10:09
7/11/2011

W lipcu 2011 rozpoczął się kilkumiesięczny atak na 29 firm z sektora chemicznego i 19 z sektora zbrojeniowego. Ofiarą padły firmy z kilku krajów. Atakujący wykradli dokumentacje projektowe i opisy procesów produkcyjnych. Ślad znów prowadzi do Chin.

Operacja Nitro: e-mailem do firmy

Jak można wyczytać z raportu Symanteca, atakujący zaczęli od spear phishingu. Do wybranych ofiar, pracowników atakowanych firm, rozesłano e-maile imitujące zaproszenia na spotkania lub namawiające do aktualizacji oprogramowania. W załącznikach, spakowanych na hasło plikach 7z, znajdował się PoisonIvy, popularny trojan chińskiej produkcji, dostępny za darmo.

Nitro ataki

Ataki "nitro", spear phishing

Otworzenie załącznika (hasło do archiwum 7z znajdowało się w treści e-maila) powodowało podpięcie komputera ofiary do botnetu, co umożliwiało atakującym dalszą penetrację sieci sieci lokalnej i kradzież dokumentów.

Chińczyk odpowiedzialny za ataki?

Serwer C&C dla botnetu to VPS, hostowany w USA, ale będący własnością dwudziestolatka z Chin. Symantec nawiązał kontakt z Chińczykiem i dowiedział się, że chłopak interesuje się bezpieczeństwem sieci komputerowych, a VPS-a kupił, aby mieć stały adres IP, który według niego ułatwia korzystanie z niektórych funkcji komunikatora QQ. VPS (miesięczna opłata to 32 dolary) wydaje się być dość drogą inwestycją jak na serwer mający dawać tylko statyczne IP…

Nitro

Kraje, w których znajdowały się zainfekowane komputery

Nie wiadomo, czy Chińczyk działał hobbystycznie, czy też “hackował” na czyjeś zlecenie. W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty. Zagrożenia takie jak spear-phishing jak i narzędzia typu PoisonIvy nie są przecież nowością, a jak widać, ciągle potrafią pokonać “zabezpieczenia” kilkudziesięciu firm z dość ważnych branż (przemysł chemiczny i zbrojeniowy)…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Ręce opadają… Skoro PoisonIvy to popularny (inie taki nowy)trojan, to jakim cudem firmy zajmujące się tak przyziemną i powszechną działalnością jak produkcja broni i chemikaliów dały się ‘złapać’ ?! To nie jest jakieś biuro rachunkowe na jakimś zadupiu czy szkolna pracownia komputerowa – nie mogę uwierzyć, że ktoś w tylu firmach dał ciała z zabezpieczeniem komputerów…

    No i trzymanie takich rzeczy jak dokumentacje projektowe, dokumentacje procesów produkcyjnych na jakimś ogólnodostępnym dysku w sieci. No litości… (tak, wiem – mógł być dostępny tylko dla osób z wyższymi uprawnieniami, tylko taka osoba powinna wiedzieć, że nie klika się na pierwszy lepszy załącznik z emaila…)

    • Nad dokumentacją pracuje zdecydowanie więcej osób, niż te kilka “z wyższymi uprawnieniami”… Podobnie z dostępem do zasobów.

      Inną sprawą jest natomiast fakt (i tu się z tobą zgodzę), że forma ataku była prymitywna i nie powinna dać tak dużych rezultatów, szczególnie wśród wykwalifikowanej kadry.

      Bardzo dziwi też fakt, że AV nie wykryły tak starego wirusa. Czyżby na niektórych maszynach (o zgrozo!) nie było AV?…

    • Naprawdę nie trzeba antywirusów żeby było bezpiecznie. Wina najczęściej leży między monitorem a krzesłem. Jeśli nie zacznie się od najsłabszego punktu sprzęt i soft nie pomoże, jak to mawiał Mitnick “łamałem ludzi nie hasła”.

    • user – antywirusy dzialaja tak ze kompaktuja swoja baze danych.. jezeli jakis wirus jest minimalnie aktywny ub od dawna nie rejestrowano jego aktywnosci to wypada z puli albo jego sygnatura jest laczona z sygnatura kilku innych. Jest to sensowne bo inaczej baza danych wirusow na kompie kowalskiego zajmowalaby kilka GB i update trwalby kilka godzin :P
      Oznacz to ze np. wirus z 91r. moze nie zostac wykryty przez zaden obecny av :o

    • nie widze nic dziwnego ze uzyto poison ivy, przeciez kazdego trojana przed atakiem sie kryptuje i jest fud

  2. A jakieś filtry (np. antyspamowe) nie powinny zadziałać? Jakie rozwiązania systemowe na 2 najpopularniejsze problemy: otwieranie załączników, wysyłanie maili bez Bcc (doskonała odżywka dla wszystkich ataków)?

    • Dedykowane maile firmowe z interfejsem używającym wyłącznie bcc i zablokowanie wszystkich znanych stron udostępniających maila.
      Zwyczajnie nie wolno zostawić użytkownikom możliwości decydowania, i to powinno dotyczyć wszystkiego(oczywiście tylko wtedy jeżeli uznamy to(system/dane) za ważne), nie tylko skrzynki mailowej.

      Skutki miałoby to znacznie lepsze niż tak modne dziś “edukowanie” które i tak większość oleje/zapomni/nie zrozumie/”ten jeden raz”.

  3. Chińska potęga szpiegostwem stoi?

  4. “W całym ataku zaskakuje, że tak prymitywne “wektory ataku” dały tak dobre rezultaty.”

    Zawsze twierdziłem, że genisz tkwi w prostocie :)

  5. oj tam, wielkie halo. Ewolucja dawno pokazała, że najprostsze rozwiązania są najlepsze. Życie zresztą też. Ludzie często spodziewają się diabli wiedzieć czego bo naoglądali się filmów a jak przychodzi co do czego do sami dają dostęp/hasło/instalują wirusa. Tak samo z wyłudzaniem kasy “na wnuczka” i innego tego typu historie. Metody stare ale zawsze działają. Młody chińczyk po prostu wie, że żadne FBI/CIA nie zapuka mu do drzwi to się bawi. Od dawna wiadomo, że najlepsze proxy są w chinach. W razie wpadki nikt z Chin nawet nie pofatyguje się z przeczytaniem skargi.

  6. Chiny juz sie nie rozdrabniaja. Wojna niedlugo wiec kto im podskoczy?

    • A nie odwrotnie?

    • Za dużo gier od Codemasters.

    • ! – nie gram. Trzeba byc slepym aby nie widziec co sie dzieje i co nadchodzi.

  7. Dlaczego odwrotnie? Nie musza juz bawic sie w subtelnosci.

  8. […] W pojawiających się od dwóch dni analizach wyczytać można, że exploit na Javę (CVE-2012-4681) tak naprawdę korzysta nie z jednego, a z dwóch 0day’ów i najprawdopodobniej jest autorstwa Chińczyków — w kodzie znajdują się zwroty z chińskiej piosenki, które dodatkowo mogą wskazywać na powiązanie autorów exploita z grupą, która stała za atakami spear-phishing z lipca 2011, wymierzonym w 48 firm z sektora chemicznego. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: