Érdekességek
Sulaki - 2015-05-18
Országhatáron belüli kém infrastruktúra a valós idej? kapcsolathoz...
Országhatáron belüli kém infrastruktúra a valós idej? kapcsolathoz és adatbányászathoz, kémeszközök, amelyek 48 parancsot képesek végrehajtani: a Kaspersky Lab legfrissebb jelentésében felfedi, hogyan tudott a Naikon csoport az elmúlt öt évben sikeresen megfertőzni nemzeti szervezeteket a Dél-kínai-tenger körüli országokban.
A szakértők úgy találták, hogy a Naikon támadói kínai anyanyelv?ek lehetnek, és elsődleges célpontjukat a magas szint? kormányzati szervek és civil vagy katonai szervezetek jelentik olyan országokban, mint a Fülöp-szigetek, Malajzia, Kambodzsa, Indonézia, Vietnám, Mianmar, Szingapúr, Nepál, Thaiföld, Laosz és Kína.
A Kaspersky Lab a következő tulajdonságokkal jellemezte a Naikon m?ködését:
Legalább öt éve nagy mennyiségben hajt végre magas szint? támadásokat.
Minden célországban külön üzemeltető személlyel rendelkezik, akinek feladata, hogy előnyt kovácsoljon az adott ország kulturális sajátosságaiból, mint például a magán
Az infrastruktúra (egy proxy server) az ország határain belül kerül elhelyezésre, ami biztosítja a mindennapi támogatást a valós idej? kapcsolódáshoz és adatkivonáshoz.
Platformfüggetlen kód és a teljes hálózati forgalom elfogásának képessége.
A távoli adminisztrációs program repertoárjában 48 parancs található, köztük teljes leltár végrehajtásához, adatok le- és feltöltéséhez, bővítő modulok telepítéséhez, vagy a parancssorban való munkához.
A Naikon kiberkémkedési csoportot a Kaspersky Lab “The Chronicles of the Hellsing APT: the Empire Strikes Back” cím? jelentésében említették először, mivel döntő szerepet játszott egy, a folyamatos fenyegetést jelentő támadások történetében egyedülálló visszavágó támadásban. Egy Hellsing névre hallgató másik csoport ugyanis úgy döntött, hogy bosszút áll a Naikon támadása miatt.
“A Naikon támadások mögött álló b?nözők egy olyan rugalmas infrastruktúrát dolgoztak ki, amely bármely célországban felállítható, és az áldozatok rendszereiből az irányító központba továbbítja az információkat. Ha a támadók úgy döntenek, hogy egy másik célpontot is becserkésznek egy másik országban, akkor egyszer?en egy új kapcsolatot létesítenek. A kijelölt operátorok, akik csak a saját célpontjaikra koncentrálnak, még inkább megkönnyítik a Naikon kémcsoport dolgát.” – mondta Kurt Baumgartner, a Kaspersky Lab globális kutató és elemző csapatának (GREAT) vezető biztonsági kutatója.
A Naikon hagyományos célzott adathalász technikákkal támadja meg célpontjait: a potenciális áldozat érdeklődési körébe illeszkedő csatolmányokat tartalmazó e-mailekkel. Ezek a csatolmányok Word dokumentumnak t?nnek, valójában azonban egy dupla kiterjesztéssel rendelkező, futtatható fájlt rejtenek.
A Kaspersky Lab a következőket javasolja a szervezetek számára, hogy megóvják magukat a Naikon támadásaitól:
Soha ne nyissunk meg semmilyen, ismeretlentől érkező csatolmányt vagy hivatkozást.
Használjunk magas szint? vírusirtó megoldást.
Ha nem vagyunk biztosak a csatolmány mibenlétében, próbáljuk megnyitni azt egy sandboxban.
Győződjünk meg arról, hogy az operációs rendszerünk legfrissebb verziójával rendelkezünk, amelyben minden javítás telepítve van.
A Kaspersky Lab megóvja felhasználóit az automatikus kihasználás elleni védelem (Automatic Exploit Prevention) funkció segítségével, amely Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent és Backdoor.Win32.Agent néven észleli a Naikon alkotóelemeit.
