Socialiniai tinklai

Hakeriai

„Google“ „nulaužti“ žadėję „Islamo valstybės“ programišiai užpuolė ne tą taikinį

Avatar

Paskelbta

data

Su „Islamo valstybe“ susiję programišiai, kurie buvo pažadėję nulaužti „Google“, suklydę užsipuolė ne tą taikinį, rašo „Newsweek“.

Vadinama Kibernetinė kalifato armija (Cyber Caliphate Army – CCA) per šifruojamą „Telegram“ aplikaciją pirmadienį pranešė „nulaušianti“ „Google“, tačiau paieškos sistemos paslaugos buvo visiškai nepaveiktos.

Vietoje to programišiai ISIS logotipu „papuošė“ tinklalapį „Add Google Online“, o šalia logotipo buvo užrašas: „Nulaužė CCA“, fone grojo daina prancūzų kaba: „Mes jus nužudysime be gailesčio… dėl Alacho mes dėvime savižudžių diržus.“

Tačiau minėtas tinklalapis teikia paieškos optimizavimo (SEO) paslaugas vietiniams verslams ir nėra susijęs su „Google“.

Prieš tai ISIS taikiniu tapo gana specifinės įmonės: nedidelė saulės energijos tiekimo įmonė Anglijoje, Japonijos šokių mokytojo ar laminato dangos įmonės Velse tinklalapiai.

Hakeriai

Programišiai ėmėsi naujos veiklos: atakuoja aukšto lygio medicinos aparatūrą JAV, Europoje ir Azijoje (Komandų sąrašas)

technologijos

Paskelbta

data

Skelbia

Pavadinta „Orangeworm“, buvo nustatyta, kad įsilaužimo grupė įdiegė  šnipinėjantį kodą – „wormable trojan” mašinoms, kuriose naudojama programinė įranga, naudojama kontroliuoti aukštųjų technologijų vaizdavimo įrenginius, tokius kaip rentgeno aparatai ir MRI mašinos, taip pat kompiuteriniai įrenginiai naudojami padėti pacientams užpildyti sutikimo formas.

Pagal „Symantec“ paskelbtą naują ataskaitą „Orangeworm“ įsilaužimų grupė veikė nuo 2015 m. pradžios ir nukreipta į didžiųjų tarptautinių korporacijų sistemas, įsikūrusias Jungtinėse Amerikos Valstijose, Europoje ir Azijoje, pagrindinį dėmesį skiriant sveikatos priežiūros sektoriui.

„Mes tikime, kad šios pramonės šakos taip pat buvo nukreiptos į didesnę tiekimo grandinės ataką, kad „Orangeworm“ galėtų gauti prieigą prie numatomų aukų, susijusių su sveikatos priežiūra“, – sakė „Symantec“.

Įsibrovus į aukos tinklą, užpuolikai įdiegia trojaną, pavadintą „Kwampirs“, kuris atveria „backdoor“ pažeistus kompiuterius, leidžiantį užpuolikams nuotoliniu būdu pasiekti įrangą ir pavogti slaptus duomenis.

Dešifravimo metu „Kwampirs“ kenkėjiška programa įterpia atsitiktinai sugeneruotą eilutę į pagrindinę DLL naudingąją apkrovą bandydama išvengti aptikimo. Kenkėjiška programinė įranga taip pat prideda pakartotinai įkraunamų paslaugų paketą, kad išliktų ir po naujo paleidimo.

„Kwampirs“ tada surenka keletą pagrindinių duomenų apie pažeistus kompiuterius ir siunčia juos į užpuolikų nuotolinius komandų ir valdymo serverius, pagal kuriuos grupė nustato, ar sugadinta sistema naudojama yra tyrinėtojo ar pasiektas tikslas yra didelės vertės.

Komandų sąrašas padedantis užpuolikams pavogti informaciją

Komandų sąrašas padedantis užpuolikams pavogti informaciją

Jei nukentėjusysis tai nepastebi, tada kenkėjiška programa agresyviai plinta per atviras tinklo dalis, kad užkrėstų kitus tos pačios organizacijos kompiuterius.

