10:45
31/1/2013

Gazeta NYT poinformowała, że jej wewnętrzna sieć przez 4 miesiące była pod kontrolą Chińskich włamywaczy, najprawdopodobniej powiązanych z wojskiem. Przejęto kontrolę m.in. nad skrzynkami e-mail kilku dziennikarzy, którzy napisali niepochlebny artykuł o rodzinie premiera Chin, Wen Jiabao. Wszystko wskazuje na to, że prace nad tym reportażem były przyczyną ataków.

Jak to się stało, że się włamało?

Pierwsze ślady chińskich włamywaczy znaleziono w sieci NYT jeszcze zanim artykuł o milionowych oszczędnościach krewnych Wen Jiabao został opublikowany. Głównym celem włamywaczy był David Barboza, szef szanghajskiego biura Timesa i autor materiału o podejrzanym majątku rodziny premiera Chin, który aktywnie zbierał materiały do swojego tekstu i spotykał się z informatorami.

Chińskie wojsko

Coraz więcej ataków komputerowych przypisuje się chińskiej armii

W skrócie: botnet wysyła spear phishing do pracowników Timesa. Któryś z nich otwiera złośliwy załącznik i daje Chińczykom wejście do sieci na co najmniej 3 komputery. Następnie atakujący przejmują kontroler domeny i wykradają z niego hashe haseł użytkowników. Po ich złamaniu próbują haseł w innych systemach wewnętrznych.

W ataku wykorzystano 45 różnych przypadków malware’u, co w konsekwencji umożliwiło uzyskanie dostępu do 53 komputerów należących do pracowników New York Timesa. Co ciekawe, wszystko wskazuje na to, że do ataku wykorzystano botnet składający się z przejętych przez Chińczyków komputerów należących do …amerykańskich uniwersytetów.

Kiedy NYT zorientował się, że ich systemy zostały zhackowane, zamiast reagować od razu, postanowili poobserwować włamywaczy, aby lepiej zrozumieć ich intencje i namierzyć wszystkie systemy, które są pod ich kontrolą.

Cel ataków

Nie ulega wątpliwości, że celem atakujących było poznanie osób, które informowały dziennikarzy o podejrzanym majątku rodziny premiera. NYT twierdzi jednak, że dane klientów oraz informatorów gazety nie zostały wykradzione.

Przypomnijmy, że rok temu Bloomberg też był celem chińskich ataków za artykuł o bogactwie Xi Jinping, ówczesnego vice prezydenta Chin.

NYT: Symantec nas nie ochronił

Gazeta przyznała, że korzysta z oprogramowania Symanteca, któremu zarzuciła nieskuteczność i brak jakichkolwiek reakcji na trwający 4 miesiące i wykorzystujący 45 różnych przypadków malware’u atak – poza przeniesieniem do kwarantanny tylko jednego z nich. Symantec broni się w nocie do inwestorów, tłumacząc, że same sygnatury nie wystarczą.

NYT zapytał chińskiego ministra obrony narodowej o atak na swoje biura. Ten odparł, że “chińskie prawo zakazuje tego typu działań”… ;)

Przeczytaj także:

52 komentarzy

Dodaj komentarz
  1. Niestety Symantec to shit.

  2. A to przepraszam, nikt tam nie monitoruje ruchu w sieci? Nikomu nie wydało się dziwne połączenie z Chinami(lub innym odległym krajem, jeśli gdzieś pomiędzy coś pośredniczyło) trwające tyle czasu? NYT jest na tyle wielki, że nie powinien polegać tylko i wyłącznie na oprogramowaniu które automatycznie wszystko zrobi.

    • Ale to chodzi o biuro w Szanghaju wiec jaki to odległy kraj …

    • widze, ze rocik ma jakies problemy z czytaniem..

      “…do ataku wykorzystano botnet składający się z przejętych przez Chińczyków komputerów należących do …amerykańskich uniwersytetów”

    • AT&T poinformowało (bodaj w październiku) NYT o dziwnym ruchu – i właśnie tak wpadli na trop. Potem obserwowali co atakujacy robią z ich siecią.

    • “Co ciekawe, wszystko wskazuje na to, że do ataku wykorzystano botnet składający się z przejętych przez Chińczyków komputerów należących do …amerykańskich uniwersytetów”
      Raczej nikomu nie wydało się dziwne połączenie z np. wydziału matematyki na uniwerku.

