»

Žrtev napada običajni oznanitelj Kaspersky Lab

Slo-Tech - Običajno iz Kaspersky Laba poročajo o odkritih virusih, črvih in trojancih, ki jih te ali one obveščevalne službe uporabljajo proti drugim državam, podjetjem in organizacijam. To pot pa poročajo, da so bili tarča kar oni sami. Neznani napadalci, ki pišejo kodo, ki je sumljivo podobna izraelski kodi, so pred meseci vdrli v Kaspersky Lab. Škode za stranke k sreči ni, presenetljiva pa je dovršenost napada.

Za Stuxnet je sprejeto dejstvo, da so ga sestavili ameriški in izraelski obveščevalci z namenom sabotirati iranski jedrski program, pa je potem pobegnil v svet. Duqu, ki smo ga spoznali kmalu za tem, je najverjetneje plod izraelskih sil brez ameriške pomoči. Kos kode, ki je napade Kaspersky Lab, mu je tako podoben, da so ga...

7 komentarjev

Regin nov zelo dodelan vladni vohunski program

Slo-Tech - Na plano prihajajo podrobnosti o novem kosu škodljive programske opreme z imenom Regin, ki deluje zelo podobno kot Stuxnet, Flame, Duqu in drugi dovršeni vladni trojanci. Regin je bil aktiven vsaj od leta 2008, sodeč po kodi pa so ga pisali že leta 2003. V tem času je napadal najrazličnejše ustanove, od bolnišnic in raziskovalnih ustanov do vladnih agencij, podjetij in bank, ter kradel podatke, ki so mu prišli pod roko. Tuji mu niso bili niti zanimanja vedni posamezniki, tako da je napadel Jeana Jacquesa Quisquaterja. Loteval se je računalnikov z operacijskim sistemom Windows.

Regin je novi stuxnetovski generaciji škodljive programske opreme soroden po kakovosti in obsegu izdelave ter prikritih taktikah za zbiranje podatkov, zaradi...

54 komentarjev

Stuxnet obstajal že dve leti prej, novi dokazi o povezavi s Flamom

Ars Technica - Znameniti črv Stuxnet, ki so ga ameriško-izraelski obveščevalci razvili za napad na iransko jedrsko infrastrukturo, o čemer smo že obširno pisali, je bil v delu že vsaj dve leti prej, kot smo to verjeli doslej, odkriva Ars Technica. Raziskovalci so namreč nedavno odkrili predhodno neznano verzijo Stuxnet, ki ima delovno oznako Stuxnet 0.5 ter za približno dve leti prehiteva doslej znani Stuxnet (verzije 1.001, 1.100 in 1.101).

Stuxnet 0.5 so začeli pisati najkasneje novembra 2005, v divjino pa je bil izpuščen že novembra 2007. Ni sicer znano, koliko iranskih računalnikov je okužil in ali je povzročil kaj škode. Stuxnet 0.5 se od končne verzije programa kar precej razlikuje in prav te razlike razkrivajo nekatere nove informacije. Koda...

2 komentarja

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober!

Secure List - Raziskovalci iz Kaspersky Laba so v sodelovanju z ameriškimi, romunskimi in beloruskimi CERT-i odkrili še eno ogromno prisluškovalno operacijo, s katero so neznani napadalci kompromitirali več tisoč računalnikov v Aziji in Evropi ter pet let neopaženo in neovirano kradli občutljive dokumente. Napade so poimenovali Rdeči oktober in po do sedaj zbranih podatkih niso povezani s Stuxnetom, DuQujem, Flamom, Madijem ali Gaussom, so pa primerljivo ali celo bolj dovršeni.

Preiskava se je začela lanskega oktobra, ko so nekatere stranke Kaspersky Lab opozorile na nenavadno vedenje svojih sistemov in odtekanje podatkov. Rezultati preiskave kažejo znano zgodbo. Neznani napadalci so že od leta 2007 vdirali v...

