SG.hu
Kínai kiberkémekre figyelmeztet a Symantec
A komoly erőforrásokkal rendelkező csoport közel három éve támadja
a kritikus területein működő vállalkozásokat Európa- és világszerte.
Az év elején nagyszabású kibertámadás áldozatává vált Amerika második legnagyobb egészségbiztosítási szolgáltatója, amelynek során 80 millió ügyfél adatai kerültek illetéktelen kezekbe. A Symantec szakértői szerint a támadást egy komoly forrásokkal rendelkező kiberkémkedéssel foglalkozó csoport, a Black Vine követte el. A cég elemzése azt mutatja, hogy a feltehetően kínai háttérrel rendelkező Black Vine csoport már közel három éve támad egészségügyi, űripari és légi közlekedéssel foglalkozó vállalatokat világszerte.
A csoport leginkább zero-day típusú támadásokat alkalmaz a Symantec által azonosított - és más csoportok által is használt - Elderwood rendszeren keresztül. A Black Vine olyan legitim weboldalakat fertőz meg támadásai során, amelyek érdekesek lehetnek a célszemélyek számára, illetve watering-hole támadások keretében technológiai témájú adathalász e-mailek segítségével próbálják a feltört weboldalakra irányítani a felhasználókat.
A sikeres támadások esetében a Black Vine egyedileg fejlesztett rosszindulatú programjai távoli hozzáférést biztosítanak a felhasználó számítógépéhez. A Hurix és a Sakurel (mindkettő Trojan.Sakurel néven ismerhető fel), valamint a Mivast (Backdoor.Mivast néven ismerhető fel) kártevők egy hátsó ajtó (backdoor) nyitásával segítik az értékes adatok ellopását az áldozatok számítógépeiről. A programok ezen kívül fájlok létrehozását és parancsok végrehajtását, illetve a regisztrációs kulcsok törlését, módosítását és létrehozását is lehetővé teszik.
Az IP-címek elemzése során a Symantec szakemberei számos országban azonosították a Black Vine csoport áldozatait. Ezek közül kiemelkedik az Egyesült Államok, amelyet Kína, Kanada és India követ. A csoport európai vállalatok ellen is intézett támadásokat, leginkább Olaszországban és Dániában. A Black Vine által leginkább támadott iparágak a repülés és az egészségügy, az energiaipar (főként gáz és villamos turbinagyártók), illetve a katonai és védelmi ipar.
Közleményük szerint a Black Vine egy félelmetes, komoly forrásokkal rendelkező csoport, amely minden szükséges felszereléssel rendelkezik a kibertámadások, ipari kémkedések sikeres végrehajtásához. Egy blogbejegyzés szerint az amerikai egészségbiztosító elleni támadáshoz használt infrastruktúra nagy valószínűséggel kínai eredetű. A támadások és a szabadon hozzáférhető adatok elemzése során a Symantec szakemberei kapcsolatot találtak a Black Vine és egy pekingi IT biztonsági szervezet, a Topsec között. A gyanút erősíti, hogy a csoport más kiberkémkedéssel összefüggésbe hozható szereplővel is kapcsolatban áll, erős anyagi háttérrel rendelkezik, jól szervezett, és legalább néhány tagjának volt vagy jelenleg is van valamilyen kapcsolata a Topsec szervezettel.
Az év elején nagyszabású kibertámadás áldozatává vált Amerika második legnagyobb egészségbiztosítási szolgáltatója, amelynek során 80 millió ügyfél adatai kerültek illetéktelen kezekbe. A Symantec szakértői szerint a támadást egy komoly forrásokkal rendelkező kiberkémkedéssel foglalkozó csoport, a Black Vine követte el. A cég elemzése azt mutatja, hogy a feltehetően kínai háttérrel rendelkező Black Vine csoport már közel három éve támad egészségügyi, űripari és légi közlekedéssel foglalkozó vállalatokat világszerte.
A csoport leginkább zero-day típusú támadásokat alkalmaz a Symantec által azonosított - és más csoportok által is használt - Elderwood rendszeren keresztül. A Black Vine olyan legitim weboldalakat fertőz meg támadásai során, amelyek érdekesek lehetnek a célszemélyek számára, illetve watering-hole támadások keretében technológiai témájú adathalász e-mailek segítségével próbálják a feltört weboldalakra irányítani a felhasználókat.
A sikeres támadások esetében a Black Vine egyedileg fejlesztett rosszindulatú programjai távoli hozzáférést biztosítanak a felhasználó számítógépéhez. A Hurix és a Sakurel (mindkettő Trojan.Sakurel néven ismerhető fel), valamint a Mivast (Backdoor.Mivast néven ismerhető fel) kártevők egy hátsó ajtó (backdoor) nyitásával segítik az értékes adatok ellopását az áldozatok számítógépeiről. A programok ezen kívül fájlok létrehozását és parancsok végrehajtását, illetve a regisztrációs kulcsok törlését, módosítását és létrehozását is lehetővé teszik.
Az IP-címek elemzése során a Symantec szakemberei számos országban azonosították a Black Vine csoport áldozatait. Ezek közül kiemelkedik az Egyesült Államok, amelyet Kína, Kanada és India követ. A csoport európai vállalatok ellen is intézett támadásokat, leginkább Olaszországban és Dániában. A Black Vine által leginkább támadott iparágak a repülés és az egészségügy, az energiaipar (főként gáz és villamos turbinagyártók), illetve a katonai és védelmi ipar.
Közleményük szerint a Black Vine egy félelmetes, komoly forrásokkal rendelkező csoport, amely minden szükséges felszereléssel rendelkezik a kibertámadások, ipari kémkedések sikeres végrehajtásához. Egy blogbejegyzés szerint az amerikai egészségbiztosító elleni támadáshoz használt infrastruktúra nagy valószínűséggel kínai eredetű. A támadások és a szabadon hozzáférhető adatok elemzése során a Symantec szakemberei kapcsolatot találtak a Black Vine és egy pekingi IT biztonsági szervezet, a Topsec között. A gyanút erősíti, hogy a csoport más kiberkémkedéssel összefüggésbe hozható szereplővel is kapcsolatban áll, erős anyagi háttérrel rendelkezik, jól szervezett, és legalább néhány tagjának volt vagy jelenleg is van valamilyen kapcsolata a Topsec szervezettel.