    • PALM FACE
      “… botnet składający się z przejętych przez Chińczyków komputerów należących do …amerykańskich uniwersytetów. …”

  3. Rocik, oni wykorzystali botnet złożony z amerykańskich uczelni (które jak możesz się domyśleć, nie leżą w Chinach ani nie mają chińskich IP)

  4. Szkoda tylko że na tym zdjęciu chińskiej armii gra ona w WoW’a albo inne MMO :))

    • faktycznie, widać HUD z gry :) Czyżby rząd chiński zajmował się gold farmerstwem? ;) Już wiemy skąd takie bogactwo chińskich władz ;)

  5. @Rocik: w artykule jest o wykorzystaniu sieci uniwersyteckich bedacych w botnecie.

  6. te ciapciaki na fotce graja w starcrafta 1 i to zergami chyba

    • Raczej w WarcraftIII

  7. Jeśli do ataku użyto custom made malware, to ani Symantec, ani Kaspersky ani nawet ESET by temu nie zapobiegł.

    • To jest jasne ;) Ale popatrz na oświadczenie Symanteca – sugerują, że NYT powinien był włączyć wszystkie ficzery na ednpoincie, a nie tylko sygnatury i – jak można odnieść wrażenie – wtedy dopiero byłby bezpieczny “bo świat się zmienia z dnia na dzień”. Oczywiście na miejscu każdego sprzedawcy sneak oil tak bym się tłumaczył ;) Czekam na pierwszą firmę antywirusową, która otwarcie przyzna, że ich oprogramowanie nic nie da w przypadku ataku skierowanego (np. Chińczyków) — a jeśli to lojalnie roześle do swoich klientów, dostaje +500 bonus points i miesięczną reklamę na niebezpieczniku za free ;)

    • Kaspersky jeszcze mógł by sobie poradzić…
      jak wiadomo Kaspersky ma jeden z najlepszych modułów przed ataki z sieci…
      gdyby program zawiódł z malware , jego ochrona przed atakami sieciowymi by działała…

    • A jakieś bardziej zaawansowane heurystyki wykorzystujące analizę wywołań funkcji systemowych nie dałyby rady?

    • “Kaspersky jeszcze mógł by sobie poradzić…” :-D :-D :-D

      Ruski antywir ochroni przed chińskim atakiem na cel (około)amerykański, bardzo ciekawe.

    • To ja proszę o umieszczenie reklamy F-Secure ;)

      “What this means is that all of us had missed detecting this malware for two years, or more. That’s a spectacular failure for our company, and for the antivirus industry in general.”

      http://www.wired.com/threatlevel/2012/06/internet-security-fail/

    • juzek, jak bardzo jesteś pewien że malware jest country-specific? To co mówi Marek ma sens.

    • @Piotr: w zasadzie to Symantec miał rację, twierdząc, że
      same sygnatury to za mało na taki atak. Idę o zakład, że Chińczycy
      przed atakiem testowali wykrywalność swojego malwaru na
      blackhatowej odmianie virustotal, prawdopodobnie nawet bez
      outsourcingu tej usługi. Czasy się zmieniają i warto używać HIPS i
      systemów reputacji opartych na cloudzie. AV w tym przypadku to
      tylko jedno narzędzie z wielu a wina jest po stronie admina a nie
      Symanteca. Więc tytuł powinien brzmieć “Admin NYT nie uratował …
      ” Wątpię też, żeby jakakolwiek firma wygłosiła takie oświadczenie,
      jakie chciałbyś usłyszeć. To tak samo jakby powiedzieć, że “nasze
      pentesty gwarantują, że ludzie z umiejętnościami co najmniej takimi
      jak nasze, nie włamią się do Waszego systemu. Co do reszty, to nie
      jesteśmy pewni”.

  8. Tytuł newsa jest bez sensu, od kiedy to Symantec ma za zadanie bronić przed wirusami ? Myślałem, że jego główne ficzery to spowalnianie systemu i utrudnianie pracy ;p

  9. Symantec bardzo dobrze chroni … przed malwere pisanym przez nich samych …

    • Jeszcze zapomniałeś wspomnieć o żydomasonerii, WTF… przepraszam, WTC i Smoleńsku.

    • @sage ale mogę napisać o gmo i monsanto oraz przepchanej ustawie, czy zadłużaniu się Polski w bankach niemieckich by wpłacać pomoc bankom niemieckim w bogatszej od nas Grecji

    • @sage – wiadomo, że nigdy żaden twórca AV nie pisał V. Azbest nie jest szkodliwy dla zdrowia, w Katyniu narodowi socjaliści zabili polskich oficerów, a na wraku TU-154M nie stwierdzono trotylu…

    • PS. …czego też nie potwierdził Naczelny Prokuratur Wojskowy, płk. Artymiak, na posiedzeniu sejmowej komisji sprawiedliwości w dniu 5 grudnia 2012.

    • juzek, nie zrozumiałeś (dlaczego mnie to nie dziwi?)