Ha többet szeretne megtudni a “Naikon” fenyegetésről, olvassa el a vonatkozó blogbejegyzést a Securelist.com weboldalon.
A szakértők úgy találták, hogy a Naikon támadói kínai anyanyelv?ek lehetnek, és elsődleges célpontjukat a magas szint? kormányzati szervek és civil vagy katonai szervezetek jelentik olyan országokban, mint a Fülöp-szigetek, Malajzia, Kambodzsa, Indonézia, Vietnám, Mianmar, Szingapúr, Nepál, Thaiföld, Laosz és Kína.
A Kaspersky Lab a következő tulajdonságokkal jellemezte a Naikon m?ködését:
Legalább öt éve nagy mennyiségben hajt végre magas szint? támadásokat.
Minden célországban külön üzemeltető személlyel rendelkezik, akinek feladata, hogy előnyt kovácsoljon az adott ország kulturális sajátosságaiból, mint például a magán
e-mail
fiókok használata a munkához.Az infrastruktúra (egy proxy server) az ország határain belül kerül elhelyezésre, ami biztosítja a mindennapi támogatást a valós idej? kapcsolódáshoz és adatkivonáshoz.
Platformfüggetlen kód és a teljes hálózati forgalom elfogásának képessége.
A távoli adminisztrációs program repertoárjában 48 parancs található, köztük teljes leltár végrehajtásához, adatok le- és feltöltéséhez, bővítő modulok telepítéséhez, vagy a parancssorban való munkához.
A Naikon kiberkémkedési csoportot a Kaspersky Lab “The Chronicles of the Hellsing APT: the Empire Strikes Back” cím? jelentésében említették először, mivel döntő szerepet játszott egy, a folyamatos fenyegetést jelentő támadások történetében egyedülálló visszavágó támadásban. Egy Hellsing névre hallgató másik csoport ugyanis úgy döntött, hogy bosszút áll a Naikon támadása miatt.
“A Naikon támadások mögött álló b?nözők egy olyan rugalmas infrastruktúrát dolgoztak ki, amely bármely célországban felállítható, és az áldozatok rendszereiből az irányító központba továbbítja az információkat. Ha a támadók úgy döntenek, hogy egy másik célpontot is becserkésznek egy másik országban, akkor egyszer?en egy új kapcsolatot létesítenek. A kijelölt operátorok, akik csak a saját célpontjaikra koncentrálnak, még inkább megkönnyítik a Naikon kémcsoport dolgát.” – mondta Kurt Baumgartner, a Kaspersky Lab globális kutató és elemző csapatának (GREAT) vezető biztonsági kutatója.
A Naikon hagyományos célzott adathalász technikákkal támadja meg célpontjait: a potenciális áldozat érdeklődési körébe illeszkedő csatolmányokat tartalmazó e-mailekkel. Ezek a csatolmányok Word dokumentumnak t?nnek, valójában azonban egy dupla kiterjesztéssel rendelkező, futtatható fájlt rejtenek.
A Kaspersky Lab a következőket javasolja a szervezetek számára, hogy megóvják magukat a Naikon támadásaitól:
Soha ne nyissunk meg semmilyen, ismeretlentől érkező csatolmányt vagy hivatkozást.
Használjunk magas szint? vírusirtó megoldást.
Ha nem vagyunk biztosak a csatolmány mibenlétében, próbáljuk megnyitni azt egy sandboxban.
Győződjünk meg arról, hogy az operációs rendszerünk legfrissebb verziójával rendelkezünk, amelyben minden javítás telepítve van.
A Kaspersky Lab megóvja felhasználóit az automatikus kihasználás elleni védelem (Automatic Exploit Prevention) funkció segítségével, amely Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent és Backdoor.Win32.Agent néven észleli a Naikon alkotóelemeit.
Ha többet szeretne megtudni a “Naikon” fenyegetésről, olvassa el a vonatkozó blogbejegyzést a Securelist.com weboldalon.