Norėdami surinkti papildomos informacijos apie aukos tinklą ir pažeistas sistemas, kenkėjiška programa naudoja sistemos integruotas komandas, o ne trečiųjų šalių žvalgybos ir skaičiavimo įrankius.

Aukščiau pateiktas komandų sąrašas padeda užpuolikams pavogti informaciją, įskaitant „bet kokią informaciją, susijusią su neseniai pasiektais kompiuteriais, informacija apie tinklo adapterį, prieinamas tinklo dalis, informaciją apie diskus ir failus, esančius pažeistame kompiuteryje“.

Be sveikatos priežiūros paslaugų teikėjų ir farmacinių kompanijų, kurioms tenka beveik 40% tikslų, „Orangeworm“ taip pat pradėjo išpuolius prieš kitas pramonės šakas, įskaitant informacines technologijas ir gamybos sektorius, žemės ūkį ir logistiką.

Tačiau šios pramonės šakos taip pat kažkaip veikia sveikatos priežiūros srityje, pvz., gamintojai, gaminantys medicinos prietaisus, technologijų bendroves, teikiančias paslaugas klinikoms ir logistikos įmones, teikiančJei nuias sveikatos priežiūros produktus.

Nors tikslus Orangeworm motyvas nėra aiškus ir nėra informacijos, galinčios padėti nustatyti grupės kilmę, „Symantec“ mano, kad ši grupė greičiausiai vykdys šnipinėjimą komerciniais tikslais, ir nėra jokių įrodymų, kad ją palaiko kokia nors valstybė.

„Remiantis žinomų aukų sąrašu, „Orangeworm“ nepasirinko savo tikslų atsitiktinai ar nevykdo oportunistinių įsilaužimų“, – sakė „Symantec“. „Atvirkščiai, grupė, prieš išpuolį atsargiai ir sąmoningai pasirenka savo tikslus“.

Didžiausias aukų procentas buvo aptiktas Jungtinėse Amerikos Valstijose, vėliau Saudo Arabija, Indija, Filipinai, Vengrija, Jungtinė Karalystė, Turkija, Vokietija, Lenkija, Honkongas, Švedija, Kanada, Prancūzija ir kelios kitos šalys visame pasaulyje.

Skaityti daugiau

Hakeriai

Programišių taikiklyje – Rytų Europos diplomatai.

Avatar

Paskelbta

data

Skelbia

Viena ilgiausiai veikiančių kibernetinio šnipinėjimo grupuočių „Turla“, 2008 m. atakavusi JAV gynybos departamentą, papildė savo ginklų arsenalą ir naujas kampanijas nutaikė į posovietinių šalių ambasadas ir konsulatus. ESET saugumo ekspertai atliko tyrimą, kaip nusikaltėliai vilioja aukas įsidiegti kenksmingas programas, šnipinėjančias jautrius duomenis.

Ilgą laiką „Turla“ naudojo socialinę inžineriją, kad nieko neįtariantys vartotojai įsidiegtų fiktyvią „Adobe Flash Player“ programą. Dabar grupuotė prie galinių durų kenkėjo prideda legalų „Flash Player“ diegimo failą ir naudoja URL nuorodas ir IP adresus, atitinkančius oficialią „Adobe“ infrastruktūrą. Tad neatidūs vartotojai, į kuriuos taikosi šnipinėtojai, patiki, kad siunčiasi legalią programą iš adobe.com.

ESET tyrėjai pabrėžia, kad nėra žinoma, ar grupuotės „Turla“ naudojami kenkėjai yra sugadinę kokius nors legalius „Flash Player“ naujinimus, taip pat nėra jokių sąsajų su žinomais „Adobe“ produkto pažeidžiamumais. Oficialus „Adobe Flash Player“ atsisiuntimo puslapis taip pat nebuvo pažeistas.

Esminis skirtumas, kurio nepastebėjo šnipų aukos – visi fiktyvūs „Flash Player“ atsisiuntimai buvo vykdomi iš http://, o ne https:// puslapio.

