12:12
27/4/2011

Iran utrzymuje, że trafił na ślady kolejnego (po Stuxnecie) ataku informatycznego wymierzonego w swoją infrastrukturę. Niestety, mając tylko ograniczone, rządowe doniesienia na ten temat, firmy antywirusowe nie są w stanie niczego potwierdzić.

Stars: czy w ogóle istnieje?

Jak podaje Reuters (za — co warto podkreślić — irańską, rządową agencją informacyjną), irańskie władze trafiły na ślad wirusa, którego nazwały “Stars“. Nie podano żadnych informacji na temat tego, co jest celem złośliwego oprogramowania, ani kiedy po raz pierwszy go wykryto. Firmy antywirusowe nie są w stanie na podstawie tak szczątkowych opisów powiązać doniesień z Iranu z jakimkolwiek złośliwym oprogramowaniem. Niektórzy wprost powątpiewają, że zagrożenie w ogóle istnieje, wskazując na fakt, iż większość informacji w notatce na temat Stars to “rozpamiętywanie” zeszłorocznych ataków Stuxneta.

Elektrownia Atomowa

Stuxnet – Iran na tropie twórców

I rzeczywiście, nie sposób nie porównać “Stars” z robakiem Stuxnet, którego w zeszłym roku odkryto w systemach komputerowych reaktora atomowego Bushehr. Według Iranu, Stuxnet został stworzony przez U.S.A. i Izrael z pomocą Siemensa. Jego zadaniem miało być uniemożliwienie Iranowi wzbogacania uranu (proces ten jest konieczny przy budowie elektrowni atomowej, ale może również pomóc w produkcji bomby atomowej). Iran utrzymuje, że Stuxnet nie opóźnił prac nad elektrownią atomową, ale reaktor Bushehr nadal nie wystartował, przekraczając już kilka deadline’ów…

Odwet Iranu? Rządowa placówka w U.S.A. zaatakowana

W międzyczasie, oskarżane o pomoc w rozwoju Stuxneta amerykańskie The Oak Ridge National Laboratory, sponsorowane przez Departament Energii i zajmujące się tajnymi badaniami, m.in. nad bezpieczeństwem energetycznym oraz komputerowym odnotowało (o ironio!) atak informatyczny. Był to phishing; 2 pracowników po kliknięciu na link, zostało zainfekowanych (przeniesienie na stronę www z exploitem wykorzystującym podatność 0day w Internet Explorerze).

Instytut zdecydował się na odcięcie od internetu na czas zbadania zagrożenia. Z analizy wynika, ze e-mail został wysłany do 530 osób, 57 z nich uwierzyło, że pochodzi od pracownika HR-u i kliknęło na link, ale tylko 2 zostało zainfekowanych. Przez tydzień złośliwe oprogramowanie zbierało dane, a następnie atakujący zdecydowali się wysłać je na zewnętrzne serwery. Wtedy atak został zauważony, a komputer wyleczony. Niestety po tygodniu okazało się, że inne maszyny też są zainfekowane i stąd decyzja o odcięciu od internetu.

Dyrektor The Oak Ridge National Laboratory zaliczył atak do APT i wskazał na zbieżność z niedawnymi atakami na RSA. Dodatkowo, potwierdził że dane do których uzyskano dostęp były zaszyfrowane i nie wykradziono ich więcej niż 1 GB.

Powyższe ataki pokazują, jak bardzo zmienił się malware na przestrzeni kilkunastu lat. Wirusy, tworzone w celu niewinnych wybryków przez pryszczatych nastolatów przerodziły się w malware służący do zarabiania pieniędzy, a ostatnio pojawiają się przykłady wykorzystywania złośliwego oprogramowania do rozgrywek polityczno …militarnych.

