News Item: O campanie libaneza de spionaj cibernetic loveste firmele de aparare, telecomunicatii si media la nivel mondial
(Category: PRESA)
Posted by Radu89
Wednesday 01 April 2015 - 20:50:37
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.4522 )
(Category: PRESA)
Posted by Radu89
Wednesday 01 April 2015 - 20:50:37
In ultimii doi ani, un grup de spionaj cibernetic, care opereaza, probabil, din Liban, a lovit sute de contractori de aparare, operatori de telecomunicatii, grupuri media si organizatii educationale din cel putin 10 tari.
Campania de atac inca activa a fost descoperita si analizata recent de cercetatorii de securitate din cadrul Check Point Software Technologies, care au denumit-o Volatile Cedar. Cercetatorii companiei au gasit dovezi potrivit carora campania a inceput la sfarsitul anului 2012, insa a reusit sa treaca neobservata pana acum prin adaptarea instrumentelor sale pentru a evita detectarea de catre programele antivirus.
Campania de atac inca activa a fost descoperita si analizata recent de cercetatorii de securitate din cadrul Check Point Software Technologies, care au denumit-o Volatile Cedar. Cercetatorii companiei au gasit dovezi potrivit carora campania a inceput la sfarsitul anului 2012, insa a reusit sa treaca neobservata pana acum prin adaptarea instrumentelor sale pentru a evita detectarea de catre programele antivirus.
Spre deosebire de cele mai multe grupuri de spionaj cibernetic, atacatorii Volatile Cedar nu folosesc spear phishing sau drive-by downloads pentru a obtine un punct de sprijin in retelele victimelor lor. In schimb, acestia tintesc serverele web si le folosesc ca puncte de intrare initiale.
Atacatorii folosesc scannere de vulnerabilitati automate, precum si tehnici manuale pentru a gasi si exploata defectiunile din site-uri si din aplicatiile web. Aceste compromisuri sunt apoi folosite pentru a instala script-uri backdoor cunoscute ca web shells pe serverele web afectate, potrivit unui raport detaliat publicat marti de catre Check Point.
Daca serverele compromise ruleaza pe software-ul server Microsoft IIS Web, atacatorii folosesc accesul lor pentru a instala un program troian Windows personalizat, denumit Explosive, care are key logging si alte capacitati privind furtul de informatii. Acesta este principalul instrument malware folosit al grupului si este folosit pentru a extrage informatii de pe serverele compromise, inclusiv parolele tastate de administratorii acestor servere.
Acelasi program troian este folosit pentru a infecta alte servere si sisteme care ruleaza in interiorul retelelor organizatiilor vizate. Cele mai recente versiuni ale sale contin functionalitati pentru raspandirea prin dispozitivele de stocare in masa USB.
"Urme de scannere de porturi construite la comanda si alte cateva instrumente de atac au fost gasite pe serverele victimelor, ceea ce ne face sa credem ca atacatorii folosesc initial serverele infectate ca un pivot pentru raspandirea manuala pe intreaga retea", au scris cercetatorii Check Point in raportul lor.
Au fost identificate trei versiuni principale ale Explosive Trojan care au fost folosite de mai multe ori in ultimii doi ani. De obicei, o versiune noua, tehnic imbunatatita, este lansata dupa ce atacatorii gasesc semne ale detectarii unei versiuni anterioare de programele antivirus - in majoritatea cazurilor, astfel de detectari sunt accidentale si se datoreaza software-ului antivirus mai degraba decat analizei cercetatorilor.
Exista dovezi clare ca atacatorii Volatile Cedar au parcurs un drum lung pentru a-si mentine infectiile malware nedescoperite. Acestia au verificat constant rezultatele detectarii antivirus si au actualizat troianul pe serverele afectate, au declarat cercetatorii Check Point.
Programul malware monitorizeaza propriul consum de memorie, pentru a se asigura ca nu depaseste anumite praguri care ar putea trezi suspiciuni si intra in perioade de "tacere" in care nu initiaza comunicatii externe. Aceste perioade sunt diferite pentru fiecare victima si sunt predefinite in fisierul sau de configurare.
Explosive Troaj verifica periodic, cu serverele de comanda si control (C&C), daca e sigur sa continue sa functioneze. Toate comunicatiile sale sunt facute sa apara ca trafic la intamplare in retea si infrastructura C&C este redundanta. Programul contacteaza serverele hard-coded si cele cu actualizare dinamica si, daca acestea esueaza, foloseste un algoritm de generare domeniu (DGA) pentru a gasi noi servere.
Desi Explosive Trojan este instalat doar pe serverele Windows, atacatorii au compromis si servere bazate pe Linux si au instalat web shell-uri pe acestea, a declarat Shahar Tal, cercetator de securitate Check Point. Nu au fost gasite exploit-uri zero-day, insa astfel de exploit-uri nu pot fi excluse, a precizat acesta.
Cercetatorii Check Point au identificat un numar mare de victime in Liban, insa organizatii compromise au fost gasite si in Israel, Turcia, Marea Britanie, Japonia, SUA si alte tari.
Exista sute de victime, insa informatii privind numarul exact al acestora si distribuirea lor geografica nu se cunosc inca, deoarece datele inca sunt in curs de colectare, a mai spus Tal. Check Point intentioneaza sa lanseze un raport la o data ulterioara, care va cuprinde informatii cu privire la aceste aspecte.
In ceea ce priveste atribuirea, probele tehnice - gazduirea server C&C, domeniile de inregistrare si alte informatii - sugereaza ca atacatorii sunt din Liban. Nivelul lor ridicat de sofisticare si natura organizatiilor vizate indica o posibila sponsorizare de catre un stat sau de un grup politic, insa numarul mare al victimelor din Liban indica, de asemenea, un spionaj intrastatal, ceea ce ar insemna ca operatiunea nu este sprijinita de principalele autoritati din stat, a explicat Tal.
Atacatorii Volatile Cedar au reactionat deja dupa dezvaluirile Check Point, activand o comanda de auto-distrugere, care va elimina malware-ul de pe orice sistem infectat care stabileste o conexiune cu serverul lor de comanda si control, a declarat Tal.
Atacatorii folosesc scannere de vulnerabilitati automate, precum si tehnici manuale pentru a gasi si exploata defectiunile din site-uri si din aplicatiile web. Aceste compromisuri sunt apoi folosite pentru a instala script-uri backdoor cunoscute ca web shells pe serverele web afectate, potrivit unui raport detaliat publicat marti de catre Check Point.
Daca serverele compromise ruleaza pe software-ul server Microsoft IIS Web, atacatorii folosesc accesul lor pentru a instala un program troian Windows personalizat, denumit Explosive, care are key logging si alte capacitati privind furtul de informatii. Acesta este principalul instrument malware folosit al grupului si este folosit pentru a extrage informatii de pe serverele compromise, inclusiv parolele tastate de administratorii acestor servere.
Acelasi program troian este folosit pentru a infecta alte servere si sisteme care ruleaza in interiorul retelelor organizatiilor vizate. Cele mai recente versiuni ale sale contin functionalitati pentru raspandirea prin dispozitivele de stocare in masa USB.
"Urme de scannere de porturi construite la comanda si alte cateva instrumente de atac au fost gasite pe serverele victimelor, ceea ce ne face sa credem ca atacatorii folosesc initial serverele infectate ca un pivot pentru raspandirea manuala pe intreaga retea", au scris cercetatorii Check Point in raportul lor.
Au fost identificate trei versiuni principale ale Explosive Trojan care au fost folosite de mai multe ori in ultimii doi ani. De obicei, o versiune noua, tehnic imbunatatita, este lansata dupa ce atacatorii gasesc semne ale detectarii unei versiuni anterioare de programele antivirus - in majoritatea cazurilor, astfel de detectari sunt accidentale si se datoreaza software-ului antivirus mai degraba decat analizei cercetatorilor.
Exista dovezi clare ca atacatorii Volatile Cedar au parcurs un drum lung pentru a-si mentine infectiile malware nedescoperite. Acestia au verificat constant rezultatele detectarii antivirus si au actualizat troianul pe serverele afectate, au declarat cercetatorii Check Point.
Programul malware monitorizeaza propriul consum de memorie, pentru a se asigura ca nu depaseste anumite praguri care ar putea trezi suspiciuni si intra in perioade de "tacere" in care nu initiaza comunicatii externe. Aceste perioade sunt diferite pentru fiecare victima si sunt predefinite in fisierul sau de configurare.
Explosive Troaj verifica periodic, cu serverele de comanda si control (C&C), daca e sigur sa continue sa functioneze. Toate comunicatiile sale sunt facute sa apara ca trafic la intamplare in retea si infrastructura C&C este redundanta. Programul contacteaza serverele hard-coded si cele cu actualizare dinamica si, daca acestea esueaza, foloseste un algoritm de generare domeniu (DGA) pentru a gasi noi servere.
Desi Explosive Trojan este instalat doar pe serverele Windows, atacatorii au compromis si servere bazate pe Linux si au instalat web shell-uri pe acestea, a declarat Shahar Tal, cercetator de securitate Check Point. Nu au fost gasite exploit-uri zero-day, insa astfel de exploit-uri nu pot fi excluse, a precizat acesta.
Cercetatorii Check Point au identificat un numar mare de victime in Liban, insa organizatii compromise au fost gasite si in Israel, Turcia, Marea Britanie, Japonia, SUA si alte tari.
Exista sute de victime, insa informatii privind numarul exact al acestora si distribuirea lor geografica nu se cunosc inca, deoarece datele inca sunt in curs de colectare, a mai spus Tal. Check Point intentioneaza sa lanseze un raport la o data ulterioara, care va cuprinde informatii cu privire la aceste aspecte.
In ceea ce priveste atribuirea, probele tehnice - gazduirea server C&C, domeniile de inregistrare si alte informatii - sugereaza ca atacatorii sunt din Liban. Nivelul lor ridicat de sofisticare si natura organizatiilor vizate indica o posibila sponsorizare de catre un stat sau de un grup politic, insa numarul mare al victimelor din Liban indica, de asemenea, un spionaj intrastatal, ceea ce ar insemna ca operatiunea nu este sprijinita de principalele autoritati din stat, a explicat Tal.
Atacatorii Volatile Cedar au reactionat deja dupa dezvaluirile Check Point, activand o comanda de auto-distrugere, care va elimina malware-ul de pe orice sistem infectat care stabileste o conexiune cu serverul lor de comanda si control, a declarat Tal.
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.4522 )