» »

APT (Advanced Persistent Threats) napadi iz Kitajske

Wired News - Kot je znano, so pred časom kitajski vladni hekerji napadli Google, zaradi česar je slednji napovedal, da bo razmislil o umiku iz Kitajske. Da gre za resno zadevo, kaže tudi to, da je Googlu svojo pomoč pri preiskavi ponudila ameriška National Security Agency. Po mnenju Schneierja, je napad sicer omogočila zloraba nadzornih tehnologij, ki jih je na zahtevo ameriške vlade v svoje sisteme vgradil Google, omogočajo pa (stranski) dostop do GMail računov s strani pravosodnih organov in tajnih služb.

Vsekakor ne gre za osamljen incident, pač pa za serijo napadov na zahodna podjetja, ki jih je mogoče zaznavati že nekaj let. Pred kratkim so tako napadalci vdrli v tri znana ameriška naftna podjetja. Več o teh napadih je tokrat za Wired spregovoril Kevin Mandia, direktor podjetja, Mandiant, ki se ukvarja z digitalno forenziko. Podrobnejše poročilo o napadih je bilo pred kratkim predstavljeno na zaprti konferenci o informacijski varnosti.

Po njegovih besedah je tarča napada na tisoče podjetij, pri vseh napadih pa je opaziti enak vzorec. Napade so poimenovali Advanced Persistent Threats, Mandia pa poudarja, da protivirusna programska oprema APT napadov praviloma ne zazna (za kar uporabljajo različne spreminjevalce programske kode, tim. packers), napadalci pa uporabljajo tudi številne 0-day ranljivosti.

Cilj APT napadalcev je predvsem industrijska špijonaža, zato po napadu skušajo iz ugrabljenih računalnikov prekopirati čim več dokumentov nato pa svojo prisotnost v kompromitiranih sistemih prikriti in čim dlje časa tudi obdržati. Za razliko od njih imajo navadni napadalci - večinoma gre za kriminalne združbe, ki se ukvarjajo z goljufijami in on-line krajami - povsem drugačno taktiko, tim. vdri-in-zagrabi (ang. smash-and-grab) in jih zato po odkritem vdoru ni težko "odstraniti" iz omrežja. APT napadalci pa se obnašajo bistveno drugače.

Mandia navaja primer podjetja, kjer so enemu izmed direktorjev poslali phishing e-poštno sporočilo z okuženo URL povezavo. Ko je omenjeni direktor kliknil na povezavo, se je na njegov računalnik naložila zlonamerna programska koda, kmalu za tem pa so napadalci imeli administrativne privilegije na večini sistemov napadenega podjetja.

V drugem primeru so napadalci za vdor uporabili zlonamerno kodo, ki jo protivirusni programi niso poznali. Ko so se v podjetju nadgradile protivirusne definicije in je protivirusnik zlonamerno kodo blokiral, pa so preiskovalci ugotovili, da so napadalci v omrežje podjetja ponovno vdrli v manj kot treh urah.

Napadalci z okuženimi sistemi komunicirajo s pomočjo prikritih (in lastnih) protokolov, v nekaterih primerih zlonamerna koda vsebuje funkcije za samouničenje v primeru spodletelega napada, v nekaterih primerih pa se zlonamerna koda shrani samo v delovnem pomnilniku RAM in se ne zapiše na trdi disk, kar tudi otežuje digitalno forenzično analizo.

Mandia dodaja, da so tarče APT napadov vsa zahodna podjetja, ki poslujejo s Kitajsko ali pa imajo v lasti poslovne skrivnosti, ki bi utegnile zanimati Kitajsko.

In koliko slovenskih podjetij in vladnih ustanov je tarča APT napadov?

12 komentarjev

BaToCarx ::

Oh ne, terrorist so na internetu... hitro 3D internet skenerje... dejmo dejmo bolj transparantno "nategovanje" folka kot ga izvaja ZDA, ze dolgo ne.. Zbudte se preden bo prepozno.

Information warfare @ Wikipedia plus Black ops @ Wikipedia je enako tej novci.. NSA google in ZDA nej si kar mislijo da smo Idioti vsi skupaj, Slovenija je starejsa kot ZDA, pa se pusti nategovat tako? Jah bomo pac suznji leta 2012.

Zgodovina sprememb…

  • spremenil: BaToCarx ()

pux ::

model je kliknu na download kaksnega trojaca, zdej more pa NSA pomagat... omg.
You only lose what you cling to.
- Gautama Buddha

denial ::

Mandiantovo poročilo o APT: KLIK (subscription required)
SELECT finger FROM hand WHERE id=3;

_sem_ ::

Ameri se repenčijo, ker so Kitajci pristavili svoj lonček k NJIHOVEMU world-wide vohunskemu omrežju...
O tem kaj NSA šverca skozi vgrajena zadnja vrata pa nič, prav tako ne o gigantskem sesalniku informacij imenovanem Gugelj ;)

k4vz0024 ::

Če ima NSA in druge tajne službe ZDA odprta zadnja vrata do g-mail računov, potem so oni največji teroristi vseh časov.

jlpktnst ::

Z njihovimi lastnimi orožji jih koljejo.

Prav jim je. Itak so pa stranska vrata v programe prekleto nemoralna in v večini držav protiustavna reč.

BaToCarx ::

Kaj pa ce enostavo "Team Delta" lepo heka kitajcke in od tam naprej nazaj ZDA. Za "terror" effect? Tega pa niste pomislni? Vsak Pravi Heker vedno "bouca" svoj napad. Zdej me bo ena novicka pa prepricala da oni tega ze niso sposobni ne? oni = zda.
Ce prav pomnim je pred nekaj casa bil nek contest kjer so iskali "mlade talente" na tm podrocju prav z razlogom "cyber warfare", je to mogoce delo zmagovalcev? ;D

Destroyers ::

"In koliko slovenskih podjetij in vladnih ustanov je tarča APT napadov?"
Nič, ker pr nas ni neč vrednega :))
...They wanna build the prison!...

srus ::

Destroyers je izjavil:

"In koliko slovenskih podjetij in vladnih ustanov je tarča APT napadov?"
Nič, ker pr nas ni neč vrednega :))


Res? Pred leti so v našo hčerinsko firmo vlomili in odnesli hard diske samo s šefovskih desktopov. Verjetno je bilo na njih kaj toliko vrednega, da je upravičilo stroške in tveganje vloma.

Macketina ::

Destroyers je izjavil:

"In koliko slovenskih podjetij in vladnih ustanov je tarča APT napadov?"
Nič, ker pr nas ni neč vrednega :))


Se en ki misli, da v Sloveniji nic pametnega ne naredimo. IMO je kar nekaj podjetij, ki imajo informacije ki bi zanimale konkurente tudi v zahodni evropi...

Byla ::

Tak nacin za krajo, DDOS pa za klasicno povzrocanje poslovne skode.
www.thirdframestudios.com

Matthai ::

Zakaj bi z DDOSom privlačil pozornost?

Denial, mi lahko pošlješ report (če si se registriral)?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost
102653 (1622) BlueRunner
»

Odkrito veliko kitajsko kibervohunsko omrežje

Oddelek: Novice / Zasebnost
254557 (2463) morbo
»

Reverzni razvoj zlonamerne kode iz varnostne posodobitve

Oddelek: Novice / Varnost
102478 (1462) fiction
»

Nov napad na domača omrežja: Drive-By Pharming

Oddelek: Novice / Varnost
334054 (2690) Azrael
»

Kitajski vojaški hekerji napadajo ZDA?

Oddelek: Novice / Varnost
294813 (3391) Azrael

Več podobnih tem