SG.hu
Japán ipari célpontokat támad egy kínai kémszoftver
A Blue Termite kiberkémkedési kampány cégek százait célozta meg legalább két éven keresztül Japánban. A támadók bizalmas információkra vadásznak, egy nulladik napi Flash Player sérülékenységet kihasználó kódot és egy fejlett hátsó ajtó programot használva a támadásokhoz. Ez az első olyan, a Kaspersky Lab által ismert kampány, amely kifejezetten japán célpontokra fókuszál - és még mindig aktív.
2014 októberében találkoztak először a Kaspersky Lab kutatói ezzel a soha nem látott programkártevővel, amely a komplexitása miatt kitűnt a többi közül. További elemzések kimutatták, hogy ez a malware csak egy kis részét képezi egy hatalmas és kifinomult kiberkémkedési eszközkészletnek. A megcélzott iparágak közé tartoznak a kormányzati szervezetek, valamint a nehézipari, pénzügyi, média, vegyipari, műholdas, egészségügyi, élelmiszeripari és oktatási cégek. Sokrétű fertőzési technikák
Áldozataik megfertőzése érdekében, a Blue Termite működtetői többféle módszert alkalmaznak. 2015 júliusa előtt a legtöbbször célzott adathalász e-maileket használtak, amelyek melléklete rosszindulatú szoftvert tartalmazott. Júliusban azonban az operátorok megváltoztatták a taktikájukat és elkezdték a rosszindulatú szoftvert egy nulladik napi Flash sérülékenység (CVE-2015-5119, melynek kihasználó kódja a Hacking Teamet ért incidens révén szivárgott ki a nyár elején) kihasználásával terjeszteni. A támadók több japán weboldalt törtek fel, amelyek látogatói automatikusan letöltötték a vírust, és megfertőződtek. Ezt a módszert nevezik drive-by-downloads technikának.
A nulladik napi kihasználás alkalmazása jelentősen növelte a fertőzési arányt július közepén a Kaspersky Lab felderítő rendszereinek statisztikája szerint. Továbbá az egyik feltört webhely a japán kormány egyik prominens tagjához tartozott, míg egy másik olyan rosszindulatú parancsfájlokat tartalmazott, amelyek kiszűrik a látogatókat az összes IP címről, és csak egy bizonyos japán szervezettől érkezőket engedik be. Más szóval, csak a kiválasztott felhasználók kapják meg a programkártevőt.
A sikeres megfertőzés után egy fejlett hátsó ajtót telepítettek a megcélzott gépre. A hátsó ajtó lehetőséget ad jelszavak ellopására, további programkártevők letöltésére és futtatására, fájlok feltöltésére stb. Érdekessége a Blue Termite által használt rosszindulatú programoknak, hogy minden egyes áldozat egyedi programkártevőt kap, amely úgy van elkészítve, hogy csakis azon a gépen lehessen elindítani, amelyet a Blue Termine operátora megcélzott. A Kaspersky Lab kutatói szerint ennek az oka, hogy a biztonsági szakértők számára nehezebbé váljon a rosszindulatú program leleplezése és analizálása.
Az, hogy ki áll e támadássorozat mögött, még mindig tisztázatlan. Mint mindig, a fejlett kibertámadások mögött álló személyek azonosítása a legnehezebb feladat. A Kaspersky Lab kutatói azonban képesek voltak összegyűjteni néhány nyelvi bizonyítékot. A parancs és vezérlő szerver grafikus felhasználói felülete és néhány dokumentum, amely a Blue Termite rosszindulatú programjaihoz tartozik, kínai nyelven íródtak.
“Habár a Blue Termite nem az első olyan kiberkémkedési kampány, amely Japánt célozza meg, ez az első olyan, a Kaspersky Lab által ismert akciósorozat, amely kizárólag a japán szervezeteket támadja meg. Japánban ez még mindig komoly problémát jelent. Június eleje óta, amikor kibertámadás érte a Japán Nyugdíjhivatalt számos japán szervezet védelmi intézkedésekhez folyamodott. Azonban a Blue Termite támadói erre válaszul új módszereket kezdtek el sikeresen alkalmazni," - nyilatkozta Suguru Ishimaru, a Kaspersky Lab kutatója.
2014 októberében találkoztak először a Kaspersky Lab kutatói ezzel a soha nem látott programkártevővel, amely a komplexitása miatt kitűnt a többi közül. További elemzések kimutatták, hogy ez a malware csak egy kis részét képezi egy hatalmas és kifinomult kiberkémkedési eszközkészletnek. A megcélzott iparágak közé tartoznak a kormányzati szervezetek, valamint a nehézipari, pénzügyi, média, vegyipari, műholdas, egészségügyi, élelmiszeripari és oktatási cégek. Sokrétű fertőzési technikák
Áldozataik megfertőzése érdekében, a Blue Termite működtetői többféle módszert alkalmaznak. 2015 júliusa előtt a legtöbbször célzott adathalász e-maileket használtak, amelyek melléklete rosszindulatú szoftvert tartalmazott. Júliusban azonban az operátorok megváltoztatták a taktikájukat és elkezdték a rosszindulatú szoftvert egy nulladik napi Flash sérülékenység (CVE-2015-5119, melynek kihasználó kódja a Hacking Teamet ért incidens révén szivárgott ki a nyár elején) kihasználásával terjeszteni. A támadók több japán weboldalt törtek fel, amelyek látogatói automatikusan letöltötték a vírust, és megfertőződtek. Ezt a módszert nevezik drive-by-downloads technikának.
A nulladik napi kihasználás alkalmazása jelentősen növelte a fertőzési arányt július közepén a Kaspersky Lab felderítő rendszereinek statisztikája szerint. Továbbá az egyik feltört webhely a japán kormány egyik prominens tagjához tartozott, míg egy másik olyan rosszindulatú parancsfájlokat tartalmazott, amelyek kiszűrik a látogatókat az összes IP címről, és csak egy bizonyos japán szervezettől érkezőket engedik be. Más szóval, csak a kiválasztott felhasználók kapják meg a programkártevőt.
A sikeres megfertőzés után egy fejlett hátsó ajtót telepítettek a megcélzott gépre. A hátsó ajtó lehetőséget ad jelszavak ellopására, további programkártevők letöltésére és futtatására, fájlok feltöltésére stb. Érdekessége a Blue Termite által használt rosszindulatú programoknak, hogy minden egyes áldozat egyedi programkártevőt kap, amely úgy van elkészítve, hogy csakis azon a gépen lehessen elindítani, amelyet a Blue Termine operátora megcélzott. A Kaspersky Lab kutatói szerint ennek az oka, hogy a biztonsági szakértők számára nehezebbé váljon a rosszindulatú program leleplezése és analizálása.
Az, hogy ki áll e támadássorozat mögött, még mindig tisztázatlan. Mint mindig, a fejlett kibertámadások mögött álló személyek azonosítása a legnehezebb feladat. A Kaspersky Lab kutatói azonban képesek voltak összegyűjteni néhány nyelvi bizonyítékot. A parancs és vezérlő szerver grafikus felhasználói felülete és néhány dokumentum, amely a Blue Termite rosszindulatú programjaihoz tartozik, kínai nyelven íródtak.
“Habár a Blue Termite nem az első olyan kiberkémkedési kampány, amely Japánt célozza meg, ez az első olyan, a Kaspersky Lab által ismert akciósorozat, amely kizárólag a japán szervezeteket támadja meg. Japánban ez még mindig komoly problémát jelent. Június eleje óta, amikor kibertámadás érte a Japán Nyugdíjhivatalt számos japán szervezet védelmi intézkedésekhez folyamodott. Azonban a Blue Termite támadói erre válaszul új módszereket kezdtek el sikeresen alkalmazni," - nyilatkozta Suguru Ishimaru, a Kaspersky Lab kutatója.