Secure List - Raziskovalci iz Kaspersky Laba so v sodelovanju z ameriškimi, romunskimi in beloruskimi CERT-i odkrili še eno ogromno prisluškovalno operacijo, s katero so neznani napadalci kompromitirali več tisoč računalnikov v Aziji in Evropi ter pet let neopaženo in neovirano kradli občutljive dokumente. Napade so poimenovali Rdeči oktober in po do sedaj zbranih podatkih niso povezani s Stuxnetom, DuQujem, Flamom, Madijem ali Gaussom, so pa primerljivo ali celo bolj dovršeni.
Preiskava se je začela lanskega oktobra, ko so nekatere stranke Kaspersky Lab opozorile na nenavadno vedenje svojih sistemov in odtekanje podatkov. Rezultati preiskave kažejo znano zgodbo. Neznani napadalci so že od leta 2007 vdirali v strateško pomembne sisteme, kar so počeli z uporabo APT. Dostop do sistemov so pridobili tako, da so zaposlenim poslali elektronsko sporočilo, ki je vsebovalo okuženo priponko. Teh je bilo več, vsaka pa je izrabila eno izmed treh sedaj že znanih ranljivosti (CVE-2009-3120, CVE-2010-3333 ali CVE-2012-0158). Pri tem so bili zelo precizni, saj je vsaka organizacija dobila posebej prilagojeno pošto, tako da je bilo kar največ verjetnost, da jo bo kdo izmed zaposlenih odprl, zlonamerni program pa je bil nadaljnje opremljen z identifikacijsko številko in posebej prilagojen za sistem v napadu. Lotevali so se osmih področij: vlada, diplomatska predstavništva, raziskovalne inštitucije, mednarodna trgovina, jedrski objekti, plinovodi in rafinerije (energetika), vojska in letalska industrija.
Napadi so bili zgoščeni na področju nekdanje Svojetske zveze, zahodne Azije in vzhodne Evrope, posamezni primerki pa so se našli tudi drugod v Evropi in v Severni Ameriki. Najbolj prizadete države so Rusija, Kazahstan, Azerbejdžan, Belgija, Indija, Afganistan, Armenija in Iran. Po podatkih Kaspersky Lab prijavljenih incidentov v Sloveniji ni bilo.
Ni znano, kdo stoji za Rdečim oktobrom. Analiza kode kaže, da so ranljivosti pripravili kitajski hekerji, zlonamerne module (payload) pa rusko govoreči programerji. Rdeči oktober si namreč izbere kodno tabelo, ki omogoča prikaz ciriličnih znakov. Napadalci so kradli praktično vse datoteke s končnicami, ki bi lahko nakazovale, da gre za dokumente ali sporočila. Rdeči oktober je z njimi komuniciral prek več sto posredniških strežnikov, večinoma v Nemčiji in Rusiji, ki so zakrivali lokacijo resničnih krmilno-nadzornih strežnikov (C&C).
Rdeči oktober deluje podobno in ima podobne namene kakor Flame. Ima zelo dovršeno kodo, ki mu je pet let omogočala neodkrito delovanje, in je hkrati specializiran za vsako napadeno organizacijo posebej. Ni indicev, da bi šlo za vladni projekt (kakor sta Flame ali Stuxnet) ali da bi bil z ostalimi črvi kakorkoli v sorodu; tudi avtorji so po kodi sodeč drugi. V tem pogledu se tudi razlikuje od kitajskih napadov Aurora, ki so bili dosti manj ciljani. Rdeči oktober se je organizacij loteval s kirurško natančnostjo.
Kaj pametnega se ob teh podatki ne da skleniti. Vedno bolj spoznavamo, da nas protivirusnih programi lahko zaščitijo pred navadno nesnago. Namensko napisana zlonamerna programska oprema, ki ne povzroča škode, ampak se trudi ostati neopažena, da bi čim dlje mogla krasti podatke, je precej trši oreh. Če jo napišejo veliki strokovnjaki ali gre celo za vladne projekte, smo praktično popolnoma nemočni. Edino, kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.