74 komentarjev

Za napadom na Saudi Aramco bržčas Iran

The New York Times - Analiza napada na računalniške sisteme največjega svetovnega podjetja Saudi Aramco, ki se je zgodil 15. avgusta letos, razkriva verjetne vzroke, namene in storilce. Napad, ki je bil med najbolj uničujočimi med zabeleženimi, je bržkone izvedel Iran kot odgovor na Stuxnet, Flame in druge dovršene trojance, s katerimi sta jih napadala Izrael in ZDA.

Ni presenetljivo, da so za datum izbrali prav 15. avgusta, saj so muslimani letos tedaj obhajali praznik lejletu-l-kadr (27. noč ramadana) in ostali doma. Tistega dne je neznani storilec z dostopom do računalniškega sistema v Saudi Aramcu nanj priključil USB-ključ, ki je vseboval virus Shamoon. Ta se je bliskovito razširil po omrežju in se ob 11.08 uri sprožil. Povzročil je ogromno škode.

...

30 komentarjev

Kaspersky razvija varen sistem za zaščito pred napadi na SCADA-infrastrukturo

PC World - Eden izmed razlogov, da se je Stuxnet tako razširil in tako uspešno sabotiral iranske centrifuge, je tudi Siemensova krivda. Njihovi sistemi SCADA, ki krmilijo centrifuge (in še celo vrsto industrijskih sistemov po svetu), niso bili nikoli napisani z varnostjo na prvem mestu pri načrtovanju. Večina sistemov je pač od interneta odklopljena, Siemens pa je šel celo tako daleč, da je priporočal, da operaterji ne spreminjajo privzetih gesel, da se ne bi sistemi čudno obnašali. Stuxnet pa je vseeno prilezel na sisteme, večinoma prek USB-ključev.

Varnostno podjetje Kaspersky, ki je bilo tudi ena izmed gonilnih sil odkrivanja in raziskav Stuxneta, je napovedalo korenite spremembe. Lotili so...

1 komentar

Po Flamu miniFlame

threatpost - Doslej najobsežnejši znani vladni trojanec Flame, ki so ga pripravili posebej za vohunjenje v strateško pomembnih ustanovah in obratih, je zgrajen izrazito modularno. S tem se njegova velikost nekoliko prikrije, saj se prenaša po delih, hkrati pa ga je enostavneje mogoče prilagoditi napadom na posamezne tarče. Malce po odkritju Flama so raziskovalci našli kos zlobne programske opreme, ki se ga je prijelo ime miniFlame in za katerega je sprva kazalo, da je en njegov modul. Izkazalo se je, da to ne drži.

MiniFlame (znan tudi kot SPE) je zelo premeten kos programske opreme. Deluje lahko kot vključek (modul) v Flamu ali njegovem bratrancu Gaussu, sposoben pa je tudi povsem samostojnih operacij. Kot...

2 komentarja

Nov virus Shamoon napada energetsko infrastrukturo

Slo-Tech - Odkritja virusov, ki ne napadajo vse povprek, temveč imajo posebej določene tarče in naloge, se v zadnjem času kar vrstijo. Spoznali smo že Stuxnet, DuQu, Flame, Madi in Gauss, ki so vsi napadali bližnjevzhodne cilje, sedaj pa so raziskovalci odkrili še en primerek. Shamoon je napadel Saudsko Arabijo oziroma njihovo energijsko omrežje.

V sredo je njihovo državno naftno podjetje sporočilo, da je zaradi napada njihova računalniška mreža nedelujoča. Okuženi računalnik so kmalu odkrili in ga izolirali - šlo naj bi za virus, ki je okužil osebne računalnike v podjetju, infrastrukturna hrbtenica pa naj ne bi bila prizadeta. Dan pozneje so na internetu odkrili virus Shamoon, ki je prizadel vsaj eno podjetje v energetskem sektorju.

Gre za virus, ki je spet natančno umerjen in se še posebej rad loti infrastrukturnih sistemov. Zanimivo pa je, da...

