeschakeld voor Office, de aanval niet werkt.

Meer informatie?

[grwebform url=”″ css=”on”/]


cyber as a service

Niets is zo lastig als een begin te maken met cyber security, waar begin ik ? Waar doe ik goed aan? Ga ik geen geld uitgeven aan de verkeerde maatregelen? Omerta Information Security doet precies wat u zich afvraagt, grondig, doeltreffend en eenvoudig! En dat allemaal in een servicemodel zoals u van een serviceprovider gewent bent, compleet met SLA. U mag ons verantwoordelijk maken voor uw cyberdefense!

Uw netwerk is al besmet!

Malware en virussen zijn ondertussen niet meer van elkaar te ondescheiden en bestaan tegenwoordig uit Infostealers, Spyware, Trojan Horses, wormen teveel om op te noemen!
In 95% van de netwerken worden deze gevonden, zorg dat uw netwerk schoon blijft van deze zogenaamde Malicious software.

Wij kunnen ervoor zorgen dat uw netwerk bewaakt en beveiligd wordt, continu vat krijgen op uw netwerk zorgt voor minder verstoringen en kosten. Omerta Information Security gebruikt voor haar diensten onder meer: Alien Vault, NNT, Ciphercloud, Prospecsys. Ook Open Source oplossingen behoren tot de portfolio.


Meer informatie?

[grwebform url=”″ css=”on”/]


Omerta | Boompjes 57 | 7e verdieping | 3011 XB Rotterdam | 010 7600333 |


Tieners en cyber security

Auteur: Aleksandra Micic
Stagiaire Omerta Security

De meeste mensen downloaden apps en kijken niet naar de privacy voorwaarden, herken je dat? Je ziet de privacy voorwaarden en je drukt gewoon op ‘akkoord’.

De meeste mensen doen dat, maar is dat wel slim om te doen?

Nee! dat is het niet het is belangrijk om dat soort dingen altijd eerst door te lezen, het is niet leuk maar het is het beste.

Tijdens mijn dagelijkse werkzaamheden, kreeg ik ineens een vraag van een goede vriendin van me. Ze vroeg aan me, van hoe het mogelijk is dat SnapChat gehackt was, en ze vroeg zich af of haar foto er ook bij zat.

iPhone 6

iPhone 6

Ik kon haar natuurlijk geen duidelijk antwoord geven op de vraag of haar foto er bij zat, wat ik wel kon vertellen was het volgende:

Alles wat je op het internet plaatst, blijft op het internet. Simpelweg, het is niet te verwijderen. Mijn leeftijdsgenoten maken dagelijks gebruik van diverse applicaties en social media netwerken. Ik nam een snelle kijkje op mijn smartphone, en ik zag dat ik zelf de volgende applicaties geïnstalleerd had staan:

  • Snapchat
  • Facebook
  • Twitter
  • Whatsapp
  • Instagram
  • Skype
SnapChat hack

SnapChat hack


Hackers hebben in de maand oktober geclaimd dat ze SnapChat hadden gehackt. vertelt dat honderdduizend SnapChats op straat zijn beland.

De chatdienst Snapchat is bedoeld om foto’s te versturen die automatisch weer verdwijnen. Met Snapsave voor iOS is het voor de ontvanger echter mogelijk om foto’s heimelijk toch op te slaan.

Zoals je kan zien, is SnapChat en haar partners kwetsbaar voor hackers.



Facebook heeft in de afgelopen maanden, diverse “security updates” geïmplementeerd. 1 daarvan is bijvoorbeeld de “Facebook Privacy Settings”.



Twitter is ook een applicatie die veel mensen gebruiken, je kan er dingen ‘tweeten’ maar ook je tweets kan je beveiligen, zodat alleen mensen die jij wilt die je volgen ze kunnen lezen. Ook je tweets kan je verwijderen maar, van internet kan je niks verwijderen, alles blijft ergens opgeslagen.



Een van de beroemdste en meest gebruikte applicatie onder jongen, maar ook ouderen is whatsapp. Op whatsapp valt er niet veel te beveiligen, want het is aan jou zelf of je jouw whatsapp wilt geven aan iemand, maar als iemand dan toch jou nummer heeft terwijl je dat niet wil dan kan je die gene blokkeren.