V novici piše, da je škodljiva koda uporabljala danes že znane ranljivosti. Torej, če si redno posodabljal programsko opremo, bi moral biti danes računalnik imun na to kodo? Predvidevam, da so že zakrpali varnostne luknje.
A wise man once said: "I don’t use the term APT because these attacks are typically based on old, well understood tactics and technologies, they aren’t really advanced."
So true. Tudi v tem primeru ni nič drugače (beri APT = spear phishing + known exploits).
Edino kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.
Disable JS v Word/Excel/PDF, disable JS/Java v brskalniku (NoScript), EMET... pa da vidimo APT, ki je temu kos. Aja, pa AV-ja tud ne rabiš.
@gregor_m Sploh ni fora ali so zakrpal al ne, ker bi spear phishing lahko vseboval tud 0-day exploit (kar se pogosto dogaja). Fora je, da bi exploit nujno uporabljal eno od znanih metod izkoriščanja (heap spray, ROP, SEH overwrite...) kar pa se lahko prepreči. Simple as that.
Problem je v temu, da je security++ nujno usability-- But in the end, it's only the matter of priorities.
A wise man once said: "I don’t use the term APT because these attacks are typically based on old, well understood tactics and technologies, they aren’t really advanced."
So true. Tudi v tem primeru ni nič drugače (beri APT = spear phishing + known exploits).
Edino kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.
Disable JS v Word/Excel/PDF, disable JS/Java v brskalniku (NoScript), EMET... pa da vidimo APT, ki je temu kos. Aja, pa AV-ja tud ne rabiš.
Program so pisali stručkoti, ki jim ti še do kolen ne sežeš (vključno z mano). Ampak razlika med nama je, da ti pametuješ nekaj na pamet. Če bi bil ti (tvoj računalnik) dovolj zanimiv za napade, lahko ti onemogočiš, kar želiš, pa to napadalcev ne bi ustavilo. 3x pa lahko ugibaš kdo bi, nazadnje, potegnil kratko ;)
Kolikor jaz razumem članek, so izrabljali ranljivosti, ki takrat širši javnosti niso bile še znane (linki imajo datume 2009, 2010 in 2012). Torej si lahko pred tem updatal kolikor si hotel, pa ti ni nič pomagalo.
@Firesnake Kako pa veš, da je to kar sem napisal zraslo na mojem zeljniku in ni zgolj mnenje stručkotov, ki jim ti še do kolen ne sežeš?
Se strinjam da bo determiniran napadalec na takšen ali drugačen način prišel do tvojih potadkov. V končni fazi ti lahko postavi pištolo na čelo in zahteva tvoj PC. Ampak v primeru advanced targeted napadov gre za spear phishing + 0-day. Exploitanje treh bugov, ki jih uporablja rdeči oktober preprečujejo prej navedeni načini. Kako advanced/stealth je post-exploitation koda je sekundarnega pomena (check law #1).
Zanima me koliko je teh lukenj namensko narejenih za ameriške obveščevalne službe in koliko so jih ti prisluškovalci odkrili in jih prav tako zlorabili v svoje namene?
ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?
ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?
Proti človeški neumnosti ne rase nobena zel (ali AV, firewall...). Kar se pa tiče posodobitev pa, kot rečeno: izkoriščali so luknje, za katere niti Microsoft (Adobe, Oracle,...) niso vedeli da obstajajo. Posledično seveda ni bilo popravkov za njih.
ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?
Tako da klikneš na web link ali zaženeš priponko. Eskalacija pravic na windows mašinah pa ni neka huda umetnost.
Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača razvijat exploitov za marginalen trg 2% workstationov. Se je tudi Apple gladko opekel, no linux se verjetno ne bo, ker mu ne bo uspelo splezati ven iz teh dveh %. Če greš uporabljati pa Oberon OS potem si pa 100% varen.
ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?
Tako da klikneš na web link ali zaženeš priponko. Eskalacija pravic na windows mašinah pa ni neka huda umetnost.
Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno majhni na trgu).
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Sicer ti ni dal resnega odgovora ampak dva butasta stereotipa, ki ne držita. Tule imaš bazo raznih exploitov pa sam presodi (čez 1500 exploitov): http://www.exploit-db.com/platform/?p=l...
Saj ne da jih je za windows 10x več :D
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Kot da ti ne bi bilo že 100× povedano, da se ga seveda bolj splača exploitat, ker je root na serverju več vreden, kot pa na klientu.
Ma nemoj, zakaj že?
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača razvijat exploitov za marginalen trg 2% workstationov. .
Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno majhni na trgu).
Sori, k smo brain dead, ampak ta dva stavka sta v kickbox ringu. Vglavnem, se tepeta! Kaj zdaj, je trg marginalno majhen ali ni?
'For most of history, Anonymous was a woman.' Virginia Woolf
Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača razvijat exploitov za marginalen trg 2% workstationov. Se je tudi Apple gladko opekel, no linux se verjetno ne bo, ker mu ne bo uspelo splezati ven iz teh dveh %. Če greš uporabljati pa Oberon OS potem si pa 100% varen.
ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?
Tako da klikneš na web link ali zaženeš priponko. Eskalacija pravic na windows mašinah pa ni neka huda umetnost.
Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno majhni na trgu).
Popolnoma si zgrešil bistvo.
Če je meni do varnost mojih podatkov potem bom zbral najbolj varen sistem. Če ima majhen trg, potem še toliko boljše. Sistem bojo urejali profesionaleci in (l)userji ne bojo imeli nobenih sistemskih pravic. Če je sistem kritičen potem se bo delal review open source kode.
Če je meni do varnost mojih podatkov potem bom zbral najbolj varen sistem. Če ima majhen trg, potem še toliko boljše. Sistem bojo urejali profesionaleci in (l)userji ne bojo imeli nobenih sistemskih pravic. Če je sistem kritičen potem se bo delal review open source kode.
Definiraj varen sistem? Kar se mene tiče je linux enako sranje kot windows kakor tudi enako varen, ko ga dobi v roke nekdo, ki ve kaj dela. Alergičen sem na by default varnost, ki jo propagirajo razni droni, ko pa se sistem razširi se izkaže, da je to eno veliko marketinško nakladanje, še enkrat bom apple omenil, ki je identičen primer kot linux: fani radi zelo naglas blebetajo (sploh ko je cel sistem znešen skupaj iz vseh vetrov in dejansko niti konfiguracije niso sposobni poenotit bodo pa overall system securty... ne me smejat).
Sicer pa ja... pegasus... openbsd absolutno.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Ko ga bo Windows nehal uporabljat se lahko spet začnemo pogovarjat.
BS. Uporabljati ga lahko nehaš naslednjo sekundo ko ga nočeš več.
'othing said
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Zakaj bi se zezal, vzameš bsd in jail... resourcov bo manj kuril.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Da ja? Mi razložiš kako uporabljat domeno brez netbios protokola?
Kako pa linux? :D
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Kaj pa MS Office? Tukaj ni samo "Windows problem".
..list of sample attachment filenames that were sent to some of the victims:: Katyn_-_opinia_Rosjan.xls FIEO contacts update.xls spisok sotrudnikov.xls List of shahids.xls Spravochnik.xls Telephone.xls BMAC Attache List - At 11 Oct_v1[1].XLS MERCOSUR_Imports.xls Cópia de guia de telefonos (2).xls Programme de fetes 2011.xls 12 05 2011 updated.xls telefonebi.xls
Kaj pa MS Office? Tukaj ni samo "Windows problem".
Kaj pa sendmail? Firefox? Kaj pa MS Office, ki laufa v Winu?
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
Leta 2006: "Assuming you're safe from viruses and other malware just because you are on a non-Windows platform is a big mistake, as the number of Linux-based malware doubled in 2005, and Mac OS X is next to get hit, according to a report from Kaspersky Labs." (http://www.internetnews.com/dev-news/ar...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
