Video: Tajomstvá biznisu, 1. časť - ciele, rozhodovania, intuícia (November 2024)
Vedci Trend Micro zistili, že prebiehajúca operácia kybernetickej špionáže, nazvaná Bezpečná, je zameraná na rôzne organizácie vo viac ako 100 krajinách pomocou spear phishingových e-mailov.
Zdá sa, že táto operácia bola zameraná na vládne agentúry, technologické firmy, médiá, akademické výskumné inštitúcie a mimovládne organizácie. Kylie Wilhoit a Nart Villeneuve, dvaja výskumníci hrozieb Trend Micro, napísali na blog Bezpečnostné spravodajstvo. Trend Micro verí, že týmto softvérom bolo infikovaných viac ako 12 000 jedinečných IP adries rozmiestnených vo viac ako 120 krajinách. V priemere iba 71 adries IP aktívne komunikovalo so servermi C&C každý deň.
„Skutočný počet obetí je omnoho nižší ako počet jedinečných IP adries, “ uviedol Trend Micro vo svojom informačnom liste, ale odmietol špekulovať o skutočnom počte.
Bezpečné spoliehanie sa na neoprávnené získavanie údajov (Phishing)
Bezpečnosť spočíva v dvoch odlišných kampaniach zameraných na phishing s použitím rovnakého kmeňa škodlivého softvéru, avšak pomocou rôznych infraštruktúr velenia a riadenia, vedci napísali v bielej knihe. V jednej kampani boli e-mailové správy o neoprávnenom získavaní údajov (phishingu) zamerané na predmet Tibet alebo Mongolsko. Vedci zatiaľ neurčili spoločnú tému v predmetoch použitých pre druhú kampaň, ktorá si vyžiadala obete v Indii, USA, Pakistane, Číne, na Filipínach, v Rusku a Brazílii.
Bezpečnosť poslala obetiam e-maily s neoprávneným získavaním údajov a podviedla ich, aby otvorili škodlivú prílohu, ktorá podľa Trend Micro zneužila už opravenú chybu zabezpečenia balíka Microsoft Office. Vedci našli niekoľko škodlivých dokumentov programu Word, ktoré pri otvorení ticho nainštalovali užitočné zaťaženie do počítača obete. Chyba zabezpečenia spustenia kódu na diaľku v ovládacích prvkoch Windows Common Control bola opravená v apríli 2012.
Podrobnosti o infraštruktúre C&C
V prvej kampani boli k serveru C&C pripojené počítače z 243 jedinečných adries IP v 11 rôznych krajinách. V druhej kampani komunikovali so serverom C&C počítače od 11 563 IP adries zo 116 rôznych krajín. India sa zdala byť najviac zacielená s viac ako 4 000 infikovanými IP adresami.
Jeden zo serverov C&C bol nastavený tak, aby ktokoľvek mohol prezerať obsah adresárov. Výsledkom bolo, že vedci spoločnosti Trend Micro dokázali určiť, kto boli obeťami, a tiež si mohli stiahnuť súbory obsahujúce zdrojový kód za serverom C&C a škodlivým softvérom. Keď sa pozrieme na kód servera C&C, zdá sa, že operátori vrátili legitímny zdrojový kód od poskytovateľa internetových služieb v Číne, uviedol Trend Micro.
Útočníci sa pripájali k serveru C&C cez VPN a používali sieť Tor, takže bolo ťažké zistiť, kde sa útočníci nachádzajú. „Geografická rozmanitosť proxy serverov a sietí VPN sťažila určenie ich skutočného pôvodu, “ uviedol Trend Micro.
Útočníci mohli použiť čínsky malvér
Na základe niektorých kľúčov v zdrojovom kóde spoločnosť Trend Micro uviedla, že je možné, že sa malware v Číne vyvinul. V súčasnosti nie je známe, či bezpeční operátori malware vyvinuli alebo si ho kúpili od niekoho iného.
„Aj keď je určenie zámeru a identity útočníkov stále ťažké, posúdili sme, že táto kampaň je zacielená a používa malware vyvinutý profesionálnym softvérovým inžinierom, ktorý môže byť pripojený k počítačovej kriminalite v Číne, “ píšu vedci na blogu.