Ook kan de politie whatsapp gesprekken lezen als dat nodig is.



Ook instagram is een veel gebruikte applicatie onder de jongeren, je kan je instagram account ook beveiligen, als je niet wilt dat iedereen jou foto’s/video’s ziet kan je een slotje op je instagram zetten, zodat alleen mensen die jij accepteert je foto’s kunnen kijken.



Skype is ook erg bekend, je skype is ook niet ‘echt’ te beveiligen, bij skype is het zo, als iemand jou toevoegt en je kent die gene, kan je hem/haar accepteren, anders kan je het verzoek weigeren.

Niemand kan een (video)gesprek beginnen met jou die jij niet heb geaccepteerd. Zoals je ziet is het erg belangrijk om al je accounts te beveiligen, anders kan iedereen jij recente activiteiten zien, of jou foto’s video’s etc. gebruiken voor iets waar het niet voor is bedoeld.

Voor ouders zou ik aanraden om uw kinderen alles te laten beveiligen, wat zou u doe als ouder zijnde als bijvoorbeeld uw kind zijn/haar foto’s opeens overal op het internet staan waar ze niet horen?

Of dat zijn/haar tweets overal te zien zijn, wat uw kind niet wil. Zo zijn er veel verschillende dingen die kunnen gebeuren met de informatie die je invult op social media. Een voorbeeld, Snapchat is in oktober gehackt, dat betekend dat de hackers veel foto’s konden zien die privé waren, waaronder ook ‘pikante’ foto’s, wat als dit jou overkomt? Daarom moet je altijd goed nadenken voordat je iets stuurt, of op het social media zet.

Zelf ben ik ook een tiener, en ik denk altijd na voordat ik iets stuur naar iemand, of voordat ik iets op het social media plaats, want ik weet wat de gevolgen kunnen zijn.

[grwebform url=”″ css=”on”/]


Google Dorks

FBI warning about new dangerous search tool?

The FBI has sent a warning to police and other emergency personnel, about a ‘deadly’ new tool which ‘malicious criminals’ using for deadly effects against the American government.

The warning, reported by Ars technica, refers specifically to ‘Google Dorking’ also known as ‘Google Dorks’. They use  specialized syntax searches such as ‘filetype:sql’.

‘Google dorks’ refers to search syntax which allow users to search within a specific website ( by using the term URL ) or for specific file types, they can also search for specific databases. These terms are widely known, and they are also legal. The warning is for organizations who don’t know how to secure their databases properly.

Is google dorks the ‘weapon of the malicious’?

In October 2013, unknown attackers used ‘google dorks’ to search for vulnerable websites to find vulnerable versions of a so called ‘internet Message Board Software’ product, according to the researchers, Says the FBI warning.

After they search for vulnerable software identifiers, the attackers were able to create new administrator account, on about 35,000 websites.


Google Dorks English

[grwebform url=”″ css=”on”/]


Na de fappening en snappening nu de ‘’Droppening’’

Afgelopen week zijn er meer dan 7 miljoen Dropbox-accounts gegevens gestolen tijdens een hack. De hacker heeft als bewijs alle e-mailadressen en wachtwoorden online gezet op Reddit(de droppening). In totaal zijn er 6.937.081 inloggegevens zijn gestolen van Dropbox. Het bedrijf zelf zegt niks te weten van deze zogenaamde droppening en zegt dat dit werk is van derde. Het bedrijf zegt dat de hack al maanden geleden is uitgevoerd en dat een groot deel van de wachtwoorden al inactief zijn gemaakt of gewijzigd. Dropbox heeft niet laten weten of dit om alle 7 miljoen account gegevens gaat. Zijn uw gegevens wel veilig?

Zijn uw online office bestanden of vakantie foto’s nog wel privé of kan je ze straks zelfs ergens tegen komen op internet. Wij raden u aan om zo snel mogelijk uw wachtwoord te wijzigen voordat er een hacker mee aan de haal gaat en ze ergens op internet ‘’dropt’’. Wat ook kan helpen is niet voor elke service het zelfde wachtwoord kiezen. Dus voor Twitter niet hetzelfde wachtwoord gebruiken als bij Facebook.

Bestanden online Na de fappening en snappening is er nu de ‘’Droppening’’. Afgelopen maand is er veel opspraak geweest over wie er nou allemaal mee kijkt en wat er precies allemaal gebeurd met uw gegevens in de cloud. Is het nog wel veilig om te gebruiken? Als u van bepaalde foto’s of bestanden niet wil dat ze verspreid worden kunt u deze beter niet online zetten.

De ‘’Droppening’’ is een feit. Maar in de toekomst kunt u beter 2 keer na denken voor dat u foto’s of andere privé bestanden opslaat in de cloud.

Hou er altijd rekening mee dat deze gedeeld kunnen worden.


Uh.… Wachtwoord veranderen?

Afgelopen zomer is er naar buiten gekomen dat er een diefstal is geweest van 1,2 miljard inloggegevens. Deze gegevens zijn gehackt door Russische hackers. 1,3 miljoen e-mailadressen zouden eindigen op .nl. Dit is te zien in een lijst van National Cyber Security Centrum (NCSC). Er zouden ook e-mailadressen van het ministerie van Defensie op deze lijst staan.

Volgens het NCSC is dit de grootste hack tot nu toe. De Russische hackers zou het gelukt zijn om 420.000 websites te hacken en daar de e-mailadressen, gebruikersnamen en wachtwoorden te stelen. Omdat er veel mensen zijn die voor dezelfde accounts het zelfde wachtwoord gebruiken lopen er veel mensen het risico ook op andere websites gehackt te worden. Het NCSC heeft contact gehad met de internetproviders waar de Nederlandse e-mailadressen onder vallen.

Die kunnen de slachtoffers er van op de hoogten brengen dat ze slachtoffer zijn geworden van een hack. Mensen die geen bericht hebben gehad maar wel een e-mailadres hebben wat eindigt op .nl kunnen er van uitgaan dat hun niet getroffen zijn. Het NCSC heeft ook een lijst gehad met 5600 Nederlandse websites die nog kwetsbaar kunnen zijn voor aanvallers.

De eigenaren van deze website krijgen een bericht via stichting internet domeinregistratie Nederland die de beheerder is over domeinnamen die op .nl eindigen. Uit een analyse van het NCSC blijkt dat de beveiliging van overheidsdiensten niet in gevaar is geweest en daar dus geen informatie uit is buitgemaakt. Wat u nu zelf het beste kunt doen (ook als u niet gehackt bent) is het wachtwoord van u huidige e-mailadres te veranderen, ook raden wij u aan om niet voor elk account het zelfde wachtwoord te gebruiken en deze om een bepaalde tijd te vervangen.

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign

Omerta Information Security – Rotterdam 14 October 2014






Zero-day impacting all versions of Microsoft Windows – used in Russian cyber-espionage campaign targeting NATO, European Union, Telecommunications and Energy sectors




On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.

Microsoft is making a patch for this vulnerability available as part of patch updates on the 14th  – CVE-2014-4114.

Exploitation of this vulnerability was discovered in the wild in connection with a cyber-espionage campaign that iSIGHT Partners attributes to Russia.

Visible Targets

Visibility into this campaign indicates targeting across the following domains. It is critical to note that visibility is limited and that there is a potential for broader targeting from this group (and potentially other threat actors) using this zero-day.

  • NATO
  • Ukrainian government organizations
  • Western European government organization
  • Energy Sector firms (specifically in Poland)
  • European telecommunications firms
  • United States academic organization



Requests for Technical Indicators / For More Information

High level details of this campaign – including iSIGHT’s assessment of the actors behind it – can be found below. Further information will be provided in a live briefing to any interested parties on Thursday, October 16th at 2:00 p.m. eastern – you may register for that briefing here

To support organizations in determining their potential exposure to this campaign, iSIGHT is making available a broader technical report – inclusive of indicators – through a formal vetting process.

To request the full technical report, please follow this link and complete the necessary information. Note that you will need to provide professional credentials including work email and telephone and that iSIGHT will may contact you to verify those credentials prior to releasing the report.

If you have a media related inquiry regarding this disclosure, please contact iSIGHT at 703.994.9349 or by sending email to

High Level on Sandworm – Cyber Espionage Campaign Attributed to Russia

As part of our normal cyber threat intelligence operations, iSIGHT Partners is tracking a growing drum beat of cyber espionage activity out of Russia.

We are actively monitoring multiple intrusion teams with differing missions, targets and attack capabilities. We are tracking active campaigns by at least five distinct intrusions teams.

For example, we recently disclosed the activities of one of those teams (dubbed Tsar team) surrounding the use of mobile malware. This team has previously launched campaigns targeting the United States and European intelligence communities, militaries, defense contractors, news organizations, NGOs and multilateral organizations. It has also targeted jihadists and rebels in Chechnya.

We are attributing this particular cyber-espionage campaign to a different intrusion team that iSIGHT has dubbed ‘Sandworm Team’ based on its use of encoded references to the classic science fiction series Dune in command and control URLs and various malware samples.

The team has been previously referred to as Quedach by F-Secure, which detailed elements of this campaign in September 2014 but only captured a small component of the activities and failed to detail the use of the zero-day vulnerability.

iSIGHT Partners has been monitoring the Sandworm Team’s activities from late 2013 and throughout 2014 – the genesis of this team appears to be around 2009. The team prefers the use of spear-phishing with malicious document attachments to target victims. Many of the lures observed have been specific to the Ukrainian conflict with Russia and to broader geopolitical issues related to Russia. The team has recently used multiple exploit methods to trap its targets including the use of BlackEnergy crimeware, exploitation of as many as two known vulnerabilities simultaneously, and this newly observed Microsoft Windows zero-day.

Some chronological details on Sandworm’s targeting…

  • The NATO alliance was targeted as early as December 2013 with exploits other than the zero-day
  • GlobSec attendees were targeted in May of 2014 with exploits other than the zero-day
  • June 2014
    • Broad targeting against a specific Western European government
    • Targeting of a Polish energy firm using CVE-2013-3906
    • Targeting of a French telecommunications firm using a BlackEnergy variant configured with a Base64-encoded reference to the firm

In late August, while tracking the Sandworm Team, iSIGHT discovered a spear-phishing campaign targeting the Ukrainian government and at least one United States organization. Notably, these spear-phishing attacks coincided with the NATO summit on Ukraine held in Wales.

On September 3rd, our research and labs teams discovered that the spear-phishing attacks relied on the exploitation of a zero-day vulnerability impacting all supported versions of Microsoft Windows (XP is not impacted) and Windows Server 2008 and 2012. A weaponized PowerPoint document was observed in these attacks.

Though we have not observed details on what data was exfiltrated in this campaign, the use of this zero-day vulnerability virtually guarantees that all of those entities targeted fell victim to some degree.

We immediately notified targeted entities, our clients across multiple government and private sector domains and began working with Microsoft to track this campaign and develop a patch to the zero-day vulnerability.


Working with Microsoft, we discovered the following:

  • An exposed dangerous method vulnerability exists in the OLE package manager in Microsoft Windows and Server
    • Impacting all versions of the Windows operating system from Vista SP2 to Windows 8.1
    • Impacting Windows Server versions 2008 and 2012
  • When exploited, the vulnerability allows an attacker to remotely execute arbitrary code
  • The vulnerability exists because Windows allows the OLE packager (packager .dll) to download and execute INF files. In the case of the observed exploit, specifically when handling Microsoft PowerPoint files, the packagers allows a Package OLE object to reference arbitrary external files, such as INF files, from untrusted sources.
  • This will cause the referenced files to be downloaded in the case of INF files, to be executed with specific commands
  • An attacker can exploit this vulnerability to execute arbitrary code but will need a specifically crafted file and use social engineering methods (observed in this campaign) to convince a user to open it

Coordinated Disclosure

Over the past 5 weeks, iSIGHT Partners worked closely with Microsoft to track and monitor the exploitation of this vulnerability in the wild, share technical information to assist in the analysis of the vulnerability and the development of a patch, and coordinate disclosure to the broader security community.

Although the vulnerability impacts all versions of Microsoft Windows – having the potential to impact an enormous user population – from our tracking it appears that its existence was little known and the exploitation was reserved to the Sandworm team.

Given that affected parties were notified and that we did not witness a major surge / broader propagation of the exploit based upon our visibility into the team’s command and control infrastructure, we elected to time the disclosure to the availability of a patch. This timing minimizes the potential for other bad actors to take advantage of the vulnerability.

Should we have witnessed a major change, both Microsoft and iSIGHT Partners were ready to release this information in advance of the patch.

