Hackerek támadták a parlamentet

Elismerte a többek között az Egyesült Királyság e-mailszűrését is biztosító Messagelabs, hogy több minisztériumot, kormányzati szervet is e-mailes támadás ért az év elején. Elektronikus levelek segítségével próbálták meg a támadók átvenni az ellenőrzést az érintett számítógépeken. Ehhez az akkor ismertté vált, Windows Meta File-ban levő hibát igyekeztek kiaknázni. A támadás az újév beköszöntekor, január 2-án érte a brit vezetést; eredetét Kínába vezették vissza, mondta Mark Toshack, a Messagelabs antivírus működésért felelős menedzsere. A szakértő kihangsúlyozta, hogy az e-maileket még azelőtt elcsípték, mielőtt elérték volna a kormányzati rendszereket.

„A támadás kétségtelenül Kínából jött – azért tudjuk, mert logoltuk az IP-címeket. [..] A levelek nem jutottak át. A kormányzat mindaddig nem is szerzett tudomást a történtekről, amíg mi nem tájékoztattuk őket.” – mondta Toshack.

Windows Meta File

Maga a WMF probléma olyan szoftverfunkcióból adódik, amelyet annak eredeti felhasználási módjától eltérően alkalmaznak. A WMF funkció tulajdonképpen lehetővé teszi, hogy a képállományok kódot tartalmazhassanak, melyeket aztán futtatni lehet a PC-n. Ez voltaképpen nem hiba, hanem egy elavult programozói, fejlesztői elgondolás eredménye. A nyilvánosság egyébként a Windows 3.0-s változatának megjelenésével, 1990-ben ismerkedhetett meg a WMF-fel, melyek a túlságosan nagy képek feldolgozásának felfüggesztését hivatottak segíteni a lassú rendszereken. Akkoriban azonban még nem volt olyan fontos az információbiztonság, mint napjainkban, így senki nem gondolta, hogy ez egyszer hackerek eszközévé válhat.

Az eset súlyosságát jól jelezte, hogy a redmondi szoftverfejlesztő vállalat annak ellenére kiadta (január 5-én) a „sebezhetőségre” készített javítást, hogy a szokásos, havi rendszerességgel zajló patch-elési ciklus újabb állomásától már csak napok választották el a felhasználókat. A Microsoft szóvivőinek bejelentése szerint ez volt a leggyorsabb biztonsági frissítés, amit valaha is megjelentettek: a hiba kiderülését követő tizedik napon már letölthető, telepíthető volt az elkészített, letesztelt patch.

Social engineering

Visszatérve a brit esetre: a támadók által küldött e-mailek olyan, úgynevezett social engineering technikát alkalmazó elektronikus levelekkel „bombázták” meg a kormányzati szerveknél dolgozókat, melyek a csatolmány megnyitására buzdították őket. Ebben a WMF/Setabortproc trójai program bújt meg, ám a Messagelabs szűrőtechnológiájának köszönhetően végül nem tudott aktivizálódni. Ha azonban bejutott volna a kormányzati rendszerekbe, akkor lehetővé tette volna a hackerek számára a számítógépeken tárolt állományok megnézését, billentyűzetleütést figyelő programok (keylogger) telepítését, titkos és bizalmas adatokat védő kormányzati jelszavak megszerzését.

Maga a támadás egyébként 70 ember ellen irányult; a map.wmf állományt csatolmányként hordozó e-mail pedig a következő szöveget tartalmazta: “Attached is the digital map for you. You should meet that man at those points separately. Delete the map thereafter. Good luck. Tommy”