Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek






Hét év busójárás

(2014. február 11.)

- Kaspersky PR, Viruslist.com nyomán -

A Kaspersky Lab lerántja a leplet egy újabb nemzetközi e-kém hálózatról.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

A Kaspersky Lab víruskutatói - korábbi ígéretüknek megfelelően - hétfői konferenciájukon közzétették egy újabb, általuk leleplezett, fejlett és hosszantartó kiber-kémkedési akció avagy APT típusú támadás részleteit.

A feltehetően spanyol anyanyelvű hackerek által készített kártevő-rendszer - amely a programkódban található egyik megjegyzés alapján a Careto (maszk, ronda arc) elnevezést kapta a víruselemzőktől - már legalább 2007. óta jelen van a neten, de működése 2012-ben, hat újabb alváltozatának megjelenésével vált igazán aktívvá. Rendkívüli fejlettsége miatt a fertőzés sokáig észrevétlen maradhatott és lebukását is csak egy, az üzemeltetői által elkövetett hibának köszönhette.

Az e-kémek ugyanis az egyik Careto-támadás végrehajtása során megpróbáltak kihasználni egy, a Kaspersky szoftverek régebbi verzióit sújtó biztonsági rést - amelyet azonban a gyártó már legalább 5 éve felismert és befoltozott, sőt az ilyen támadási irányra vonatkozó detektálást is elhelyezte a vírusismereti adatbázisban! Mivel korábban hasonló próbálkozást nem tapasztaltak, az automata riasztás beérkezése után az orosz antivírus-gyártó szakemberei alaposan utánanéztek a furcsa esetnek.

Célkeresztben a fejlődő világ

Mint kiderült, az incidens egy olyan széleskörű, több-platformos online kémkedési művelet apró részlete volt, amelyet minden bizonnyal egy külföldi ország részére vagy megbízásából dolgozó hackerek, kiber-katonák hajtottak végre - többek között Windows, Apple Mac OS X számítógépeket támadó, illetve a naplók nyomai alapján feltehetően Linux, Android és Apple iOS, iPad eszközöket is megfertőző fejlett, rejtőzködő adattolvaj kártevők segítségével.

Az eddigi adatok alapján a Careto világszerte legalább 380 olyan értékes információkkal rendelkező, egyedi célpontot tört fel, mint pl. a kormányzati szervek, külképviseletek, energetikai cégek és olaj-gázipari szereplők, kutató-intézetek, kockázati tőkét befektető alapok, illetve az aktivista szervezetek.

Az APT típusú incidensek célzott jellegét mutatja, hogy a víruskutatók eddig, összesen alig több mint 1000 fertőzött IP-címet találtak, vagyis átlagosan kevesebb mint három feltört számítógépet azonosítottak egy-egy áldozatnál, miközben a Careto akció hatóköre világszerte legalább 31 országra terjedt ki:

Algéria, Argentína, Belgium, Bolívia, Brazília, Costa Rica, Dél-Afrika, Egyiptom, Franciaország, Gibraltár (brit gyarmat), Guatemala, Irán, Irak, Kína, Kolumbia, Kuba, Lengyelország, Líbia, Malajzia, Marokkó, Mexikó, Nagy-Britannia, Németország, Norvégia, Pakisztán, Spanyolország, Svájc, Tunézia, Törökország, USA és Venezuela

Lopakodva jön és mindent visz

A kártevőt a támadók célzott adathalász levelekben terjesztették, amelyek gyakran tisztességes önéletrajz mellékletnek látszó, de támadókóddal "mérgezett" fájlt tartalmaztak (pl. cv-edward-horgan.pdf, DanielGarciaSuarez_cv_es.pdf, Inspired By Iceland.doc). Ezen trükk segítségével a hackerek rejtett netes letöltést indítottak egy jogosulatlan távoli hozzáférést lehetővé tevő hátsóajtó kód telepítése érdekében - miközben a gyanútlan áldozatot látszólag a YouTube portálra vagy ártalmatlan híroldalakra irányították át.

A Careto által alkalmazott "nulladik napi" támadókódok közül különösen botrányos a CVE-2012-0773 jelzésű algoritmus este, amely az Adobe Flash Player webanimációs rendszer 10.3 - 11.2 verzióinak feltörésére alkalmas. A Kaspersky labor gyanúja szerint ezt a Google Chrome böngésző-környezet ellen igen hatásos fejlesztést a francia VUPEN kiberfegyver-kereskedőház adhatta el a Careto hackereinek - amit a nevezett cég hevesen cáfol.

A Careto-kampány hosszú ideig hatékonynak bizonyult rejtőzködését segítette, hogy a kártevő egy rendszer-könyvtárakba beépülő, erőteljes Windows rootkit és bootkit modult is tartalmaz. Ez az álca elfedi a Weevil-B hátsóajtó komponens széleskörű adattolvaj tevékenységét - amely a VPN és SSH titkosító kulcsok, RDP távoli asztal fájlok és PDF dokumentumok hiteles aláírását lehetővé tevő tanúsítványok mellett nagyszámú, részben még ismeretlen fájltípust is begyűjt a megfertőződött gépekről:

.AKF, .ASC, .AXX, .CFD, .CFE, .CRT, .DOC*, .EML, .ENC, .GMG, .GPG, .HSE, .KEY, .M15, .M2F, .M2O, .M2R, .MLS, .OCFS, .OCU, .ODS, .ODT, .OVPN, .P7*, .PAB, .PDF, .PGP, .PKR, .PPK, .PSW, .PXL, .RDP, .RTF, .SDC, .SDW, .SKR, .SSH, .SXC, .SXW, .VSD, .WAB, .WPD, .WPS, .WRD, .XLS*

Visszavonult trónkövetelő

Összességében az orosz víruskutatók úgy vélik, hogy a Careto-hálózat az eddig leleplezett eredményei és képességei, pl. a modulárisan bővíthető szerkezete alapján fejlettebbnek tekinthető a kiber-kémkedésben eddig "etalonnak" számító Duqu kártevőnél - ami nagy szó, hiszen a Duqu-Stuxnet-Tilded kódcsaládot az elektronikus hadviselésben vezető szerepet játszó amerikai-izraeli koalíció készítette.

A leleplezéssel azonban a Careto kártevők karrierje (egyelőre) véget ért, miután az eddig ismeretlen hovatartozású hackerek 2014. januárjában észrevették, hogy az infobiztonsági kutatók átirányítják a veszélyes adatforgalmat ún. "sinkhole" doménekre. Válaszként az e-kémek leállították az adattolvaj rendszerüket vezérlő C&C szervereket és alapos távoli adattörlésbe (wipe) kezdtek, hogy megnehezítsék a sok éve tartó akció hátterének és az esetleg még rejtve maradt kártevő-változatoknak a részletesebb vizsgálatát.



Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.