Internetni napadi Lurid na nekdanje sovjetske republike
Matej Huš
23. sep 2011 ob 22:01:53
V državah Skupnosti neodvisnih držav (del nekdanje Sovjetske zveze), Vietnamu, Mongoliji, Kitajski in Indiji so odkrili nov malware Lurid, ki je napadel več kot tisoč računalnikov v skupno 61 državah. Napadalci so merili predvsem na diplomatske misije, ministrstva, vesoljske agencije, raziskovalne ustanove in druge strateško pomembne institucije.
Najbolj prizadete države so Rusija, Kazahstan in Ukrajina. Vektor napada je bil Enfal (znan kot Lurid Downloader), ki je poznan že od leta 2006, a ni bil širše dostopen. Že v preteklosti so ga uporabljali za napade na vladne in nevladne organizacije, a naj bi bil novi napad s temi nepovezan. Gre za klasične napade APT (Advanced Persistent Threat), ko zaposlenim v organizaciji pošljejo okuženo elektronsko sporočilo. Kdor odpre priponko, odpre vrata zlobni kodi v sistem, ki si nato z njegovega računalnika začne utirati pot po sistemu. Pri tem mnogokrat sploh ne uporabljajo neprijavljenih (zero-day) ranljivosti, ampak se zadovoljijo s poznanimi, saj vsi računalniki niso nikoli zakrpani. Nove ranljivosti uporabijo šele za resnično dobro zavarovane tarče z vrednimi podatki.
Napad z Luridom je uporabljal znane ranljivosti v Adobe Readerju (iz leta 2009!) in RAR-datoteke z okuženimi ohranjevalniki zaslona. Ko so jih uporabniki zagnali, so se povezali z ameriškimi in britanskimi strežniki napadalcev za nadzor (C&C servers), jim poslali podatke o prisotnih mapah in nato Excelove datoteke (.XLS). Ni še znano, kdo stoji za napadi in katere podatke so pridobili. Tokrat nihče s prstom ne kaže na Kitajsko, saj je bila napadena tudi sama, ampak na ZDA, kjer stoji nekateri izmed C&C-strežnikov.