7/11/2011
W lipcu 2011 rozpoczął się kilkumiesięczny atak na 29 firm z sektora chemicznego i 19 z sektora zbrojeniowego. Ofiarą padły firmy z kilku krajów. Atakujący wykradli dokumentacje projektowe i opisy procesów produkcyjnych. Ślad znów prowadzi do Chin.
Operacja Nitro: e-mailem do firmy
Jak można wyczytać z raportu Symanteca, atakujący zaczęli od spear phishingu. Do wybranych ofiar, pracowników atakowanych firm, rozesłano e-maile imitujące zaproszenia na spotkania lub namawiające do aktualizacji oprogramowania. W załącznikach, spakowanych na hasło plikach 7z, znajdował się PoisonIvy, popularny trojan chińskiej produkcji, dostępny za darmo.
Ataki "nitro", spear phishing
Otworzenie załącznika (hasło do archiwum 7z znajdowało się w treści e-maila) powodowało podpięcie komputera ofiary do botnetu, co umożliwiało atakującym dalszą penetrację sieci sieci lokalnej i kradzież dokumentów.
Chińczyk odpowiedzialny za ataki?
Serwer C&C dla botnetu to VPS, hostowany w USA, ale będący własnością dwudziestolatka z Chin. Symantec nawiązał kontakt z Chińczykiem i dowiedział się, że chłopak interesuje się bezpieczeństwem sieci komputerowych, a VPS-a kupił, aby mieć stały adres IP, który według niego ułatwia korzystanie z niektórych funkcji komunikatora QQ. VPS (miesięczna opłata to 32 dolary) wydaje się być dość drogą inwestycją jak na serwer mający dawać tylko statyczne IP…
Kraje, w których znajdowały się zainfekowane komputery
Nie wiadomo, czy Chińczyk działał hobbystycznie, czy też “hackował” na czyjeś zlecenie. W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty. Zagrożenia takie jak spear-phishing jak i narzędzia typu PoisonIvy nie są przecież nowością, a jak widać, ciągle potrafią pokonać “zabezpieczenia” kilkudziesięciu firm z dość ważnych branż (przemysł chemiczny i zbrojeniowy)…
Przeczytaj także:
- Antywirus Symanteca nie uratował New York Times przed Chińczykami — przez 4 miesiące buszowali po komputerach redakcji
- Chińskie wojsko wykradło izraelski system antyrakietowy “Żelazna Kopuła”
- Trojanem pod przykrywką Katynia w Polaków. Operaacja “Czerwony Październik” nie taka straszna jak ją malują.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ręce opadają… Skoro PoisonIvy to popularny (inie taki nowy)trojan, to jakim cudem firmy zajmujące się tak przyziemną i powszechną działalnością jak produkcja broni i chemikaliów dały się ‘złapać’ ?! To nie jest jakieś biuro rachunkowe na jakimś zadupiu czy szkolna pracownia komputerowa – nie mogę uwierzyć, że ktoś w tylu firmach dał ciała z zabezpieczeniem komputerów…
No i trzymanie takich rzeczy jak dokumentacje projektowe, dokumentacje procesów produkcyjnych na jakimś ogólnodostępnym dysku w sieci. No litości… (tak, wiem – mógł być dostępny tylko dla osób z wyższymi uprawnieniami, tylko taka osoba powinna wiedzieć, że nie klika się na pierwszy lepszy załącznik z emaila…)
Nad dokumentacją pracuje zdecydowanie więcej osób, niż te kilka “z wyższymi uprawnieniami”… Podobnie z dostępem do zasobów.
Inną sprawą jest natomiast fakt (i tu się z tobą zgodzę), że forma ataku była prymitywna i nie powinna dać tak dużych rezultatów, szczególnie wśród wykwalifikowanej kadry.
Bardzo dziwi też fakt, że AV nie wykryły tak starego wirusa. Czyżby na niektórych maszynach (o zgrozo!) nie było AV?…
Naprawdę nie trzeba antywirusów żeby było bezpiecznie. Wina najczęściej leży między monitorem a krzesłem. Jeśli nie zacznie się od najsłabszego punktu sprzęt i soft nie pomoże, jak to mawiał Mitnick “łamałem ludzi nie hasła”.
user – antywirusy dzialaja tak ze kompaktuja swoja baze danych.. jezeli jakis wirus jest minimalnie aktywny ub od dawna nie rejestrowano jego aktywnosci to wypada z puli albo jego sygnatura jest laczona z sygnatura kilku innych. Jest to sensowne bo inaczej baza danych wirusow na kompie kowalskiego zajmowalaby kilka GB i update trwalby kilka godzin :P
Oznacz to ze np. wirus z 91r. moze nie zostac wykryty przez zaden obecny av :o
nie widze nic dziwnego ze uzyto poison ivy, przeciez kazdego trojana przed atakiem sie kryptuje i jest fud
A jakieś filtry (np. antyspamowe) nie powinny zadziałać? Jakie rozwiązania systemowe na 2 najpopularniejsze problemy: otwieranie załączników, wysyłanie maili bez Bcc (doskonała odżywka dla wszystkich ataków)?
Dedykowane maile firmowe z interfejsem używającym wyłącznie bcc i zablokowanie wszystkich znanych stron udostępniających maila.
Zwyczajnie nie wolno zostawić użytkownikom możliwości decydowania, i to powinno dotyczyć wszystkiego(oczywiście tylko wtedy jeżeli uznamy to(system/dane) za ważne), nie tylko skrzynki mailowej.
Skutki miałoby to znacznie lepsze niż tak modne dziś “edukowanie” które i tak większość oleje/zapomni/nie zrozumie/”ten jeden raz”.
Chińska potęga szpiegostwem stoi?
“W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty.”
Zawsze twierdziłem, że genisz tkwi w prostocie :)
oj tam, wielkie halo. Ewolucja dawno pokazała, że najprostsze rozwiązania są najlepsze. Życie zresztą też. Ludzie często spodziewają się diabli wiedzieć czego bo naoglądali się filmów a jak przychodzi co do czego do sami dają dostęp/hasło/instalują wirusa. Tak samo z wyłudzaniem kasy “na wnuczka” i innego tego typu historie. Metody stare ale zawsze działają. Młody chińczyk po prostu wie, że żadne FBI/CIA nie zapuka mu do drzwi to się bawi. Od dawna wiadomo, że najlepsze proxy są w chinach. W razie wpadki nikt z Chin nawet nie pofatyguje się z przeczytaniem skargi.
Chiny juz sie nie rozdrabniaja. Wojna niedlugo wiec kto im podskoczy?
A nie odwrotnie?
Za dużo gier od Codemasters.
! – nie gram. Trzeba byc slepym aby nie widziec co sie dzieje i co nadchodzi.
Dlaczego odwrotnie? Nie musza juz bawic sie w subtelnosci.
[…] W pojawiających się od dwóch dni analizach wyczytać można, że exploit na Javę (CVE-2012-4681) tak naprawdę korzysta nie z jednego, a z dwóch 0day’ów i najprawdopodobniej jest autorstwa Chińczyków — w kodzie znajdują się zwroty z chińskiej piosenki, które dodatkowo mogą wskazywać na powiązanie autorów exploita z grupą, która stała za atakami spear-phishing z lipca 2011, wymierzonym w 48 firm z sektora chemicznego. […]