4 komentarji

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Slo-Tech - Pretekli teden so v Kaspersky Labu javnost obvestili, da so odkrili še en zapleten kos zlonamerne programske opreme, ki ima zelo verjetno enako provenienco kakor Stuxnet in Flame. Poimenovali so ga Gauss in ugotovili, da so ga bržčas napisali isti ljudje kakor Flame in Stuxnet, čeprav zasleduje nekoliko drugačne cilje. Medtem ko je Stuxnet sabotiral iranski jedrski program po ameriškem naročilu, naročniki Flama uradno niso znani (so pa verjetno isti, ker ima en enak modul kakor Stuxnet). Flame je namenjen prisluškovanju, medtem ko Gaussov namen še ni znan. Nekaj modulov so že razvozlali in ugotovili, da so jih pisali isti ljudje kakor Flame, a glavni tovor ostaja neznanka. Znano pa je, da Gauss beleži prijavne podatke za elektronsko pošto, e-bančništvo, IM itd., kar je doslej pri vladnih trojancih nevideno. Razlogov utegne biti...

8 komentarjev

Madi napada bližnjevzhodne tarče

International Business Times - V zadnjem času postaja internetno vojskovanje z virusi in črvi, ki imajo nalogo pridobiti čim več informacij o sovražniku in po možnosti sabotirati njegovo kritično infrastrukturo, vedno bolj priljubljeno. Po Stuxnetu in letošnjem hitu poletja Flamu so v več bližnjevzhodnih državah zaznali novega nepridiprava z imenom Madi. O okužbah poročajo iz Izraela, Irana in Afganistana, tako da odpade teorija o izraelsko-ameriški navezi, ki je zakrivila Stuxnet in bržčas tudi Flame.

Tudi sicer je med Flamom in Madijem nekaj pomembnih razlik. Glavna med njimi je kompleksnost, saj se Madi s precej bolj znamenitim predhodnikom ne more niti primerjati. Tako ni jasno, ali je Madi delo kakšne vladne agencije, kot je bil Stuxnet in skoraj...

8 komentarjev

Računalniški napadi na iranski jedrski program se nadaljujejo

Iranski predsednik Mahmud Ahmadinedžad med aprilskim obiskom Natanca

Iranski predsednik Mahmud Ahmadinedžad med aprilskim obiskom Natanca

Reuters - Iranske oblasti so včeraj ponovno potožile, da je država zopet tarča mednarodnih internetnih napadov, s katerimi napadalci poizkušajo sabotirati njihov jedrski program. Iranski minister za obveščevalne dejavnosti Hejdar Moslehi je izjavil, da so tokrat napad skovali ZDA, Velika Britanija in Izrael, ki se že več trudijo Iranu povzročiti škodo - predlani s Stuxnetom, sedaj pa s Flamom. Flame je obsežnejši od Stuxneta, a si z njim deli nekaj kode, zato je domnevati, da je delo istih avtorjev.

Vse skupaj je seveda povezano z vrhom v Moskvi, kjer so se ta teden Iran in države P5+1 (ZDA, Kitajska, Rusija, Francija, Velika Britanija in Nemčija) dva dni intenzivno pogajali o iranskem jedrskem programu. Iran še vedno zavrača namige, da naj bi...

58 komentarjev

Flame izkoriščal Microsoftove certifikate

Ars Technica - Pred tednom dni smo pisali o novo odkritem kosu zlobne programske opreme z imenom Flame, ki vohuni še bolj zvito kakor Stuxnet. O obsežnosti in sofisticiranosti Flama pričajo njegova velikost, izrazita modularnost in taktike za izmikanje odkritju. Vodja razvoja v F-Securu Mikko Hypponen - ki je imel že lani julija še pred odkritjem Flama izjemno zanimivo predavanje o računalniški varnosti v okviru TED Talks - je nad dogodki zaskrbljen.

Kot pravi, so njegovo in ostala varnostna podjetja imela primerke kode, okužene s Flamom že najpozneje leta 2010 in verjetno že prej, a jih nihče ni analiziral. Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati. Podobno tudi Stuxneta več kot leto dni po izpustitvi v divjino interneta ni nihče opazil, ali pa manj znanega, a...

17 komentarjev

NYT: Stuxnet ameriško-izraelsko orožje, ki je ušlo

Iranski predsednik Mahmud Ahmadinedžad med aprilskim obiskom Natanca

Iranski predsednik Mahmud Ahmadinedžad med aprilskim obiskom Natanca

The New York Times - Ko so se leta 2010 na spletu razširila poročila o nenavadnem črvu Stuxnet, ki je z domala kirurško natančnostjo onemogočal iranski jedrski program, je sum hitro padel na ZDA in Izrael. Čeprav se je Stuxnet razširil po več državah na Bližnjem vzhodu, je bil skoncentriran predvsem v Iranu, in sicer v podzemeljski jedrski centrali za bogatenje urana Natanc. Analiza je pokazala, da je imel Stuxnet premeten cilj čim bolj neopazno sabotirati delovanja centrifug za bogatenje urana, kar je okrepilo sume o politični motiviranosti piscev. The New York Times danes ekskluzivno poroča, da sta za Stuxnet resnično odgovorna ZDA in Izrael.

Projekt naj bi se začel leta 2006, ko je administracija takratnega predsednika Georgea W. Busha razmišljala, kaj...

50 komentarjev

Flame stokrat kompleksnejši od Stuxneta

Secure List - Računalniški napadi postajajo vedno pogostejši in zdi se, da zamenjujejo klasično vojskovanje in vohunjenje. Najbolj razvpit primer zlonamerne kode v zadnjih letih je Stuxnet, ki je sabotiral iranske centrifuge za bogatenje urana, leto dni pozneje pa mu je sledil Duqu, ki je kradel občutljive podatke. Naslednjo fazo v tej tekmi predstavlja Flame, ki je po besedah strokovnjakov najobsežnejši in najkompleksnejši zlonamerni program za prisluškovanje in krajo informacij.

Flame je razširjen že od leta 2010, a je javnosti postal znan šele sedaj, ko so ga analizirali v Kaspersky Labu. Gre za obsežen in dovršen kos kode, ki...

42 komentarjev

Zaradi varnostnih pomislekov IBM zaposlenim prepovedal Siri

CNN - IBM zaposluje približno 400.000 ljudi in pri takšni množici ljudi organizirati IT-sistem in preprečiti uhajanje informacij ni mačji kašelj. Kako zelo je to težavno, je IBM spoznal po letu 2010, ko so uvedli politiko lastnih mobilnih naprav. To pomeni, da lahko zaposleni na delo nosijo in doma za delovne naloge uporabljajo lastne mobilne telefone in druge prenosne naprave. Čeprav IBM-u ni bilo treba kupiti teh naprav, niso privarčevali nič, saj je konfiguracija in vzdrževanja takšnega gozda naprav draga.

Vsak zaposleni mora svojo napravo pred odobritvijo prinesti v IT-oddelek, kjer mu jo...

8 komentarjev

Lani skoraj dvakratno povečanje števila internetnih napadov

Symantec - Symantec je izdal poročilo o varnosti na internetu za leto 2011, v katerem ugotavljajo zanimive trende. Število novoodkritih ranljivosti se zmanjšuje, a so nepridipravi po drugi strani toliko podjetnejši, da se skupno število napadov še vedno vzpenja. Spreminjajo pa se vektorji, saj zlasti spam izgublja svoj primat na rovaš družabnih omrežij.

Število napadov se je lani v primerjavi z letom pred tem povečalo kar za 81 odstotkov. Prav tako je zraslo število variant zlonamernih programov (malware), in sicer za 41 odstotkov. Čeprav se je njihovo število povečalo, pa izkoriščajo iste ali sorodne ranljivosti, saj je bilo lani odkritih za petino manj ranljivosti kakor leto poprej. Zmanjšala se je tudi količina poslanega...

