Socialiniai tinklai

Hakeriai

Programišiai ėmėsi naujos veiklos: atakuoja aukšto lygio medicinos aparatūrą JAV, Europoje ir Azijoje (Komandų sąrašas)

technologijos

Paskelbta

data

Pavadinta „Orangeworm“, buvo nustatyta, kad įsilaužimo grupė įdiegė  šnipinėjantį kodą – „wormable trojan” mašinoms, kuriose naudojama programinė įranga, naudojama kontroliuoti aukštųjų technologijų vaizdavimo įrenginius, tokius kaip rentgeno aparatai ir MRI mašinos, taip pat kompiuteriniai įrenginiai naudojami padėti pacientams užpildyti sutikimo formas.

Pagal „Symantec“ paskelbtą naują ataskaitą „Orangeworm“ įsilaužimų grupė veikė nuo 2015 m. pradžios ir nukreipta į didžiųjų tarptautinių korporacijų sistemas, įsikūrusias Jungtinėse Amerikos Valstijose, Europoje ir Azijoje, pagrindinį dėmesį skiriant sveikatos priežiūros sektoriui.

„Mes tikime, kad šios pramonės šakos taip pat buvo nukreiptos į didesnę tiekimo grandinės ataką, kad „Orangeworm“ galėtų gauti prieigą prie numatomų aukų, susijusių su sveikatos priežiūra“, – sakė „Symantec“.

Įsibrovus į aukos tinklą, užpuolikai įdiegia trojaną, pavadintą „Kwampirs“, kuris atveria „backdoor“ pažeistus kompiuterius, leidžiantį užpuolikams nuotoliniu būdu pasiekti įrangą ir pavogti slaptus duomenis.

Dešifravimo metu „Kwampirs“ kenkėjiška programa įterpia atsitiktinai sugeneruotą eilutę į pagrindinę DLL naudingąją apkrovą bandydama išvengti aptikimo. Kenkėjiška programinė įranga taip pat prideda pakartotinai įkraunamų paslaugų paketą, kad išliktų ir po naujo paleidimo.

„Kwampirs“ tada surenka keletą pagrindinių duomenų apie pažeistus kompiuterius ir siunčia juos į užpuolikų nuotolinius komandų ir valdymo serverius, pagal kuriuos grupė nustato, ar sugadinta sistema naudojama yra tyrinėtojo ar pasiektas tikslas yra didelės vertės.

Komandų sąrašas padedantis užpuolikams pavogti informaciją

Komandų sąrašas padedantis užpuolikams pavogti informaciją

Jei nukentėjusysis tai nepastebi, tada kenkėjiška programa agresyviai plinta per atviras tinklo dalis, kad užkrėstų kitus tos pačios organizacijos kompiuterius.

Norėdami surinkti papildomos informacijos apie aukos tinklą ir pažeistas sistemas, kenkėjiška programa naudoja sistemos integruotas komandas, o ne trečiųjų šalių žvalgybos ir skaičiavimo įrankius.

Aukščiau pateiktas komandų sąrašas padeda užpuolikams pavogti informaciją, įskaitant „bet kokią informaciją, susijusią su neseniai pasiektais kompiuteriais, informacija apie tinklo adapterį, prieinamas tinklo dalis, informaciją apie diskus ir failus, esančius pažeistame kompiuteryje“.

Be sveikatos priežiūros paslaugų teikėjų ir farmacinių kompanijų, kurioms tenka beveik 40% tikslų, „Orangeworm“ taip pat pradėjo išpuolius prieš kitas pramonės šakas, įskaitant informacines technologijas ir gamybos sektorius, žemės ūkį ir logistiką.

Tačiau šios pramonės šakos taip pat kažkaip veikia sveikatos priežiūros srityje, pvz., gamintojai, gaminantys medicinos prietaisus, technologijų bendroves, teikiančias paslaugas klinikoms ir logistikos įmones, teikiančJei nuias sveikatos priežiūros produktus.

Nors tikslus Orangeworm motyvas nėra aiškus ir nėra informacijos, galinčios padėti nustatyti grupės kilmę, „Symantec“ mano, kad ši grupė greičiausiai vykdys šnipinėjimą komerciniais tikslais, ir nėra jokių įrodymų, kad ją palaiko kokia nors valstybė.

„Remiantis žinomų aukų sąrašu, „Orangeworm“ nepasirinko savo tikslų atsitiktinai ar nevykdo oportunistinių įsilaužimų“, – sakė „Symantec“. „Atvirkščiai, grupė, prieš išpuolį atsargiai ir sąmoningai pasirenka savo tikslus“.

Didžiausias aukų procentas buvo aptiktas Jungtinėse Amerikos Valstijose, vėliau Saudo Arabija, Indija, Filipinai, Vengrija, Jungtinė Karalystė, Turkija, Vokietija, Lenkija, Honkongas, Švedija, Kanada, Prancūzija ir kelios kitos šalys visame pasaulyje.

Komentarai

Jūsų komentaras

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Hakeriai

Programišių taikiklyje – Rytų Europos diplomatai.

