V operaciji Shady RAT v zadnjih petih letih napadenih več deset organizacij
Matej Huš
3. avg 2011 ob 12:12:13
Dmitri Alperovitch iz McAfee Labs je objavil zanimivo poročilo o aktivnosti internetnih napadov na podjetja in organizacije v zadnjih petih letih. Ugotavlja, da so napadi, o katerih smo poročali v zadnjih mesecih (bodisi izolirani incidenti bodisi obsežni napadi, kot sta bila Aurora in Night Dragon) le vrh ledene gore. Sam deli podjetja na tista, ki so že bila napadena, in na tista, ki tega še ne vedo. Poročilo so z dobršno mero senzacionalizma ekskluzivno povzeli v Vanity Fairu, zato raje preberite zgoščeni in nepristranski izvirnik.
Alperovitch je analiziral dogajanje po letu 2006 in se omejil na napade, ki so bili izvršeni z enakim orodjem in verjetno pod taktirko istega izvajalca - poimenoval jih je operacija Shady RAT (rat pomeni podgana in je tudi kratica za Remote Access Tool, orodje za oddaljen dostop). Napadov je bilo leta 2006 še sorazmerno malo, saj je bilo na udaru le osem organizacij. Leto pozneje številka naraste na 29 in se ne ustavlja več, padec pa beležijo po letu 2009.
Uspeli so identificirati 72 napadenih organizacij, čeprav dnevniške datoteke jasno kažejo, da jih je bilo precej več. Večina jih je že zdavnaj počistila svoje sisteme, a to niti ni pomembno. Pomembne so ugotovitve.
Napadi so bili izvedeni na enak način - vsakokrat so zaposlenim v podjetju poslali elektronsko pošto z okuženo priponko in če jo je kdo odprl, se je zalega namestila na njegovem računalniku. Tako so imeli napadalci oporišče za pridobitev večjih privilegijev in nadaljnje rovarjenje po strežnikih. Napadali so raznovrstne organizacije - od industrije, do olimpijskih komitejev in Združenih narodov. Tarče so bile v ZDA, Nemčiji, Južni Koreji, Kitajski, Japonski in drugod. Najkrajši čas ranljivost je bil en mesec, najdaljši pa 28 mesecev, kolikor je bil kompromitiran olimpijski komite neke azijske države.