Adobe Flash: odporúčanie vypnúť, alebo aktualizovať

Podrobnejšie o skupine hackerov, ktorý novými trikmi špehujú svoje obete píše dnešný Touchit.

V roku 2013 hackerská skupina, ktorú spoločnosť Kaspersky Lab nazýva „Wild Neutron“ (tiež známa ako „Jripbot“ alebo „Morpho“), zaútočila na niekoľko významných technologických firiem ako sú Apple, Facebook, Twitter či Microsoft. Po odhalení činnosti skupiny sa hackeri na takmer rok stiahli do ústrania, pričom na prelome rokov 2013 a 2014 sa znovu objavila a jej útoky pokračujú aj v roku 2015. Pri svojich útokoch skupina využíva odcudzený platný bezpečnostný certifikát a doposiaľ neodhalenú zraniteľnosť v programe Flash Player, cez ktorú infikovali firmy a jednotlivcov na celom svete, pričom sa zameriavali primárne na citlivé obchodné a ekonomické dáta.

Spoločnosti Kaspersky Lab sa podarilo identifikovať obete skupiny Wild Neutron v 11 krajinách a územiach vrátane Francúzska, Ruska, Švajčiarska, Nemecka, Rakúska, Palestíny, Slovinska, Kazachstanu, Spojených arabských emirátov, Alžírska a USA. Sú medzi nimi právnické firmy, spoločnosti zaoberajúce sa virtuálnou menou bitcoin, investičné firmy a IT spoločnosti, ako aj spoločnosti z oblasti zdravotníctva, nehnuteľností, veľké skupiny zaoberajúce sa fúziami a akvizíciami ako aj individuálny používatelia.

Ciele útokov naznačujú, že sa nejedná skupinu, za ktorou by stál niektorý zo štátov. Výskumný tím spoločnosti Kaspersky Lab sa nazdáva, že použitie tzv. zero-day zraniteľností, multiplatoformového malvéru a iných pokročilých techník poukazuje na silného hráča zapojeného do špionáže s pravdepodobným ekonomickým motívom.

Útoky Wild Neutron

Pôvodný zdroj infekcie zatiaľ nie je známy, ale indície naznačujú, že obete boli napadnuté cez infikované webstránky neznámou bezpečnostnou chybou vo Flash Playeri. Výskumníci Kaspersky Lab zaznamenali útoky, pri ktorých bol kód označený platným bezpečnostným certifikátom. Platný certifikát umožnil malvéru schovať sa pred odhalením viacerými bezpečnostnými riešeniami. Certifikát použitý pri útokoch skupiny Wild Neutron bol pravdepodobne odcudzený známemu výrobcovi elektroniky a v súčasnosti je už zrušený. Po prieniku malvér nainštaloval do systému zadné vrátka (tzv. backdoor).

Malvér sa vo svojej funkcionalite výrazne nelíši od mnohých ďalších nástrojov na vzdialenú kontrolu (Remote Access Tools). Čím sa ale odlišuje od ostatných, je mimoriadna dôkladnosť, s akou sa útočníci snažili utajiť adresu riadiaceho servera (C&C) a ich schopnosť konsolidácie po jeho vypnutí. Riadiaci server je pritom dôležitou súčasťou infraštruktúry útočníkov a slúži ako „základňa“ pre malvér vysielaný do zariadení obetí. Špeciálne prvky zabudované priamo v malvéri útočníkom pomáhali ochrániť infraštruktúru pred akýmkoľvek vypnutím riadiacich serverov.

Tajomný pôvod

Pôvod útočníkov zostáva záhadou. V niektorých vzorkách sa našla konfigurácia obsahujúca reťazec “La revedere” (t.j. dovidenia po rumunsky), ktorý označuje koniec C&C komunikácie. Výskumníci spoločnosti Kaspersky Lab navyše objavili ďalší reťazec „uspeshno“, ktorý je prepisom ruského slova “Успешно” (úspešne).

„Skupina Wild Neutron sa vyznačuje zručnosťou a rôznorodosťou. Je aktívna od roku 2011 a disponuje minimálne jednou doposiaľ neodhalenou zero-day zraniteľnosťou, vlastným modifikovaným malvérom a nástrojmi pre Windows a OS X. Napriek tomu, že v minulosti hackeri zaútočili na rôzne prominentné spoločnosti, vďaka dobrému zabezpečeniu zostávajú stále relatívne nenápadní. Zameranie skupiny na významné IT spoločnosti, vývojárov spyvéru (FlexiSPY), džihádistické fóra (anglické Ansar Al Mujahideen fórum) a bitcoinové spoločnosti naznačuje flexibilnú, ale zároveň nezvyčajnú povahu a záujmy,” uviedol Costin Raiu, šéf tímu analýz spoločnosti Kaspersky Lab.

Umiestnenie článku.