0 komentarjev

Izpod Črnega Klobuka, 2. dan

Slo-Tech - V uvodnem predavanju je upokojeni general in direktor ameriške obveščevalne agencije CIA, Michael Hayden, nanizal nekaj misli o razliki med kiberprostorom in preostalimi "domenami" - zrakom, vodo, zemljo in vesoljem. "Napad na neko sovražno džihadsko spletno stran ima posledice tudi v fizičnem svetu," ugotavlja Hayden. "Če nismo previdni, lahko uničimo nekaj, kar se nahaja denimo v Bostonu." Posebno zanimiva pa je bila ideja, da bi se morale "zrele" svetovne velesile (denimo G20, nikakor pa ne ZN) dogovoriti za skupna pravila igre v kiberprostoru. Kot primer je navedel mednarodni "zakon", po katerem bi odgovornost za napade DDoS morale prevzeti države, iz katerih taki napadi prihajajo. Po predavanju ga je glede tega doletelo pomenljivo vprašanje iz publike: "torej lahko vsak 15-letnik v neki državi sproži mednarodni incident, če s svojim botnetom ohromi neko spletno stran druge države?" Hayden je priznal, da je vprašanje odgovornosti zelo vroča tema, vendar je ta drugotnega pomena...

Preberi več »

1 komentar

APT (Advanced Persistent Threats) napadi iz Kitajske

Wired News - Kot je znano, so pred časom kitajski vladni hekerji napadli Google, zaradi česar je slednji napovedal, da bo razmislil o umiku iz Kitajske. Da gre za resno zadevo, kaže tudi to, da je Googlu svojo pomoč pri preiskavi ponudila ameriška National Security Agency. Po mnenju Schneierja, je napad sicer omogočila zloraba nadzornih tehnologij, ki jih je na zahtevo ameriške vlade v svoje sisteme vgradil Google, omogočajo pa (stranski) dostop do GMail računov s strani pravosodnih organov in tajnih služb.

Vsekakor ne gre za osamljen incident, pač pa za serijo napadov na zahodna podjetja, ki jih je mogoče zaznavati že nekaj let. Pred kratkim so tako napadalci vdrli v tri znana ameriška naftna podjetja. Več o teh napadih je tokrat za Wired spregovoril Kevin Mandia, direktor podjetja, Mandiant, ki se ukvarja z digitalno forenziko. Podrobnejše poročilo o napadih je bilo pred kratkim predstavljeno na zaprti konferenci o informacijski varnosti.

Po njegovih besedah je tarča napada na tisoče...

Preberi več »

12 komentarjev

Nova grožnja: izdelava zlonamerne strojne opreme

Schneier.com - Združenje USENIX je 15. aprila letos organiziralo prvo delavnico LEET '08 (LEET je akronim za Large-Scale Exploits and Emergent Threats).

Na njej je bilo predstavljenih enajst prispevkov povezanih z informacijsko varnostjo, nagrado za najboljšega pa so prejeli Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang in Yuanyuan Zhou za delo z naslovom Designing and implementing malicious hardware.

Avtorji v članku najprej navajajo nekaj primerov zlonamerne ali okužene strojne opreme, npr. z virusom RavMonE okužene iPode leta 2006, Seagatove trde diske z "prednaloženimi" trojanci, leta 1982 s strani CIE modificirano programsko opremo za nadzor plinovodov, ki je onesposobila Sovjetske naftovode, ter modificirane pisalne stroje, ki jih je Sovjetska KGB podtaknila ameriški ambasadi v Moskvi ter tako lahko prestrezala vse, kar so Američani natipkali.

Ker pa na tem področju še ni bilo opravljenih dosti raziskav (z izjemo raziskave IBM-a, ki je razvil napravo za krajo...

Preberi več »

4 komentarji