Avatar

Paskelbta

data

Skelbia

Viena ilgiausiai veikiančių kibernetinio šnipinėjimo grupuočių „Turla“, 2008 m. atakavusi JAV gynybos departamentą, papildė savo ginklų arsenalą ir naujas kampanijas nutaikė į posovietinių šalių ambasadas ir konsulatus. ESET saugumo ekspertai atliko tyrimą, kaip nusikaltėliai vilioja aukas įsidiegti kenksmingas programas, šnipinėjančias jautrius duomenis.

Ilgą laiką „Turla“ naudojo socialinę inžineriją, kad nieko neįtariantys vartotojai įsidiegtų fiktyvią „Adobe Flash Player“ programą. Dabar grupuotė prie galinių durų kenkėjo prideda legalų „Flash Player“ diegimo failą ir naudoja URL nuorodas ir IP adresus, atitinkančius oficialią „Adobe“ infrastruktūrą. Tad neatidūs vartotojai, į kuriuos taikosi šnipinėtojai, patiki, kad siunčiasi legalią programą iš adobe.com.

ESET tyrėjai pabrėžia, kad nėra žinoma, ar grupuotės „Turla“ naudojami kenkėjai yra sugadinę kokius nors legalius „Flash Player“ naujinimus, taip pat nėra jokių sąsajų su žinomais „Adobe“ produkto pažeidžiamumais. Oficialus „Adobe Flash Player“ atsisiuntimo puslapis taip pat nebuvo pažeistas.

Esminis skirtumas, kurio nepastebėjo šnipų aukos – visi fiktyvūs „Flash Player“ atsisiuntimai buvo vykdomi iš http://, o ne https:// puslapio.

„Žinomų gamintojų vardų ir logotipų naudojimas nusikalstamoje veikloje nėra naujiena – tokius metodus dažniausiai pasitelkia kibernetiniai sukčiai, siekiantys apgauti neatidžius vartotojus. Šiuo atveju apgaulės schema buvo gerokai sudėtingesnė – nusikaltėliai naudojo absoliučiai identiškas ir oficialias „Adobe“ URL nuorodas bei IP adresus. Jei toks kenksmingų programų platinimo metodas būtų taikomas visiems vartotojams, o ne vien konkretiems taikiniams, įvyktų stambi kibernetinė ataka“, – komentuoja ESET programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.

Pasak ESET, apytiksliai nuo 2016 m. liepos „Turla“ naudoja naują įrankį – galinių durų kenkėją „Mosquito“. Manoma, kad kenkėjas yra sukurtas pačios grupuotės, nes turi panašumų su kitomis nusikaltėlių platinamomis kenksmingomis programomis.

Tyrėjų nuomone, šnipinėjimo grupuotė galėjo naudoti kelis metodus, kaip užkrėsti taikinių kompiuterius. Atakų vektoriais galėjo būti kuris nors organizacijos viduje esantis kompiuteris, į kurį įsilaužus buvo galima pasiekti norimos aukos kompiuterį, taip pat tinklo vartai (angl. gateway), per kuriuos galima perimti išeinantį ir įeinantį srautą.

Taip pat interneto srautas galėjo būti perimtas interneto paslaugų tiekėjų lygyje – tokį metodą naudojo anksčiau ESET tirta šnipinėjimo programa „FinFisher“. Neatmetama galimybė, kad „Turla“ galėjo nulaužti „Adobe“ IP ir nukreipti srautą į savo valdomus serverius, nors tokiu atveju kenksmingą veiklą būtų iškart nustačiusi pati „Adobe“.

Aukoms atsisiuntus nusikaltėlių platinamą „Flash“ kompiuteryje įdiegiamas ir vienas iš galinių durų kenkėjų – dažnu atveju „Mosquito“, kuris leidžia ištraukti jautrius duomenis: kompiuterio unikalų ID, vartotojo vardą ir įrenginyje įdiegtų apsaugos sprendimų sąrašą.

„Mosquito“ yra sudėtinga kenksminga programa, kuri gadina operacinės sistemos registrą ir sukuria valdymo paskyrą, leidžiančią nuotolinę prieigą prie užkrėsto kompiuterio. Tuo tarpu pagrindinis programišių naudojamas galinių durų kenkėjas „CommanderDLL“ naudoja šifravimo algoritmą ir gali vykdyti kompiuteryje iš anksto numatytus veiksmus.

„Norėdami įsitikinti, ar nėra jūsų kompiuterio „tamsiajame kampelyje“ pasislėpęs koks nors kenkėjas, kaip „Mosquito“, ir siekdami sumažinti tikimybę įsilaužėliams patekti į įmonės kompiuterių tinklą, būtina kompiuteriuose naudoti ne bazines antivirusinių programų versijas, o sudėtingesnes, turinčias įeinančio ir išeinančio duomenų srauto ugniasienes, bei stebinčias vidinio tinklo būklę“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.

