Videó: Лучшие ПАКИ ЛЕГЕНД | 2 ББ ЛЕГЕНДЫ за РАЗ | PES MOBILE (November 2024)
A Trend Micro kutatói egy folyamatban lévő, biztonságosnak nevezett számítógépes kémkedés során több mint 100 ország különböző szervezeteit célozták meg.
Úgy tűnik, hogy a művelet kormányzati ügynökségeket, technológiai cégeket, médiahordozókat, tudományos kutatóintézeteket és nem kormányzati szervezeteket célozott meg, Kylie Wilhoit és Nart Villeneuve, a Trend Micro fenyegetés két kutatója, írta a Biztonsági Intelligencia Blogban. A Trend Micro úgy véli, hogy több mint 12 000 egyedi IP-cím körülbelül 120 országban elterjedt a rosszindulatú programmal. Ám átlagosan mindössze 71 IP-cím aktívan kommunikált a C&C szerverekkel minden nap.
"Az áldozatok tényleges száma jóval kevesebb, mint az egyedi IP-címek száma" - mondta a Trend Micro a fehértáblázatában, de nem volt hajlandó spekulálni a tényleges adatokkal.
Biztonságos a lándzsás adathalászaton
A Safe két különálló lándzsás-adathalász kampányból áll, amelyek ugyanazt a rosszindulatú szoftvert használják, de eltérő parancs- és ellenőrző infrastruktúrákat használnak - írta a kutatók a fehér könyvben. Az egyik kampány lándzsás adathalász e-maileinek tárgysorjai Tibetre vagy Mongóliara utaltak. A kutatók még nem azonosítottak közös témát a második kampányhoz használt tárgysorokban, amely Indiában, az Egyesült Államokban, Pakisztánban, Kínában, a Fülöp-szigeteken, Oroszországban és Brazíliában áldozatokat állított fel.
A Trend Micro szerint a biztonságos küldött adathalász-e-maileket küldött az áldozatoknak, és becsapta őket egy rosszindulatú melléklet megnyitásába, amely kihasználta a már javított Microsoft Office biztonsági rést. A kutatók számos rosszindulatú Word-dokumentumot találtak, amelyek megnyitásakor csendesen telepítették az áldozat számítógépére hasznos tehercsomagját. A Windows Common Controls távoli kódfuttatással kapcsolatos biztonsági rését 2012 áprilisában javították meg.
A C&C infrastruktúra részletei
Az első kampányban számítógépek 243 egyedi IP-címről 11 különböző országban kapcsolódtak a C&C szerverhez. A második kampányban 116 különböző országból származó 11 563 IP-címmel rendelkező számítógép kommunikál a C&C szerverrel. Úgy tűnt, hogy India a legcélzottbb, több mint 4000 fertőzött IP-címmel.
Az egyik C&C szervert úgy állították be, hogy bárki megtekinthesse a könyvtárak tartalmát. Ennek eredményeként a Trend Micro kutatói képesek voltak meghatározni az áldozatokat, és letölthetik a C&C szerver mögött található forráskódot és a rosszindulatú programokat tartalmazó fájlokat. A C&C szerver kódját vizsgálva úgy tűnik, hogy az operátorok visszahelyezték a kínai internetszolgáltató legitim forráskódját - mondta a Trend Micro.
A támadók VPN-en keresztül csatlakoztak a C&C szerverhez, és Tor-hálózatot használtak, megnehezítve így a támadók székhelyének nyomon követését. "A proxyszerverek és a VPN-k földrajzi sokfélesége megnehezítette a valódi eredetük meghatározását" - mondta a Trend Micro.
A támadók már használtak kínai rosszindulatú programokat
A forráskód néhány nyomára támaszkodva a Trend Micro szerint lehetséges, hogy a rosszindulatú szoftvert Kínában fejlesztették ki. Jelenleg nem ismert, hogy a Biztonságos operátorok kifejlesztették-e a rosszindulatú programokat, vagy valaki mástól vásárolták meg.
"Noha a támadók szándékának és személyazonosságának meghatározása továbbra is nehéz, úgy becsüljük, hogy ez a kampány célzott, és olyan profi szoftvert használ, amelyet egy profi szoftvermérnök fejlesztett ki, aki csatlakoztatható lehet a kínai kiberbűnözés metrójához" - írta a kutatók a blogban.
