Connect with us

technokrata

A rejtélyes kiberkém csoport új trükkökkel tért vissza

cyber_warfare

Dotkom

A rejtélyes kiberkém csoport új trükkökkel tért vissza

Két éve a “Wild Neutron” elnevezésű hackercsoport több ismert nagyvállalatot támadott meg, köztük az Apple-t, a Facebookot, a Twittert és a Microsoftot.

A Kaspersky Lab kutatói be tudták azonosítani a Wild Neutron célpontjait 11 országban, többek között Franciaországban, Oroszországban, Svájcban, Németországban, Ausztriában, Palesztinában, Szlovéniában, Kazahsztánban, az Egyesült Arab Emírségekben, Algériában és az Egyesült Államokban. Ügyvédi irodák, Bitcoin-nal kapcsolatos vállalatok, beruházásokkal kapcsolatos szervezetek, IT cégek, egészségügyi intézmények, ingatlanforgalmazással foglalkozó vállalatok, fúziókkal és felvásárlásokkal foglalkozó nagyvállalatok csoportjai, továbbá egyéni felhasználók tartoznak közéjük.

A támadások célpontjai azt sugallják, hogy nem egy állam által szponzorált szereplőről van szó. Azonban a nulladik napi sérülékenységek kihasználása, a többplatformos malware-ek alkalmazása, valamint más technikai megoldások miatt a Kaspersky Lab kutatói úgy vélik, hogy ez egy igen erős, gazdasági előnyök megszerzése érdekében tevékenykedő kémszervezet.

cyber-attack

A támadás

A közelmúltbeli támadások kezdeti fertőzési módszere egyelőre nem ismert, bár egyértelműnek tűnik, hogy egy ismeretlen Flash Player exploit csomagot használtak feltört weboldalakon keresztül. A kihasználó csomag egy malware telepítőt (droppert) helyez el az áldozatok számítógépén.

A Kaspersky Lab kutatói által megfigyelt támadásoknál a dropper legális hitelesítési tanúsítvánnyal volt aláírva. A tanúsítványok használata lehetővé teszi a rosszindulatú programok számára, hogy elkerüljék a védelmi megoldások általi felfedezést. Úgy tűnik, hogy a Wild Neutron által használt tanúsítványt – amelyet természetesen azóta visszavontak – egy népszerű szórakoztató elektronikai cégtől lopták. Miután bejutott a rendszerbe, a dropper telepíti a fő backdoor programot.

Funkcionális szempontból a fő backdoor nem sokban különbözik más, távoli elérést lehetővé tévő (RAT) programtól. Ami lényeges eltérés, az a támadók törekvése, hogy elrejtsék a parancs és vezérlő (C&C) szerverük címét, valamint a backdoor azon képessége, hogy képes helyreállítani magát egy C&C szerver lekapcsolása után. A parancs és vezérlő szerver fontos része a rosszindulatú infrastruktúrának, központi bázisául szolgál a fertőzött gépeken található malware-nek. A malware-be épített speciális funkciók révén a támadók képesek megvédeni az infrastruktúrát a C&C szerverek leállítása esetén.

cyber_hackers201

Rejtélyes eredet

A támadók eredete továbbra is rejtély. Egyes kódmintáknál a titkosított konfiguráció tartalmazza a “La revedere ” (viszlát románul) kifejezést. A Kaspersky Lab kutatói ezen kívül még egy másik nem angol szóra is bukkantak, ez a ” Успешно ” , ami oroszul annyit jelent, hogy ” sikeresen”.

“A Wild Neutron egy képzett és nagyon sokoldalú csoport. 2011 óta aktívak, a nulladik napi sérülékenységeket használják ki a Windows és az OS X alatt futó egyedi fejlesztésű rosszindulatú programokkal és eszközökkel. Bár a múltban néhány igen neves vállalatot támadtak meg világszerte, ennek ellenére sikerült megőrizni viszonylagos ismeretlenségüket szilárd működési biztonságuk révén. A csoport nagy informatikai cégeket célzott meg, spyware fejlesztőket (FlexiSPY), dzsihádista fórumokat (az “Ansar Al-Mujahideen English Forumot”) és Bitcoin cégeket, ami rugalmas, mégis szokatlan gondolkodásmódra és érdekekre utal,”- mondta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának (GReAT) igazgatója.

A Kaspersky Lab termékei Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron. *, Trojan.Win32.JripBot. * és Trojan.Win32.Generic néven azonosítják, és blokkolják a Wild Neutron által használt kártékony programokat.

Ha többet akar megtudni a Wild Neutron hackercsoportról, olvassa el a Securelist.com-on található blogbejegyzést.

Így működik a GReAT: http://youtu.be/FzPYGRO9LsA



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek