Jennings, van beveiligingsbedrijf Countercept heeft een script geschreven als reactie op de uitgelekte spionagetools waarvan onderzoekers denken dat deze van de Amerikaanse National Security Agency zijn. Het script controleert of de zogenaamde Doublepulsar-implant aanwezig is op Windows-machines. De implant kan worden gebruikt om andere malware binnen te hengelen.

Celebrating our 5th edition


Op 28 september organiseren wij de 5de editie van IT Innovation Day. Onze sprekers gaan het gesprek aan over onderwerpen die niet alledaags en zelfs een tikkie controversieel zijn. Experts op het gebied van medisch zelfexperiment, cyber war, big data, de maakbare maatschappij, commerciële doeleinden van satellieten en de BotNet of Things.


Verwacht korte en krachtige sessies van gamechangers, die het experiment zijn aangegaan en zich uitspreken over de comfort- en gevarenzones die we binnenkort tegemoet treden.


Schrijf uzelf nu kosteloos in!


Verschillende beveiligingsonderzoekers hebben Jennings' script gebruikt om verschillende machines via internet te scannen en hebben nu al tussen de 30.000 en 100.000 computers gevonden die waren besmet met de spyware. Het gaat hierbij om computers uit onder andere het Verenigd Koninkrijk Taiwan en Duitsland.

Het is niet duidelijk wanneer deze apparaten precies zijn besmet. Doublespar werd ongeveer een week geleden ontdekt. Iedereen die een beetje verstand heeft van deze vorm van malware kan hiermee makkelijk andere computers besmetten, zegt Jennings.

Verschillende beveiligingsexperts vrezen dat cybercriminelen en/of buitenlandse overheden aan de haal gaan met de gelekte malware en kwetsbare machines gaan aanvallen via internet. Vooral computers met ongepatchte Windows systemen zijn gevoelig voor deze malware. Een simpele reboot kan de spyware verwijderen, maar dat geldt niet voor de andere malware die door Doublespar is binnengehaald.

Below0Day, een bedrijf dat zich bezighoudt met penetratietests heeft een overzicht getweet met alle landen die zijn besmet met de malware.

Jennings zegt het het script gebouwd te hebben door het Doublespar-script te analyseren en te controleren hoe het communiceert met de control server.

"Er wordt op dit moment veel gediscussieerd op Twitter, veel mensen vragen zich af of het detectiescript wel goed werkt omdat er zoveel besmettingen worden gedetecteerd. Waarschijnlijk zijn er verschillende groepen kwaadwillenden die deze scripts misbruiken om kwetsbare machines te besmetten," aldus Jennings.

Oude Windows Server systemen, vooral die zonder firewall, kunnen makkelijk worden besmet met de exploit. Op dit moment zijn er duizenden machines die kwetsbaar zijn voor zulke malware.

Dan Tentler, CEO van beveiligingsbedrijf Phobos Group, heeft dubbel gecheckt of het script goed werkt en heeft 50 machines handmatig gecontroleerd nadat Jennings' script deze had aangemerkt als besmet. Alle 50 machines bleken daadwerkelijk te zijn besmet. "Meestal als je zoveel machines checkt en het controlescript werkt niet goed, zitten er altijd een paar false positives tussen, dat was nu niet het geval".

Gebruikers zullen alle beschikbare patches moeten installeren op hun Windows systeem, oudere Windows systemen als Windows XP en Windows Server 2003 worden niet meer ondersteund en blijven dus vatbaar voor Doublepulsar, zegt Tentler.

Gebruikers zullen dus moeten upgraden naar een nieuwer of ander besturingssysteem. Ook verschillende antivirus-producten zouden veel malware kunnen tegenhouden.

Jennings' script kan hier worden gedownload.