„Žinomų gamintojų vardų ir logotipų naudojimas nusikalstamoje veikloje nėra naujiena – tokius metodus dažniausiai pasitelkia kibernetiniai sukčiai, siekiantys apgauti neatidžius vartotojus. Šiuo atveju apgaulės schema buvo gerokai sudėtingesnė – nusikaltėliai naudojo absoliučiai identiškas ir oficialias „Adobe“ URL nuorodas bei IP adresus. Jei toks kenksmingų programų platinimo metodas būtų taikomas visiems vartotojams, o ne vien konkretiems taikiniams, įvyktų stambi kibernetinė ataka“, – komentuoja ESET programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.

Pasak ESET, apytiksliai nuo 2016 m. liepos „Turla“ naudoja naują įrankį – galinių durų kenkėją „Mosquito“. Manoma, kad kenkėjas yra sukurtas pačios grupuotės, nes turi panašumų su kitomis nusikaltėlių platinamomis kenksmingomis programomis.

Tyrėjų nuomone, šnipinėjimo grupuotė galėjo naudoti kelis metodus, kaip užkrėsti taikinių kompiuterius. Atakų vektoriais galėjo būti kuris nors organizacijos viduje esantis kompiuteris, į kurį įsilaužus buvo galima pasiekti norimos aukos kompiuterį, taip pat tinklo vartai (angl. gateway), per kuriuos galima perimti išeinantį ir įeinantį srautą.

Taip pat interneto srautas galėjo būti perimtas interneto paslaugų tiekėjų lygyje – tokį metodą naudojo anksčiau ESET tirta šnipinėjimo programa „FinFisher“. Neatmetama galimybė, kad „Turla“ galėjo nulaužti „Adobe“ IP ir nukreipti srautą į savo valdomus serverius, nors tokiu atveju kenksmingą veiklą būtų iškart nustačiusi pati „Adobe“.

Aukoms atsisiuntus nusikaltėlių platinamą „Flash“ kompiuteryje įdiegiamas ir vienas iš galinių durų kenkėjų – dažnu atveju „Mosquito“, kuris leidžia ištraukti jautrius duomenis: kompiuterio unikalų ID, vartotojo vardą ir įrenginyje įdiegtų apsaugos sprendimų sąrašą.

„Mosquito“ yra sudėtinga kenksminga programa, kuri gadina operacinės sistemos registrą ir sukuria valdymo paskyrą, leidžiančią nuotolinę prieigą prie užkrėsto kompiuterio. Tuo tarpu pagrindinis programišių naudojamas galinių durų kenkėjas „CommanderDLL“ naudoja šifravimo algoritmą ir gali vykdyti kompiuteryje iš anksto numatytus veiksmus.

„Norėdami įsitikinti, ar nėra jūsų kompiuterio „tamsiajame kampelyje“ pasislėpęs koks nors kenkėjas, kaip „Mosquito“, ir siekdami sumažinti tikimybę įsilaužėliams patekti į įmonės kompiuterių tinklą, būtina kompiuteriuose naudoti ne bazines antivirusinių programų versijas, o sudėtingesnes, turinčias įeinančio ir išeinančio duomenų srauto ugniasienes, bei stebinčias vidinio tinklo būklę“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.

Pasak R. Liuberto, apsisaugoti nuo bet kokių kenkėjiškų programų galima tik nuolat atnaujinant operacinę sistemą ir visų trečiųjų šalių programinę įrangą, ypač „Java“, „Microsoft Office“ ir „Adobe Reader“. Rekomenduojama nediegti programinės įrangos iš nepatikimų internetinių šaltinių, ypač iš naršyklėje iššokančių langų (angl. pop-up).

Derėtų būti atsargiems su el. laiškais, gautais iš nežinomų šaltinių ir turinčių įtartinus priedus ar nuorodas. Svarbu įsitikinti, ar naudojama antivirusinė programa turi galiojančią licenciją ir yra visiškai veikianti – su nuolat atsinaujinančia virusų atpažinimo duomenų baze ir aktyviais apsaugos komponentais.

Išsami „Turla“ kampanijos ir „Mosquito“ tyrimo apžvalga: https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf

Skaityti daugiau

TavoWEB reklama

Jūsų reklama čia

Skaitomiausi