Dat meldt Fox-IT op zijn blog. De NSA gebruikt Quantum Insert om internetverkeer te injecteren met kwaadaardige software tijdens het surfen. De hackmethode kwam eind 2013 aan het licht door klokkenluider Edward Snowden.
Quantum Insert werd door de NSA gebruikt om doelwitten in het Midden-Oosten te bespioneren, maar uit gelekte Snowden-documenten blijkt dat de Amerikaanse geheime dienst de hackmethode ook heeft ingezet om medewerkers van de Belgische telecomdienst Belgacom te hacken. Daarmee kon de NSA het Europese telefoonverkeer afluisteren.
Fox-IT, die Belgacom hielp bij het ontdekken en ruimen van de NSA-malware, heeft nu een manier ontdekt om de Quantum Insert-hack te detecteren. De hack werkt middels speciale servers die dichtbij de computer van een doelwit staan en een malafide website tonen, net voordat de legitieme website wordt geladen.
Hoe Quantum Insert werkt
Zo toonde de NSA bijvoorbeeld een malafide Linkedin-pagina van een Belgacom-medewerker als degene naar zijn eigen Linkedin-pagina wilde surfen. Daarvoor werden onder andere het ip-adres, Gmail-account, profielen op sociale netwerken en Skype-account van de medewerker geïdentificeerd.
Op het moment dat de NSA-servers een zogeheten get-request ontvangen, waarmee de computer van het doelwit een specifieke website opvraagt, worden de servers direct geactiveerd om een malafide website van het origineel te tonen – net iets sneller dan de server van de legitieme website.
Vervolgens installeert de NSA-server onopgemerkt malware op de computer van het doelwit.
Detectie Fox-IT
Als de NSA-server een malafide website voorschotelt, ontvangt de browser van het doelwit na de get-request twee antwoorden: één van de NSA-server en daarna één van de originele website. De browser negeert normaliter het tweede antwoord.
Beide antwoorden van de servers lijken veel op elkaar, maar verschillen toch een beetje. Als beide antwoorden van dezelfde legitieme website komen, zijn de datapakketten echter precies hetzelfde. Door het kleine verschil tussen de antwoorden van de servers kan Fox-IT een dergelijke Quantum Insert-hack detecteren.
Op de codewebsite Github heeft Fox-IT een toevoeging voor het gratis opensource-beveiligingssoftwarepakket Snort gepubliceerd. De software kan worden geüpdatet met de code van Fox-IT om Quantum Insert-hacks te detecteren.