    • @Sage Chyba Ty nie zrozumiałeś. Message within a message, doh!

  10. NYT zapytał chińskiego ministra obrony narodowej o atak na swoje biura. Ten odparł, że “chińskie prawo zakazuje tego typu działań”… ;)

    A co niby mial powiedziec?!?! Jak by zapytano rzad USA czy hackuje chinskie strony rzadowe to by nie odpowiedzieli tak?!

    WTF? niebezpiecznik=pudelek?

    • Więc mówisz, że nie zauważasz tej subtelnej ironii w tekstach Niebezpiecznika, a nawet, rażącego ironicznym nacechowaniem, ciągu znaków w postaci: “;)”?

  11. Nowe Prawo Goodwina:
    “Wraz z trwaniem dyskusji prawdopodobieństwo powaołania się na katastrofę w Śmoleńsku dąży do 1”

    • Czas na nową nazwę: Prawo Macierewicza ;-P

    • uhhh “onetowcy” przyszli ..

    • mnmnc, Twoja wypowiedź z “wielokropkiem” (utworzonym z dwóch kropek) poprzedzonym spacją to potwierdza.

    • oo i gramar nazi się znalazł.
      Syntaktyka jest rzeczą płynną (ja kod formatuje na swój sposób). Szczęśliwie definicja grubiaństwa się nie zmienia.

  12. “Chińskich”? To nie inglisz, tak mi się wydaje.

  13. “Następnie atakujący przejmują kontroler domeny” – ot tak?
    Mogę zrozumieć, że zadziałał phishing na dziennikarza i słabość
    oprogramowania antywirusowego, ale “przejęcie kontrolera domeny”?
    Artykuł o tym nie wspomina, ale jakie mogły być scenariusze? Widzę
    kilka: chiński 0-day, niezapatchowany serwer lub na phishing nabrał
    się admin.

    • Albo przechwycenie tokena administratora ;)

    • raczej bym powiedzial ze admin idiota, ktory nie potrafi w prosty sposob zabezpieczyc sieci, a zwlaszcza wewnetrznej [ co za kretyn trzyma serwery domenowe w odkrytej przestrzeni dostepnej dla kazdego w tak duzej firmie ], mial raczej haslo w stylu “dupa1234”
      wbrew pozorom na zachodzie IT stoi na nizszym poziomie niz w polsce, w wiekszosci wypadkow

  14. To nie Symantec zawiódł, a głupie prawo. Nie wiem jak w
    Polsce, ale w USA producent programu błędnie uznanego przez
    antywirusa jako wirus może pozwać producenta antywirusa. Można więc
    posłużyć się legalnym programem działającym podobnie do trojana i
    inżynierią wsteczną, żeby napisać trojana niewykrywalnego dla
    antywirusów. chyba nie można mieć pretensji do producenta
    antywirusa o to, że bardziej opłaca się narazić kogoś na
    utratę/kradzież danych niż narazić siebie na pozew i wysokie
    odszkodowanie.

  15. Wiecie że ci żołnierze na zdjęciu grają w jakąś grę mmo
    chyba ?:D

    • To nie StarCraft? :D

  16. Jaki AV jest więc godny polecenia…???

    • Rozum AV 1.0 – słyszałeś o nim? Jest prawie tak dobry jak Zdrowy_Rozsądek AV :)

  17. […] po tym jak New York Times przyznał się, że został zhackwany przez Chińczyków, o podobnych problemach postanowiły opowiedzieć gazety: Wall Street Journal oraz Washington […]

  18. Ja od 12 lat uważam produkty Symanteca za nie nie warte. Trzymałem ciało wirusa przez pół roku co aktualizację karząc mu przeskanować ten plik. Po pół roku kazał mi go NATYCHMIAST usunąć, bo to bardzo groźny wirus… Tak, usunąłem Symanteca. Potem przyszedł mail na adres rejestracyjny z przeprosinami (dziwne co nie). Wtedy to była większa afera, bo ich antywirus był ślepy, ale widzę, że od 12 lat nic się nie zmieniło.

    • ja poszedlem krok dalej :P
      powiedzialem o tym szkoleniowcom Symanteca :P – ten wyraz twarzy po prostu zajebisty :D
      szkoda ze fotek im nie zrobilem :P

  19. […] było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA […]

  20. Na zdjęciu grają w Starcraft

  21. a wystarczylby dedal xd

    http://www.bitrebels.com/technology/daedalus-3d-cyber-attack-alert-system/

  22. […] phishing, który nie raz już gościł na naszych łamach, to technika polegająca na wysyłaniu do pracowników danej organizacji fałszywych, ale idealnie […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.