26. maijs, 2016

Danti un biedri: kiberspiegošanas grupas izmanto vienu ievainojamību, lai uzbruktu organizācijām visā pasaulē

Starptautiskā pētniecības un grupa (GReAT) pēdējos mēnešus ir pavadījusi, novērojot kiberspiegošanas uzbrukumu vilni, ko veic vairākas grupas Āzijas un Klusā okeāna, kā arī Tālo Austrumu reģionā un kam ir viena kopīga iezīme: upuru inficēšanai ar ļaunprogrammatūru uzbrucēji izmanto ievainojamības CVE-2015-2545 mūķi. Šī nepilnība Office programmatūrā tika novērsta 2015. gada beigās, taču, šķiet, joprojām ir noderīga šiem draudu dalībniekiem. Jau bija zināms, ka šo mūķi izmanto grupas Platinum, APT16, EvilPost un SPIVY, bet tagad tām ir pievienojusies samērā jauna un iepriekš nezināma grupa ar nosaukumu Danti.
Mūķis ir ļaunrīks, ko kiberspiegošanas grupas un kibernoziedznieki plaši izmanto uzbrukumam pakļauto datoru neuzkrītošai inficēšanai ar ļaunprogrammatūru. Pirms vairākiem gadiem sarežģītu draudu dalībnieku raksturpazīme bija tā dēvēto nulles dienas ievainojamību izmantošana (ievainojamības, kas tiek strauji izmantotas, pirms skartās programmatūras piegādātājs ir izlaidis ielāpu), taču viss mainās: tagad kiberspiegošanas grupas biežāk izmanto zināmu ievainojamību mūķus tikai tāpēc, ka tas ir lētāk un, šķiet, nodrošina pietiekamu inficēšanas pakāpi.
danti_timeline
CVE-2015-2545 ļauj uzbrucējam izpildīt brīvi izvēlētu programmu, izmantojot īpaši izstrādātu EPS attēla datni. Šīs ievainojamības mūķis ir ļoti nozīmīgs, jo tas izmanto PostScript paņēmienu un var apiet Windows iestrādātās adreštelpas izkārtojuma randomizācijas (ASLR) un datu izpildes novēršanas (DEP) aizsardzības metodes. Danti ir jaunāka grupa, kas pamanīta izmantojam šo ievainojamību.
Danti galvenokārt koncentrējas uz diplomātiskajām organizācijām. Iespējams, grupa jau ir ieguvusi pilnu piekļuvi Indijas valdības iestāžu iekšējiem tīkliem. Security Network liecina, ka daži Danti Trojas zirgi ir konstatēti arī Kazahstānā, Kirgizstānā, Uzbekistānā, Mjanmā, Nepālā un Filipīnās. Grupas darbība pirmo reizi tika pamanīta februāra sākumā un turpinājās martā līdz pat šim laikam.
Mūķis tiek piegādāts ar mērķētām pikšķerēšanas e-pasta vēstulēm. Lai piesaistītu potenciālo upuru uzmanību, draudu dalībnieki, kas pārstāv Danti, ir izveidojuši e-pasta vēstures vairāku augstu Indijas valdības amatpersonu vārdā. Kad ievainojamība ir izmantota, tiek instalētas Danti sāndurvis, kas pēc tam draudu dalībniekiem nodrošina piekļuvi inficētajam datoram, lai viņi varētu vākt konfidenciālu informāciju.
Danti izcelsme nav zināma, taču pētniekiem ir pamatotas aizdomas, ka šī grupa ir kaut kādā veidā saistīta ar grupām Nettraveler un DragonOK. Savukārt šīs grupas tiek uzskatītas par ķīniešu valodā runājošu hakeru veidojumiem.
Vēl pētnieki ir pamanījuši nezināmas izcelsmes CVE-2015-2545 uzbrukumus dažām organizācijām Taivānā un Taizemē. Šiem uzbrukumiem ir dots iekšējais nosaukums SVCMONDR pēc Trojas zirga nosaukuma, kurš tiek lejupielādēts pēc ievainojamības izmantošanas. Šis Trojas zirgs atšķiras no Danti lietotā, bet tam ir dažas kopīgas iezīmes gan ar Danti, gan ar APT16 — pazīstamu, domājams, ķīniešu izcelsmes, kiberspiegošanas grupu.
«Mēs prognozējam, ka parādīsies vairāk incidentu ar šo mūķi, un turpinām novērot jaunus uzbrukumu viļņus un iespējamo saistību ar citiem uzbrukumiem reģionā. Uzbrukumu viļņi, kas ir veikti, izmantojot tikai vienu ievainojamību, liecina par divām lietām. Pirmkārt, draudu dalībnieki tiecas neieguldīt daudz resursu sarežģītu rīku, piemēram, nulles dienas mūķu, izstrādē, ja pirmās dienas mūķi strādās gandrīz tikpat labi. Otrkārt, mērķa uzņēmumos un valsts iestādēs ir zems ielāpu apgūšanas līmenis. Mēs aicinām uzņēmumus pievērst lielāku uzmanību ielāpu pārvaldībai savā IT infrastruktūrā, lai pasargātu sevi vismaz no zināmām ievainojamībām,» sacīja pētniecības centra Āzijas un Klusā okeāna reģionā galvenais drošības eksperts Alekss Gostevs.
Par mērķuzbrukumiem ar CVE-2015-2545 izmantošanu vairāk lasiet Securelist.com.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda