10:09
7/11/2011

W lipcu 2011 rozpoczął się kilkumiesięczny atak na 29 firm z sektora chemicznego i 19 z sektora zbrojeniowego. Ofiarą padły firmy z kilku krajów. Atakujący wykradli dokumentacje projektowe i opisy procesów produkcyjnych. Ślad znów prowadzi do Chin.

Operacja Nitro: e-mailem do firmy

Jak można wyczytać z raportu Symanteca, atakujący zaczęli od spear phishingu. Do wybranych ofiar, pracowników atakowanych firm, rozesłano e-maile imitujące zaproszenia na spotkania lub namawiające do aktualizacji oprogramowania. W załącznikach, spakowanych na hasło plikach 7z, znajdował się PoisonIvy, popularny trojan chińskiej produkcji, dostępny za darmo.

Nitro ataki

Ataki "nitro", spear phishing

Otworzenie załącznika (hasło do archiwum 7z znajdowało się w treści e-maila) powodowało podpięcie komputera ofiary do botnetu, co umożliwiało atakującym dalszą penetrację sieci sieci lokalnej i kradzież dokumentów.

Chińczyk odpowiedzialny za ataki?

Serwer C&C dla botnetu to VPS, hostowany w USA, ale będący własnością dwudziestolatka z Chin. Symantec nawiązał kontakt z Chińczykiem i dowiedział się, że chłopak interesuje się bezpieczeństwem sieci komputerowych, a VPS-a kupił, aby mieć stały adres IP, który według niego ułatwia korzystanie z niektórych funkcji komunikatora QQ. VPS (miesięczna opłata to 32 dolary) wydaje się być dość drogą inwestycją jak na serwer mający dawać tylko statyczne IP…

Nitro

Kraje, w których znajdowały się zainfekowane komputery

Nie wiadomo, czy Chińczyk działał hobbystycznie, czy też “hackował” na czyjeś zlecenie. W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty. Zagrożenia takie jak spear-phishing jak i narzędzia typu PoisonIvy nie są przecież nowością, a jak widać, ciągle potrafią pokonać “zabezpieczenia” kilkudziesięciu firm z dość ważnych branż (przemysł chemiczny i zbrojeniowy)…

Przeczytaj także:



16 komentarzy

Dodaj komentarz
  1. Ręce opadają… Skoro PoisonIvy to popularny (inie taki nowy)trojan, to jakim cudem firmy zajmujące się tak przyziemną i powszechną działalnością jak produkcja broni i chemikaliów dały się ‘złapać’ ?! To nie jest jakieś biuro rachunkowe na jakimś zadupiu czy szkolna pracownia komputerowa – nie mogę uwierzyć, że ktoś w tylu firmach dał ciała z zabezpieczeniem komputerów…

    No i trzymanie takich rzeczy jak dokumentacje projektowe, dokumentacje procesów produkcyjnych na jakimś ogólnodostępnym dysku w sieci. No litości… (tak, wiem – mógł być dostępny tylko dla osób z wyższymi uprawnieniami, tylko taka osoba powinna wiedzieć, że nie klika się na pierwszy lepszy załącznik z emaila…)

    • Nad dokumentacją pracuje zdecydowanie więcej osób, niż te kilka “z wyższymi uprawnieniami”… Podobnie z dostępem do zasobów.

      Inną sprawą jest natomiast fakt (i tu się z tobą zgodzę), że forma ataku była prymitywna i nie powinna dać tak dużych rezultatów, szczególnie wśród wykwalifikowanej kadry.

      Bardzo dziwi też fakt, że AV nie wykryły tak starego wirusa. Czyżby na niektórych maszynach (o zgrozo!) nie było AV?…

    • Naprawdę nie trzeba antywirusów żeby było bezpiecznie. Wina najczęściej leży między monitorem a krzesłem. Jeśli nie zacznie się od najsłabszego punktu sprzęt i soft nie pomoże, jak to mawiał Mitnick “łamałem ludzi nie hasła”.

    • user – antywirusy dzialaja tak ze kompaktuja swoja baze danych.. jezeli jakis wirus jest minimalnie aktywny ub od dawna nie rejestrowano jego aktywnosci to wypada z puli albo jego sygnatura jest laczona z sygnatura kilku innych. Jest to sensowne bo inaczej baza danych wirusow na kompie kowalskiego zajmowalaby kilka GB i update trwalby kilka godzin :P
      Oznacz to ze np. wirus z 91r. moze nie zostac wykryty przez zaden obecny av :o

    • nie widze nic dziwnego ze uzyto poison ivy, przeciez kazdego trojana przed atakiem sie kryptuje i jest fud

  2. A jakieś filtry (np. antyspamowe) nie powinny zadziałać? Jakie rozwiązania systemowe na 2 najpopularniejsze problemy: otwieranie załączników, wysyłanie maili bez Bcc (doskonała odżywka dla wszystkich ataków)?

    • Dedykowane maile firmowe z interfejsem używającym wyłącznie bcc i zablokowanie wszystkich znanych stron udostępniających maila.
      Zwyczajnie nie wolno zostawić użytkownikom możliwości decydowania, i to powinno dotyczyć wszystkiego(oczywiście tylko wtedy jeżeli uznamy to(system/dane) za ważne), nie tylko skrzynki mailowej.

      Skutki miałoby to znacznie lepsze niż tak modne dziś “edukowanie” które i tak większość oleje/zapomni/nie zrozumie/”ten jeden raz”.

  3. Chińska potęga szpiegostwem stoi?

  4. “W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty.”

    Zawsze twierdziłem, że genisz tkwi w prostocie :)

  5. oj tam, wielkie halo. Ewolucja dawno pokazała, że najprostsze rozwiązania są najlepsze. Życie zresztą też. Ludzie często spodziewają się diabli wiedzieć czego bo naoglądali się filmów a jak przychodzi co do czego do sami dają dostęp/hasło/instalują wirusa. Tak samo z wyłudzaniem kasy “na wnuczka” i innego tego typu historie. Metody stare ale zawsze działają. Młody chińczyk po prostu wie, że żadne FBI/CIA nie zapuka mu do drzwi to się bawi. Od dawna wiadomo, że najlepsze proxy są w chinach. W razie wpadki nikt z Chin nawet nie pofatyguje się z przeczytaniem skargi.

  6. Chiny juz sie nie rozdrabniaja. Wojna niedlugo wiec kto im podskoczy?

    • A nie odwrotnie?

    • Za dużo gier od Codemasters.

    • ! – nie gram. Trzeba byc slepym aby nie widziec co sie dzieje i co nadchodzi.

  7. Dlaczego odwrotnie? Nie musza juz bawic sie w subtelnosci.

  8. […] W pojawiających się od dwóch dni analizach wyczytać można, że exploit na Javę (CVE-2012-4681) tak naprawdę korzysta nie z jednego, a z dwóch 0day’ów i najprawdopodobniej jest autorstwa Chińczyków — w kodzie znajdują się zwroty z chińskiej piosenki, które dodatkowo mogą wskazywać na powiązanie autorów exploita z grupą, która stała za atakami spear-phishing z lipca 2011, wymierzonym w 48 firm z sektora chemicznego. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: