8:30
3/12/2014

Żyjemy w takich czasach, że bez komputerów ciężko o cokolwiek. Jeśli komuś przestanie działać Facebook, albo system do zliczania głosów w wyborach, tragedii nie ma, ludzie są smutniejsi, ale żyją dalej… Jeśli jednak przestanie działać system komputerowy obsługujący magistrale gazową lub wojskowe systemy obronne, kłopoty mogą być niemałe.

Operacja Cleaver

Jak informuje raport firmy Cylance, od ponad 2 lat proirańscy hackerzy penetrowali sieci komputerowe o krytycznym dla (wielu) państw znaczeniu. Wśród ofiar na liście są USA (10 celów), Izrael (4 cele), Pakistan (5 celów), oraz Wielka Brytania, Francja i Niemcy.

Mapa celów

Mapa celów

Konkretne cele to zarówno klasyczne sieci komputerowe jak i systemy SCADA; włamano się m.in. do amerykańskiej linii lotniczej, lotniska, szpitali, operatorów telekomunikacyjnych, fabryk chemicznych, producenta gazu, producenta samochodów oraz kilku instalacji wojskowych, w tym także do intranetu Navy Marine Corps Intranet (NMCI).

Jak się włamywano?

Co ciekawe jednak, wejście do systemów miały zapewniać …błędy SQL injections. Mając kontrolę nad serwerem bazodanowym, atakujący korzystali ze znanych podatności typu, stare i wysłużone MS08-067 (dlatego patchowanie wewnętrznych systemów jest ważne) i instalowali swoje narzędzia które ułatwiały atak, wykradając m.in. certyfikaty służące do podpisywania złośliwego oprogramowania, które potem traktowane było jako zaufane.

W spenetrowanych sieciach włamywacze przejmowali maszyny działające na każdej warstwie modelu ISO/OSI; kontrolery domeny, routery i switche, a także bramki VPN. Jak informują badacze z Cylance, w niektórych celach włamywacze mieli pełną kontrolę nad siecią i całym procesem produkcyjnym danego obiektu (łącznie z firmowymi dostępami do zewnętrznych systemów takich jak konta PayPalowe czy rejestratorzy domen).

W przeciwieństwie do kampanii typu Stuxnet, brak śladów korzystania z 0day’ów… ale grupa i tak wykradła, wedle szacunków badaczy, ok. 8 gigabajtów danych (80 000 plików).

Kto stoi za atakami?

Wszystkie ślady prowadzą do Iranu. Stamtąd następują ataki i tam hostowane są serwery na które wykradane są dane. Badacze uważają, że działania wpisujące się w schemat operacji to odwet za ataki na Iran Stuxnetem

Irańscy wojskowi, cytowani przez agencje Reutersa, oczywiście zaprzeczają, jakoby kraj stał za opisywanymi powyżej atakami.

Oficjalny logotyp operacji Cleaver, but wait! jest też hashtag! :-)

Oficjalny logotyp operacji Cleaver, but wait! jest też hashtag! :-)

Po więcej szczegółów odsyłamy was do, widowiskowego w swojej formie (podatności mają już nie tylko logotypy ale i wideo!), raportu Cylance. Kiedy pominiecie marketing bullshit i hashtagi (czytać od strony 18 do 64), zauważycie, że analiza jest całkiem solidna …i ciekawa. Bonusem jest 150 IOC (wskaźników włamań), które można zaaplikować w swoich sieciach w celu wykrycia, czy były one objęte podobnymi do opisywanych w raporcie działaniami lub zainfekowane używanym przez włamywaczy oprogramowaniem..

Przeczytaj także:



13 komentarzy

Dodaj komentarz
  1. No i GIT! Równowaga w przyrodzie musi być!

    • Mom ale jesce mołe ;-p chłopie jakby padl facebook/sklepy odziezowe/telenowele to wojna murowana

  2. Ja się mocno dziwię że takie systemy nie są całkowicie izolowane, z możliwością jakiejkolwiek obsługi wyłącznie przez przygotowane do tego celu terminal serwery. niestety często wygoda wygrywa z bezpieczeństwem.

    • Wygoda? Raport nie dotyczy użytkowników domowych tylko infrastruktury krytycznej – tam nie zatrudnia się ludzi lubiących wygodę. To zdanie powinno brzmieć “niestety często głupota wygrywa z bezpieczeństwem” Sam znam taką jedną dyrektorę generalną :)

  3. To chyba nie jest pierwszy potencjalny odwet. Iran był już podejrzany w przypadku robaka Shamoon oraz przy okazji ataków na amerykańskie banki ;)

  4. Jeśli sprawa będzie rozdmuchiwana przez stany to jest spora szansa, że to kolejny false flag w ich wykonaniu.
    Byłem w Iranie 2 lata temu, tam każdy jest świadomy od czego zaczął się konflikt Iran-USA, (tzn. od znacjonalizowania ropy), z czego niestety na zachodzie niewiele osób zdaje sobie sprawę.

  5. “Wszystkie ślady prowadzą do Iranu. Stamtąd następują ataki i tam hostowane są serwery na które wykradane są dane.” To kto iranowi wykrada te pliki, które wcześniej iran ukradł? :d taki sucharek.

  6. Dziwie się że exploit MS08-067 wypuszczony w 2008 dokonał tam czynów. Gdzie admini i prosta aktualizacja systemów ?

    • W takich dużych projektach/przedsięwzięciach/podmiotach ludzie robią swoją robotę i idą do domu. Na prawdę nie trudno o zaniechania, złamanie procedur, niewykonanie czegokolwiek. Wiem jak działają np. urzędy miejskie, a co dopiero większe jednostki :P

    • Szkoda że po wykonanej robocie nikt nie umawia się na stałą obsługę swojego projektu.

  7. od niechcenia by robili update systemów, ile można oglądać przypomnienie o updacie :)

  8. Albo “magistrale gazowe” albo “magistralę gazową”
    Nigdy “magistrale gazową”

  9. […] nazwą i najbardziej ślicznym logiem. Po HartBleadzie i Shell Shocku, kampaniach takich jak Cleaver czas na CheckPointa i Misfrotune […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: