» »

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober!

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober!

Secure List - Raziskovalci iz Kaspersky Laba so v sodelovanju z ameriškimi, romunskimi in beloruskimi CERT-i odkrili še eno ogromno prisluškovalno operacijo, s katero so neznani napadalci kompromitirali več tisoč računalnikov v Aziji in Evropi ter pet let neopaženo in neovirano kradli občutljive dokumente. Napade so poimenovali Rdeči oktober in po do sedaj zbranih podatkih niso povezani s Stuxnetom, DuQujem, Flamom, Madijem ali Gaussom, so pa primerljivo ali celo bolj dovršeni.

Preiskava se je začela lanskega oktobra, ko so nekatere stranke Kaspersky Lab opozorile na nenavadno vedenje svojih sistemov in odtekanje podatkov. Rezultati preiskave kažejo znano zgodbo. Neznani napadalci so že od leta 2007 vdirali v strateško pomembne sisteme, kar so počeli z uporabo APT. Dostop do sistemov so pridobili tako, da so zaposlenim poslali elektronsko sporočilo, ki je vsebovalo okuženo priponko. Teh je bilo več, vsaka pa je izrabila eno izmed treh sedaj že znanih ranljivosti (CVE-2009-3120, CVE-2010-3333 ali CVE-2012-0158). Pri tem so bili zelo precizni, saj je vsaka organizacija dobila posebej prilagojeno pošto, tako da je bilo kar največ verjetnost, da jo bo kdo izmed zaposlenih odprl, zlonamerni program pa je bil nadaljnje opremljen z identifikacijsko številko in posebej prilagojen za sistem v napadu. Lotevali so se osmih področij: vlada, diplomatska predstavništva, raziskovalne inštitucije, mednarodna trgovina, jedrski objekti, plinovodi in rafinerije (energetika), vojska in letalska industrija.

Napadi so bili zgoščeni na področju nekdanje Svojetske zveze, zahodne Azije in vzhodne Evrope, posamezni primerki pa so se našli tudi drugod v Evropi in v Severni Ameriki. Najbolj prizadete države so Rusija, Kazahstan, Azerbejdžan, Belgija, Indija, Afganistan, Armenija in Iran. Po podatkih Kaspersky Lab prijavljenih incidentov v Sloveniji ni bilo.

Ni znano, kdo stoji za Rdečim oktobrom. Analiza kode kaže, da so ranljivosti pripravili kitajski hekerji, zlonamerne module (payload) pa rusko govoreči programerji. Rdeči oktober si namreč izbere kodno tabelo, ki omogoča prikaz ciriličnih znakov. Napadalci so kradli praktično vse datoteke s končnicami, ki bi lahko nakazovale, da gre za dokumente ali sporočila. Rdeči oktober je z njimi komuniciral prek več sto posredniških strežnikov, večinoma v Nemčiji in Rusiji, ki so zakrivali lokacijo resničnih krmilno-nadzornih strežnikov (C&C).

Rdeči oktober deluje podobno in ima podobne namene kakor Flame. Ima zelo dovršeno kodo, ki mu je pet let omogočala neodkrito delovanje, in je hkrati specializiran za vsako napadeno organizacijo posebej. Ni indicev, da bi šlo za vladni projekt (kakor sta Flame ali Stuxnet) ali da bi bil z ostalimi črvi kakorkoli v sorodu; tudi avtorji so po kodi sodeč drugi. V tem pogledu se tudi razlikuje od kitajskih napadov Aurora, ki so bili dosti manj ciljani. Rdeči oktober se je organizacij loteval s kirurško natančnostjo.

Kaj pametnega se ob teh podatki ne da skleniti. Vedno bolj spoznavamo, da nas protivirusnih programi lahko zaščitijo pred navadno nesnago. Namensko napisana zlonamerna programska oprema, ki ne povzroča škode, ampak se trudi ostati neopažena, da bi čim dlje mogla krasti podatke, je precej trši oreh. Če jo napišejo veliki strokovnjaki ali gre celo za vladne projekte, smo praktično popolnoma nemočni. Edino, kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.

74 komentarjev

«
1
2

gregor_m ::

V novici piše, da je škodljiva koda uporabljala danes že znane ranljivosti. Torej, če si redno posodabljal programsko opremo, bi moral biti danes računalnik imun na to kodo? Predvidevam, da so že zakrpali varnostne luknje.

denial ::

A wise man once said: "I don’t use the term APT because these attacks are typically based on old, well understood tactics and technologies, they aren’t really advanced."

So true. Tudi v tem primeru ni nič drugače (beri APT = spear phishing + known exploits).

Edino kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.
Disable JS v Word/Excel/PDF, disable JS/Java v brskalniku (NoScript), EMET... pa da vidimo APT, ki je temu kos. Aja, pa AV-ja tud ne rabiš.
SELECT finger FROM hand WHERE id=3;

denial ::

@gregor_m
Sploh ni fora ali so zakrpal al ne, ker bi spear phishing lahko vseboval tud 0-day exploit (kar se pogosto dogaja). Fora je, da bi exploit nujno uporabljal eno od znanih metod izkoriščanja (heap spray, ROP, SEH overwrite...) kar pa se lahko prepreči. Simple as that.

Problem je v temu, da je security++ nujno usability-- But in the end, it's only the matter of priorities.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

cryptozaver ::

"Po podatkih Kaspersky Lab prijavljenih incidentov v Sloveniji ni bilo."

Kar pa ne pomeni da jih ni bilo ;((

FireSnake ::

denial je izjavil:

A wise man once said: "I don’t use the term APT because these attacks are typically based on old, well understood tactics and technologies, they aren’t really advanced."

So true. Tudi v tem primeru ni nič drugače (beri APT = spear phishing + known exploits).

Edino kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.
Disable JS v Word/Excel/PDF, disable JS/Java v brskalniku (NoScript), EMET... pa da vidimo APT, ki je temu kos. Aja, pa AV-ja tud ne rabiš.


Program so pisali stručkoti, ki jim ti še do kolen ne sežeš (vključno z mano). Ampak razlika med nama je, da ti pametuješ nekaj na pamet.
Če bi bil ti (tvoj računalnik) dovolj zanimiv za napade, lahko ti onemogočiš, kar želiš, pa to napadalcev ne bi ustavilo.
3x pa lahko ugibaš kdo bi, nazadnje, potegnil kratko ;)
Poglej in se nasmej: vicmaher.si

andromedar ::

Kolikor jaz razumem članek, so izrabljali ranljivosti, ki takrat širši javnosti niso bile še znane (linki imajo datume 2009, 2010 in 2012). Torej si lahko pred tem updatal kolikor si hotel, pa ti ni nič pomagalo.
Eh?

@nny ::

Cajt da priznamo: Gotofi smo!:))
'For most of history, Anonymous was a woman.' Virginia Woolf

nurse013 ::

A linux je tudi dovzeten na te napade?
:)
you gotta be kidding me...

pegasus ::

APT - advanced persistent threat ... zanimiva kratica.
Torej če naredim
apt-get install

Sem avtomatsko že evil hacker? :D

denial ::

@Firesnake
Kako pa veš, da je to kar sem napisal zraslo na mojem zeljniku in ni zgolj mnenje stručkotov, ki jim ti še do kolen ne sežeš?

Se strinjam da bo determiniran napadalec na takšen ali drugačen način prišel do tvojih potadkov. V končni fazi ti lahko postavi pištolo na čelo in zahteva tvoj PC. Ampak v primeru advanced targeted napadov gre za spear phishing + 0-day. Exploitanje treh bugov, ki jih uporablja rdeči oktober preprečujejo prej navedeni načini. Kako advanced/stealth je post-exploitation koda je sekundarnega pomena (check law #1).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

FireSnake ::

denial je izjavil:

@Firesnake
Kako pa veš, da je to kar sem napisal zraslo na mojem zeljniku ...


Zelo preprosto ... ker nisi navedel vira :D
Poglej in se nasmej: vicmaher.si

andromedar ::

pegasus je izjavil:

APT - advanced persistent threat ... zanimiva kratica.
Torej če naredim
apt-get install

Sem avtomatsko že evil hacker? :D


ne, če ne daš spredaj še sudo :))
Eh?

gslo ::

andromedar je izjavil:

pegasus je izjavil:

APT - advanced persistent threat ... zanimiva kratica.
Torej če naredim
apt-get install

Sem avtomatsko že evil hacker? :D


ne, če ne daš spredaj še sudo :))


eh, tr00 h4x0r itak po defaultu v rootu dela. :-P

Blisk ::

Zanima me koliko je teh lukenj namensko narejenih za ameriške obveščevalne službe in koliko so jih ti prisluškovalci odkrili in jih prav tako zlorabili v svoje namene?

b3D_950 ::

Se pravi, da AV preverja vsa imena priponk, imena pa pošilja za statistiko tem AV podjetjem ali kako pridejo do imen priponk?
Zdaj ko je mir, jemo samo krompir.

Blisk ::

ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?

@nny ::

se pravi Winsi bolj ranljivi...ccc
tist sudo apt bo še aktualen postal:D
'For most of history, Anonymous was a woman.' Virginia Woolf

andromedar ::

Blisk je izjavil:

ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?


Proti človeški neumnosti ne rase nobena zel (ali AV, firewall...). Kar se pa tiče posodobitev pa, kot rečeno: izkoriščali so luknje, za katere niti Microsoft (Adobe, Oracle,...) niso vedeli da obstajajo. Posledično seveda ni bilo popravkov za njih.
Eh?

JesusChrist ::

One word: Nadia :D
remember, the clock is ticking. run like no tomorrow.

nurse013 ::

JesusChrist je izjavil:

One word: Nadia :D


A uporabljaš linux Mint?
:)
you gotta be kidding me...

JesusChrist ::

nurse013 je izjavil:

JesusChrist je izjavil:

One word: Nadia :D


A uporabljaš linux Mint?


Zadnje čase bolj malo, ampak se bo spremenlo spet nazaj v mnogo :)
remember, the clock is ticking. run like no tomorrow.

ABX ::

nurse013 je izjavil:

A linux je tudi dovzeten na te napade?


nope, Windows only.

Blisk je izjavil:

ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?


Tako da klikneš na web link ali zaženeš priponko.
Eskalacija pravic na windows mašinah pa ni neka huda umetnost.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

nurse013 ::

ABX, hvala za ti za resen odgovor
:)
you gotta be kidding me...

Grumf ::

ABX je izjavil:

nurse013 je izjavil:

A linux je tudi dovzeten na te napade?

nope, Windows only.


Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača
razvijat exploitov za marginalen trg 2% workstationov. Se je tudi Apple gladko opekel, no linux
se verjetno ne bo, ker mu ne bo uspelo splezati ven iz teh dveh %. Če greš uporabljati pa Oberon
OS potem si pa 100% varen.

ABX je izjavil:

Blisk je izjavil:

ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?

Tako da klikneš na web link ali zaženeš priponko.
Eskalacija pravic na windows mašinah pa ni neka huda umetnost.


Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead
apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo
linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno
majhni na trgu).
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Grumf ::

nurse013 je izjavil:

ABX, hvala za ti za resen odgovor


Sicer ti ni dal resnega odgovora ampak dva butasta stereotipa, ki ne držita. Tule imaš bazo
raznih exploitov pa sam presodi (čez 1500 exploitov): http://www.exploit-db.com/platform/?p=l...

Saj ne da jih je za windows 10x več :D
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Roadkill ::

-io- spet s tvojimi "linuxa se ne splača exploitat"....

Kot da ti ne bi bilo že 100× povedano, da se ga seveda bolj splača exploitat, ker je root na serverju več vreden, kot pa na klientu.

Je pa res, da če se greš government espionage, pa pridejo v poštev samo Windows.
Ü

nurse013 ::

-io- ,
kaj je to ,Oberon,?
Zakaj se uporablja?
:)
you gotta be kidding me...

Grumf ::

nurse013 je izjavil:

-io- ,
kaj je to ,Oberon,?
Zakaj se uporablja?


Se ne uporablja. Zato si 100% varen.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

nurse013 ::

Hm, se opravičujem, pač ne razumem
:)
you gotta be kidding me...

Grumf ::

Roadkill je izjavil:

Kot da ti ne bi bilo že 100× povedano, da se ga seveda bolj splača exploitat, ker je root na serverju več vreden, kot pa na klientu.


Ma nemoj, zakaj že? :))
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Roadkill ::

-io-: Zakaj želiš v te temi linux vs win flamewar sprožit? Kaj imaš od tega?

Dobro, ABX je napisal, da priv escalation na WIN ni problem. Večina se s tem ne bi strinjala, ti si pa preklopil v full-on flameware mode.
Ü

nurse013 ::

Roadkill je izjavil:

-io-: Zakaj želiš v te temi linux vs win flamewar sprožit? Kaj imaš od tega?


Zato sem jaz kriv ker sem omenil linux
:)
you gotta be kidding me...

@nny ::

Grumf je izjavil:


Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača
razvijat exploitov za marginalen trg 2% workstationov. .


VS

Grumf je izjavil:


Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead
apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo
linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno
majhni na trgu).


Sori, k smo brain dead, ampak ta dva stavka sta v kickbox ringu. Vglavnem, se tepeta!:))
Kaj zdaj, je trg marginalno majhen ali ni?
'For most of history, Anonymous was a woman.' Virginia Woolf

ABX ::

Grumf je izjavil:

ABX je izjavil:

nurse013 je izjavil:

A linux je tudi dovzeten na te napade?

nope, Windows only.


Samo da te ne zavede, to ne ker linux ne bi bil dovzeten, ampak zato ker se nobenemu ne splača
razvijat exploitov za marginalen trg 2% workstationov. Se je tudi Apple gladko opekel, no linux
se verjetno ne bo, ker mu ne bo uspelo splezati ven iz teh dveh %. Če greš uporabljati pa Oberon
OS potem si pa 100% varen.

ABX je izjavil:

Blisk je izjavil:

ok naj mi nekdo razloži, če maš računalnik za firewallom, redno posodobljen, z antivirusnim programom in pravicami, da nič ne moreš nameščati, kako ti lahko tako zadevo uturijo na PC?

