Na celowniku cyberszpiega

Niedawno wykryte ataki dowodzą, że szpiegostwo internetowe w zorganizowanej formie trwa do co najmniej 5 lat. Hakerzy wytypowali firmy i organizacje prawie z całego świata.

Skąd kradziono dane?

Lista podmiotów, które były celem ataku Shady Rat zawiera co najmniej:

- 22 agencje rządowe (14 z USA, 2 z Kanady, po jednej z Korei Płd, Wietnamu, Indii i Tajwanu oraz ONZ i jednego podmiotu współpracującego z rządem USA);

- 6 korporacji przemysłowych (3 z branży przemysłu ciężkiego, 1 z metalurgii, 2 energetyczne);

- 13 przedsiębiorstw z branży technologicznych (3 związane z elektroniką, 2 z bezpieczeństwem IT, 2 z samym IT, 2 z komunikacją satelitarną, 3 z branży medialnej i 1 z ogólną komunikacją);

- 13 przedsiębiorstw z branży obronnej;

- 4 instytucje finansowe;

- 12 innych organizacji m.in. MKOl i 2 organizacje klasy think tank.

Gdy w 2009 r. na konferencji RSA Security Uri Rivner mówił o tym, że przestępcy za pomocą botnetów mogą wykradać informacje firmowe, w Internecie już trwały działania szpiegowskie kierowane przeciw różnym organizacjom. Niedawno firma McAfee odkryła największą akcję zorganizowanego szpiegostwa komputerowego, nazwaną Shady Rat. Udało się określić, że w ciągu pięciu lat zarejestrowanej aktywności objęła ona co najmniej 72 organizacje w 14 lokalizacjach. Nie było to typowe włamanie w celu pozyskania pieniędzy, gdyż celem były również organizacje non profit, a także agencje rządowe różnych krajów. Ponadto działalność ta była bardzo podobna w metodach do innych działań szpiegostwa internetowego. Najprawdopodobniej proceder ten nadal trwa, przy wykorzystaniu nowych serwerów i sieci botów.

Od e-maila do tajnych informacji

Aby przejąć kontrolę nad komputerami w danej organizacji, przygotowywano profilowaną kampanię mailingową, w której na podstawie pozyskanych informacji wysyłano wiadomości z linkiem do strony zewnętrznej. Na tej stronie skrypt sprawdzał podatność przeglądarki, pozyskiwał informacje ze stacji roboczej (na przykład pomocne do przełamania zabezpieczeń), a następnie wykorzystywał lukę 0-day, by zainstalować konia trojańskiego. Chociaż w niektórych z tych organizacji komputery były pozbawione wielu aktualizacji, stosowano zawsze najnowsze eksploity, atakowano wszystkie dostępne wersje Windows (95% maszyn), a także serwery z nieaktualizowanym Linuksem.


TOP 200