The application of this patch should be done as soon as humanly possible given the potential for further exploitation by this cyber espionage team and others in the threat actor community.

Microsoft is detailing a list of workarounds to the vulnerability as part of its bulletin – these workarounds should help mitigate the risk of exploitation while the patching process unfolds for your firm.

Requests for Technical Indicators

As mentioned at the beginning of this blog, iSIGHT is providing indicators of compromise to all concerned parties through a vetting process to assist organizations in analyzing their potential exposure. To request the technical report click here.

Additionally, you may request participation in a live briefing that will go deeper into the activities of this group on Thursday, October 16th at 2:00 p.m. eastern by clicking here.

 [grwebform url=”″ css=”on”/]


Omerta Information Security – Rotterdam 4 Oktober 2014

PinkRoccade publiceerde vorige week een video waarover veel ophef ontstond; In de video, die gaat over informatie als de adviseur van de toekomst, is te zien hoe iemand in het jaar 2020 in een stressvolle situatie terechtkomt doordat hij een lekke band in een slechte buurt krijgt en er twee personen op hem afkomen. De toegenomen hartslag en transpiratie zorgt ervoor dat de smart-apparatuur die de hoofdpersoon draagt automatisch een signaal naar de gemeente stuurt.

ICT-leverancier PinkRoccade stelt dat burgers baas zijn over hun eigen data en zelf bepalen wat ze met de overheid delen. Dat zegt het bedrijf in een reactie op alle ophef die gisteren ontstond naar aanleiding van een filmpje dat vorige week op YouTube werd geplaatst.

pink filmpjeGOOGLE GLASS

De persoon in de video geeft de gemeente vervolgens toestemming om mee te kijken met zijn Google Glass. Tegelijkertijd wordt via gps van de aanwezige smartphones in de buurt vastgesteld om hoeveel verdachte personen het gaat en hoe ze zich bewegen. Via een controle van het GBA kijkt de gemeente of de verdachte personen in de buurt wonen of ergens anders. “In het laatste geval is hun aanwezigheid natuurlijk extra verdacht”, aldus het filmpje.

Ook kan de gemeente kijken of de verdachten in kwestie bij de politie bekend zijn. De video laat verder weten dat dankzij een snelle analyse de dichtstbijzijnde politieauto naar de locatie wordt gestuurd. Dit zorgt er uiteindelijk voor dat de hoofdpersoon in de video veilig thuiskomt. “Door het beschikbaar stellen van jouw persoonlijke informatie ben je geholpen toen het nodig was. Hierdoor is je gevoel van veiligheid toegenomen. Je plaatst een positief berichtje op Twitter en Facebook. Een compliment voor de gemeente”, zo wordt in de video gesteld.

De video zorgde voor grote ophef op Twitter. “Satirisch, dystopisch campagnefilmpje? Helaas: dit is bloedserieus. Totalitaire surveillance in de gemeente”, zo liet burgerrechtenbeweging Bits of Freedom weten. In een reactie via de microbloggingdienst stelt PinkRoccade: “ons uitgangspunt is dat de burger baas is en blijft over eigen data. De burger kiest zelf welke data hij deelt met bedrijven en de overheid.”



En dat is vinden wij toch wel een beetje treurig en gevaarlijk, in de reacties op  is te lezen dat er genoeg reden is voor terughoudendheid van PinkRoccade over dit onderwerp. Er dient wel zeker rekening gehouden te worden de privacy van de burger. Waarschijnlijk is het voor PinkRoccade een voorbeeldfilmpje geweest  om gemeentes te laten inzien waar PinkRoccade toe  in staat is, echter op internet dient men goed na te denken over de content die wordt geplaatst.


Eigen Baas

Dat burgers eigen baas moeten zijn over de door hen “beschikbaar” gestelde data is wel het allerminste, echter invulling hieraan geven hebben wij nog niet voorbij zien komen door PinkRoccade. Volgens mij een uitgelezen kans om het grote publiek ervan te overtuigen dat ICT vooruitgang ook hand in hand kan gaan met privacy belangen.Wij denken dat ze even een stap over het hoofd hebben gezien. Misschien is het een goed idee om hierover publiekelijk eens van gedachten te wisselen……… Han Knooren?