Érdekességek
maxray - 2015-08-11
A vezető, proaktív védelmet kínáló biztonságtechnológiai vállalat, az ESET kutatói arról számoltak be Operation Potao Express című összefoglalójukban, hogy sikeresen azonosítottak be egy Win32/Potao nevű kártevő családot. Bár az első verziók mintáit már 2011 óta detektálja számos antivírus megoldás, az okokró
Egy oroszországi weboldal olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító
A Potao abba a testre szabott APT (Advanced Persistent Threat) típusú kártevők sorába tartozik, mint amilyen például a célzottan Ukrajnában, Grúziában és Fehéroroszországban kémkedő BlackEnergy (más néven Sandworm, Quedagh) is volt. Az APT-ként ismert támadások a célpont alapos és tudatos kiválasztásánál, a támadás elnyújtott időtartama mellett a hosszú "lappangási" időszakban térnek el a hagyományos kibertámadásoktól. Az ilyen célzott akciók a klasszikus definíció szerint olyan folyamatos fenyegetést jelentenek, amelyek nagyon kifinomultak, még naprakész védelemmel is nehezen észlelhetőek, és a már korábban említett hosszú ideig tartó - ez akár években mérhető - aktív támadási folyamatot jelentenek. Az elmúlt években világos látható volt, hogy az ilyen célzott támadások egyre növekvő tendenciát mutatnak, és ezt a 2015-ös évre szóló kártevő jóslatok is határozottan körvonalazták.
Az elemzés alapján úgy tűnik, az említett BlackEnergy-hez hasonlóan a Potao kártevő is az orosz illetőségű Sandworm csoport alkotása lehet. Róluk azt lehet tudni, hogy a kiberkémkedés a specialitásuk, és eddig már számos nulladik napi sebezhetőséget kihasználó APT típusú támadás mögött gyanítják őket. A 2013. óta működő bűnszervezet nem csak az ukrán konfliktus idején vett részt akciókban, de többek közt a NATO, a lengyel kormányzat, illetve nyugat-európai kormányzati hivatalok ellen is indított már támadást. Repertoárjukban emellett különféle energetikai vállalkozások, francia távközlési cégek, és egyéb amerikai vállalatok elleni célzott kémkedés is szerepel.
A kártevő minden felhasználói aktivitást képes volt kikémlelni, így a helyi gép beállításai (proxy, telepített szoftverek, nemrég megnyitott fájlok, stb.) mellett gyűjtötte a böngészési előzményeket, egy fájlkiterjesztési lista alapján a szöveges dokumentumokat is ellopta, a háttérben egy billentyűzet naplózó figyelte a leütéseket, de a vágólap (Clipboard) tartalmát, és a Skype beszélgetéseket is fürkészte. A fejlett kártevő a támadók távoli irányító szerverével (C&C) 2048 bites titkosított kommunikációt folytatott, hogy ezzel is nehezítse a leleplezést.
A trójai terjesztésénél a klasszikus trükkökkel találkozhattunk, vagyis testre szabott célzott
Érdekesség, hogy a kártevő 2013-ban esküvői meghívóként is ki volt küldve, 2014-ben pedig Krimi postai szolgáltatásokat ajánlottak benne a címzetteknek. Az ESET 2015 márciusában figyelt fel arra, hogy ukrán kormányzati és katonai szervezetek, valamint a legnagyobb ukrán hírügynökségek irányába indult el tömeges és intenzív támadási hullám. Ezekben már aztán a politikai vonal még intenzívebben jelen volt, így a csalárd mellékletek részleteket ígértek az ukrán hadifoglyokról, a szolgálatból felmentett magas rangú katonai vezetők listáját ajánlották fel, illetve az anti terrorista akciók során lefoglalt eszközökről ígértek információkat az üzenetek mellékletében. De a
A Potao vizsgálata során az egyik legérdekesebb felfedezés kétségkívül az volt, hogy a 2014-ben sajnos megszűnt nyílt forráskódú titkosító szoftver, a népszerű TrueCrypt egy orosz nyelvű lokalizált változatába is belerejtették a kártevőt, így aki a truecryptrussia.ru weboldalról töltötte azt le, az már egy kémkedő trójaival megfertőzött telepítő csomagot kapott. A hátsó ajtón keresztül a csalók később bármit képesek voltak rejtve megtenni: jelszavakat lophattak, képernyőmentéseket készíthettek, állományokat tölthettek le- és fel, távoli parancsokat és utasításokat futtathattak az áldozatok gépén. Ez utóbbi változatok egy részét Win32/FakeTC néven észlelik az ESET programjai.
szoftver
nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.A Potao abba a testre szabott APT (Advanced Persistent Threat) típusú kártevők sorába tartozik, mint amilyen például a célzottan Ukrajnában, Grúziában és Fehéroroszországban kémkedő BlackEnergy (más néven Sandworm, Quedagh) is volt. Az APT-ként ismert támadások a célpont alapos és tudatos kiválasztásánál, a támadás elnyújtott időtartama mellett a hosszú "lappangási" időszakban térnek el a hagyományos kibertámadásoktól. Az ilyen célzott akciók a klasszikus definíció szerint olyan folyamatos fenyegetést jelentenek, amelyek nagyon kifinomultak, még naprakész védelemmel is nehezen észlelhetőek, és a már korábban említett hosszú ideig tartó - ez akár években mérhető - aktív támadási folyamatot jelentenek. Az elmúlt években világos látható volt, hogy az ilyen célzott támadások egyre növekvő tendenciát mutatnak, és ezt a 2015-ös évre szóló kártevő jóslatok is határozottan körvonalazták.
Az elemzés alapján úgy tűnik, az említett BlackEnergy-hez hasonlóan a Potao kártevő is az orosz illetőségű Sandworm csoport alkotása lehet. Róluk azt lehet tudni, hogy a kiberkémkedés a specialitásuk, és eddig már számos nulladik napi sebezhetőséget kihasználó APT típusú támadás mögött gyanítják őket. A 2013. óta működő bűnszervezet nem csak az ukrán konfliktus idején vett részt akciókban, de többek közt a NATO, a lengyel kormányzat, illetve nyugat-európai kormányzati hivatalok ellen is indított már támadást. Repertoárjukban emellett különféle energetikai vállalkozások, francia távközlési cégek, és egyéb amerikai vállalatok elleni célzott kémkedés is szerepel.
A kártevő minden felhasználói aktivitást képes volt kikémlelni, így a helyi gép beállításai (proxy, telepített szoftverek, nemrég megnyitott fájlok, stb.) mellett gyűjtötte a böngészési előzményeket, egy fájlkiterjesztési lista alapján a szöveges dokumentumokat is ellopta, a háttérben egy billentyűzet naplózó figyelte a leütéseket, de a vágólap (Clipboard) tartalmát, és a Skype beszélgetéseket is fürkészte. A fejlett kártevő a támadók távoli irányító szerverével (C&C) 2048 bites titkosított kommunikációt folytatott, hogy ezzel is nehezítse a leleplezést.
A trójai terjesztésénél a klasszikus trükkökkel találkozhattunk, vagyis testre szabott célzott
spam
levelekkel igyekeztek a címzetteket megtéveszteni. Ezekben a levelekben például sebezhetőséget kihasználó Microsoft Word dokumentumot mellékeltek. A kéretlen levelek különféle témájúak voltak, a hivatalosnak látszóak mellett például az emberi hiszékenységre és anyagiasságra is építettek. Így volt olyan kampány, amelyben állítólagos befektetőként 500 ezer orosz rubel (körülbelül 2.2 millió forint) befektetését ajánlották fel a címzetteknek, de a pilótajáték rendszerű MMM nevű cég fizetési elszámolást ígérő fájlmelléklet is szerepelt a becsapások között.Érdekesség, hogy a kártevő 2013-ban esküvői meghívóként is ki volt küldve, 2014-ben pedig Krimi postai szolgáltatásokat ajánlottak benne a címzetteknek. Az ESET 2015 márciusában figyelt fel arra, hogy ukrán kormányzati és katonai szervezetek, valamint a legnagyobb ukrán hírügynökségek irányába indult el tömeges és intenzív támadási hullám. Ezekben már aztán a politikai vonal még intenzívebben jelen volt, így a csalárd mellékletek részleteket ígértek az ukrán hadifoglyokról, a szolgálatból felmentett magas rangú katonai vezetők listáját ajánlották fel, illetve az anti terrorista akciók során lefoglalt eszközökről ígértek információkat az üzenetek mellékletében. De a
spam
vonalon kívül az Autorun vírus módszerét is alkalmazták, tehát különféle külső USB
eszközök segítségével is terjedt, sőt telefonos SMS
üzenetben is küldtek ki kártékony link hivatkozásokat.A Potao vizsgálata során az egyik legérdekesebb felfedezés kétségkívül az volt, hogy a 2014-ben sajnos megszűnt nyílt forráskódú titkosító szoftver, a népszerű TrueCrypt egy orosz nyelvű lokalizált változatába is belerejtették a kártevőt, így aki a truecryptrussia.ru weboldalról töltötte azt le, az már egy kémkedő trójaival megfertőzött telepítő csomagot kapott. A hátsó ajtón keresztül a csalók később bármit képesek voltak rejtve megtenni: jelszavakat lophattak, képernyőmentéseket készíthettek, állományokat tölthettek le- és fel, távoli parancsokat és utasításokat futtathattak az áldozatok gépén. Ez utóbbi változatok egy részét Win32/FakeTC néven észlelik az ESET programjai.