Przeczytaj także:

10 komentarzy

Dodaj komentarz
  1. “Był to phishing; 2 pracowników kliknęło na link…
    a kawałek dalej:
    “…57 z nich uwierzyło, że pochodzi od pracownika HR-u i kliknęło na link, ale tylko 2 zostało zainfekowanych…”
    Poprawcie to ;)

    Swoją drogą, to ciężko uwierzyć, że The Oak Ridge National Laboratory zajmujące się BEZPIECZEŃSTWEM ma tak durnych pracowników, że 10% z nich dało się nabrać na phishing…
    Swoją drogą, to jakim cudem oni łyknęli maile wysłane z zewnętrznego serwera ? Mają chyba lokalny serwer do rozsyłania wiadomości (no chyba, że nie mają… fail x2).

    PS.”Virusy, tworzone w celu niewinnych wybryków…” no viecie co… Piszcie po polsku :P

  2. Z innej beczki ale interesujące,

    po wejściu na gmaila mam info, że wygasł certyfikat mimo, że ważny jest jeszcze do końca roku. Znowu jakiś włam do chmury?

    Odcisk palca: 40 50 62 e5 be fd e4 af 97 e9 38 2a f1 6c c8 7c 8f b7 c4 e2

    • Ktoś ci podkłada fałszywy certyfikat. Jest to bardzo poważne zagrożenie! Zwłaszcza że nie dzieje się przypadkiem.
      Prawidłowe certyfikaty całego drzewa: http://www.multiupload.com/7ARQS19FJW (możesz je podejrzeć w Win, a na Ubuntu pewnie też się znajdzie)
      Hasło: google
      Ciekawi mnie to…Czy mógłbyś podesłać swoje certyfikaty na zen.vantalye@gmail(dot)com ?
      W Fx pobierzesz je klikając RPM na wolnym obszarze strony->Bezpieczeństwo->Wyświetl certyfikat, wybierz certyfikat i eksportuj, a następnie każdy kolejny eksportuj.

  3. Mnie najbardziej zdziwiło, że oni tam IE używają. Poniżej dziury w W7 na dziś:

    http://secunia.com/advisories/product/27467/

  4. No właśnie skąd IE w tak poważnej instytucji? tych 57 pasowało by na solidne przeszkolenie z zakresu bezpieczeństwa wysłać, w końcu to zwykle to użytkownik jest najsłabszym elementem systemu bezpieczeństwa.

    ps do komunikacji między pracownikami proponował bym raczej wewnętrzny serwer oparty o XMPP (Jabbera) da się serwer skonfigurować tak żeby nie przyjmował wiadomości z zewnątrz ani tam nie wysyłał.

    • IMO łatwiej by było jakby admin instalował im każdy program na specjalne żądanie jak to się dzieje np w danone.
      Żaden pracownik nie może nic instalować a jak mu czegoś trzeba to zajmuje się tym osobna firma.

      W takim układzie admin wyłapuje takie kwiatki jak np żądanie zainstalowania antywirusa sprzed 5 lat.

    • Akurat IE jest częścią Windowsa, więc niezależnie od tego kto i co instaluje będzie się go dało odpalić na maszynie z Windows.

    • Nie wiem jak w win7, ale w xp jest coś co się nazywa “określ dostęp do programów …” i tam ie wyłączyć można.
      Jeżeli nawet nie ma tego w win7, to na pewno jest jakaś inna możliwość wyłączenia ie.

  5. “nie wykradziono ich więcej niż 1 GB” – to jakieś kilka tysięcy dokumentów wordowych, rzeczywiście, bardzo niewielka ilość

  6. “RECE OPADAJA”, gdy widzi sie tak razaca niekompetencje uzytkownikow w Instytucie ds bezp IT …
    Nie dosc, ze klikaja w co popadnie, to jeszcze korzystaja z platformy systemowej, ktora jest dzis numerem 1 w ilosci atakow nan przeprowadzanych i ilosci malware’u, ktory dla niej istnieje.
    Naprawde trzeba miec mala wiedze, niewiele wyobrazni i duzo wiary, aby cos takiego uskuteczniacz i trwac uparcie przy tym ‘doskonale supportowanym’ produkcie.

    Ludzie sie NIE UCZA!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.