Gloednieuwe laptops en desktops die verkocht werden in China bevatten vooraf geinstalleerde kwaadaardige software blijkt uit onderzoek van Microsoft. De software heeft inmiddels enkele miljoenen computers over de hele wereld besmet.
De malware werd geinstalleerd binnen een illegale versie van Windows en is ontworpen voor het bespioneren van gebruikers en uitvoeren van een dinial-of-service aanval, aldus Microsoft. Microsoft zegt dat de nieuwe bevindingen vragen oproept over de integriteit van leveranciers binnen de supply chain.
Cybercriminelen proberen op alle mogelijkheden binnen te komen zegt Richard Dominiques Boscovich Assistant General Counsel voor Digital Crimes een onderdeel bij Mirosoft. "They will do whatever it takes. If the supply chain is how they're going on get on [computers], that's what they're going to do."
Het onderzoek van Microsoft met de naam “Operation B70” werd bekroond met de sluiting van het command-and-control system dat het Nitol botnet aanstuurde. Nitol een zogenaamde rootkit werd geïnstalleerd op verschillende pc’s waarna het zich in hoge snelheid verspreide via verwisselbare schijven.
Microsoft probeerde eerder met een agressieve campagne gericht op de gebruikers van haar platform de verspreiding van illegale software en botnets te onderdrukken.
Onderzoekers van Microsoft kwamen achter de installatie op de Chinese pc’s door het aanschaffen van 20 latops en desktops bij zogenaamde PC malls in verschillende Chinese steden. Na het starten van de PC’s bleek dat alle machines voorzien waren van illegale kopieën van Windows XP en Windows 7, zegt Boscovich. Drie computers hadden een inactief stuk malware dat voor geïnstalleerd was, een vierde pc bevatte malware die wel actief was met de naam ‘’Nitol.A” de malware werd actief zodra de computer aangesloten werd op internet.
De laptop waarop de het stuk malware geinstalleerd wordt werd gemaakt door Hedy een grote fabrikant die gevestigd is in Guangzhou in China en werd gekocht in Shenzhen. De andere die computers met de niet-actieve malware kwamen van andere grote fabrikanten, Microsoft is er niet in geslaagd te achterhalen waar de machines exact gemaakt werden.
Er wordt aangenomen dat de computers werden geïnfecteerd na de installatie in de fabriek. In china worden veel computers geleverd met alleen dos en wordt het besturingssysteem later geïnstalleerd. Mogelijk gaat er wat mis in de detailhandel of groothandel zegt Boscovich.
Consumenten in westerse landen zijn waarschijnlijk niet kwetsbaar voor dergelijke handelingen maar lopen wel risico als zij illegale software downloaden gaat Boscovich verder.
De ontdekking van de malware heeft er toe geleid dat er een groter onderzoek gestart is naar het Nitol botent dat werd gecontroleerd door middel van het domein 3322.org. Het domein is gekoppeld aan schadelijke activiteiten die al sinds 2008 uitgevoerd worden.
Het de domeinnaam 3322.org bevat meer dan 500 malware componenten die gehost zijn op z’’n 70.000 subdomeinen. De eigenaar van de malware is in staat een breed scala aan kwaadaardige acties uit te voeren, waaronder het in en uitschakelen van de microfoon en video camera en het afvangen van toetsaanslagen bij het inloggen blijkt uit een blogpost van Microsoft.
Microsoft heeft op 10 september van het US Discrict Court voor het oosten Virginia om de controle over het 3322.org domein over te nemen. Microsoft diende een klacht in bij de rechtbank tegen de eigenaar van het domein Peng Yong en zijn bedrijf Changzhou Bei Te Kang Mu Software Technologie ook wel bekend als Bitcomm en drie andere niet nader genoemde verdachten. De hoorzitting is gepland op 26 september.