Pasak R. Liuberto, apsisaugoti nuo bet kokių kenkėjiškų programų galima tik nuolat atnaujinant operacinę sistemą ir visų trečiųjų šalių programinę įrangą, ypač „Java“, „Microsoft Office“ ir „Adobe Reader“. Rekomenduojama nediegti programinės įrangos iš nepatikimų internetinių šaltinių, ypač iš naršyklėje iššokančių langų (angl. pop-up).

Derėtų būti atsargiems su el. laiškais, gautais iš nežinomų šaltinių ir turinčių įtartinus priedus ar nuorodas. Svarbu įsitikinti, ar naudojama antivirusinė programa turi galiojančią licenciją ir yra visiškai veikianti – su nuolat atsinaujinančia virusų atpažinimo duomenų baze ir aktyviais apsaugos komponentais.

Išsami „Turla“ kampanijos ir „Mosquito“ tyrimo apžvalga: https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf

Skaityti daugiau

Hakeriai

Programišiai nusitaikė į Lenkijos bankų klientus.

Avatar

Paskelbta

data

Skelbia

Programėlių parduotuvėje „Google Play“ buvo nustatytos kenksmingos programėlės, imitavusios legalias aplikacijas su tikslu išvilioti duomenis iš konkrečių Lenkijos bankų klientų.

Kenksminga programėlė „Crypto Monitor“ imitavo kriptovaliutos kainų sekimo programėlę, o „StorySaver“ – įrankį atsisiųsti „Instagram“ turinį.

Abi kenksmingos programėlės be vartotojams siūlomų funkcijų rodo fiktyvius pranešimus ir prisijungimo formas, imituojančias legalių bankininkystės programėlių formas, todėl gali rinkti prisijungimo duomenis, taip pat perimti tekstines žinutes, kad apeitų dviejų faktorių autentifikaciją SMS žinutėmis.

Pasak saugumo sprendimų kūrėjos ESET, atsisiuntus kenksmingas programėles „Crypto Monitor“ ir „StorySaver“ jos telefone tikrindavo įdiegtas programas, ieškodamos nustatytų bankų programėlių. Jei kenkėjai rasdavo kurią nors iš 14 bankininkystės programėlių, jie vėliau galėdavo pateikti fiktyvias prisijungimo formas, imituojant legalias aplikacijas.

Tarp programišių taikinių buvo šių bankininkystės programėlių klientai: „Alior Mobile“, „BZWBK24 mobile“, „Getin Mobile“, „IKO“, „Moje ING mobile“, „Bank Millennium“, „mBank PL“, „BusinessPro“, „Nest Bank“, „Bank Pekao“, „PekaoBiznes24“, „plusbank24“, „Mobile Bank“ ir „Citi Handlowy“.

ESET saugumo sprendimai abi programėles nustato kaip kenkėją „Android/Spy.Banker.QL“ ir neleidžia jo įdiegti į telefoną. ESET telemetrijos duomenimis, 96 proc. visų kenksmingų programėlių nustatymų užfiksuoti Lenkijoje ir tik 4 proc. Austrijoje.

Pasak programinės įrangos platintojos „Baltimax“ pardavimų vadovo Deivido Pelenio, programišiai naudojo populiarų sukčiavimo metodą, siekiant apgauti kuo daugiau vartotojų.

„Sukurti fiktyvią bankininkystės programėlę nėra sudėtinga, tačiau sunkiau ją patalpinti į „Google Play“ ir surinkti norimą atsisiuntimų kiekį. Tačiau programėlės, siūlančios kokią nors paslaugą, visiškai nesusijusią su bankininkyste, sulaukia daugiau vartotojų dėmesio ir yra dažniau atsisiunčiamos. Pavyzdžiui, Lietuvoje bankininkystės programėles iš „Google Play“ atsisiunčia nuo 100 000 iki 500 000 vartotojų, tuo tarpu žaidimų ar pramoginių paslaugų programėlės atsisiunčiamos gerokai dažniau, jų paklausa yra didesnė. Tai – puiki terpė programišiams įgyvendinti savo kėslus“, – komentuoja D. Pelenis.

Pasak saugumo sprendimų kūrėjos ESET, kenksmingos programėlės „Crypto Monitor“ ir „StorySaver“ pasirodė „Google Play“ panašiu metu, lapkričio 25-29 d. Abi programėlės buvo atsisiųstos nuo 1 000 iki 5 000 kartų, kol saugumo ekspertų prašymu jos buvo pašalintos iš programėlių parduotuvės.

Vartotojai, įsidiegę minėtas kenksmingas programėles, yra raginami jas pašalinti. Jei naudojote kurią nors iš minėtų bankininkystės programėlių, reikėtų pasikeisti prisijungimo duomenis prie savo el. bankininkystės. Siekiant išvengti panašių sukčių pinklių, patariama atidžiau rinktis programėles net ir oficialiose programėlių parduotuvėse ir telefone naudoti patikimą antivirusinę programą, apsaugančią nuo kenkėjų diegimo ir blokuojančią galimas atakas.

Skaityti daugiau

Skaitomiausi