Tako da klikneš na web link ali zaženeš priponko.
Eskalacija pravic na windows mašinah pa ni neka huda umetnost.


Eskalacija pravic na linux mašinah tudi ni neka huda umetnost, sploh ko vsi brain dead
apt-get poganjajo, ne znajo pa skonfigurirat nič izven tega. Saj so varni, oni imajo
linux (ista butasta fama kot so jo japčki ponavljali in je držala, dokler so bili marginalno
majhni na trgu).


Popolnoma si zgrešil bistvo.

Če je meni do varnost mojih podatkov potem bom zbral najbolj varen sistem. Če ima majhen trg, potem še toliko boljše.
Sistem bojo urejali profesionaleci in (l)userji ne bojo imeli nobenih sistemskih pravic. Če je sistem kritičen potem se bo delal review open source kode.
Vaša inštalacija je uspešno spodletela!

pegasus ::

Srednja pot med oberon os in linuxom je OpenBSD. Go use it.

nurse013 ::

Kaj pa tails? A je to vredu zadeva?

:)
you gotta be kidding me...

Grumf ::

ABX je izjavil:

Če je meni do varnost mojih podatkov potem bom zbral najbolj varen sistem. Če ima majhen trg, potem še toliko boljše.
Sistem bojo urejali profesionaleci in (l)userji ne bojo imeli nobenih sistemskih pravic. Če je sistem kritičen potem se bo delal review open source kode.


Definiraj varen sistem? Kar se mene tiče je linux enako sranje kot windows kakor tudi enako varen,
ko ga dobi v roke nekdo, ki ve kaj dela. Alergičen sem na by default varnost, ki jo propagirajo razni
droni, ko pa se sistem razširi se izkaže, da je to eno veliko marketinško nakladanje, še enkrat bom
apple omenil, ki je identičen primer kot linux: fani radi zelo naglas blebetajo (sploh ko je cel sistem
znešen skupaj iz vseh vetrov in dejansko niti konfiguracije niso sposobni poenotit bodo pa overall
system securty... ne me smejat).

Sicer pa ja... pegasus... openbsd absolutno.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

ABX ::

Netbios protocol

'nuff said

Ko ga bo Windows nehal uporabljat se lahko spet začnemo pogovarjat.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Grumf ::

ABX je izjavil:

Netbios protocol

'nuff said

Ko ga bo Windows nehal uporabljat se lahko spet začnemo pogovarjat.


BS. Uporabljati ga lahko nehaš naslednjo sekundo ko ga nočeš več.

'othing said
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

andromedar ::

Ali je že kdo preizkusil QubesOS Joanne Rutkowske in njenega InvisibleThingsLab-a?

http://qubes-os.org/trac
http://theinvisiblethings.blogspot.com/...
Eh?

Grumf ::

andromedar je izjavil:

Ali je že kdo preizkusil QubesOS Joanne Rutkowske in njenega InvisibleThingsLab-a?

http://qubes-os.org/trac
http://theinvisiblethings.blogspot.com/...


Zakaj bi se zezal, vzameš bsd in jail... resourcov bo manj kuril.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

ABX ::

Grumf je izjavil:

ABX je izjavil:

Netbios protocol

'nuff said

Ko ga bo Windows nehal uporabljat se lahko spet začnemo pogovarjat.


BS. Uporabljati ga lahko nehaš naslednjo sekundo ko ga nočeš več.

'othing said


Da ja? Mi razložiš kako uporabljat domeno brez netbios protokola?
Vaša inštalacija je uspešno spodletela!

Grumf ::

ABX je izjavil:

Da ja? Mi razložiš kako uporabljat domeno brez netbios protokola?


Kako pa linux? :D
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

ABX ::

Good one :)

sicer je ldap, ampak sem noob v tej smeri tako da bom tiho.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Grumf ::

Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

b3D_950 ::

Kaj pa MS Office? Tukaj ni samo "Windows problem".;)

..list of sample attachment filenames that were sent to some of the victims::
Katyn_-_opinia_Rosjan.xls
FIEO contacts update.xls
spisok sotrudnikov.xls
List of shahids.xls
Spravochnik.xls
Telephone.xls
BMAC Attache List - At 11 Oct_v1[1].XLS
MERCOSUR_Imports.xls
Cópia de guia de telefonos (2).xls
Programme de fetes 2011.xls
12 05 2011 updated.xls
telefonebi.xls
Zdaj ko je mir, jemo samo krompir.

denial ::

Every month is red october
Amazing complexity of red october: pt. 1, pt. 2
SELECT finger FROM hand WHERE id=3;

Grumf ::

b3D_950 je izjavil:

Kaj pa MS Office? Tukaj ni samo "Windows problem".;)

Kaj pa sendmail? Firefox? Kaj pa MS Office, ki laufa v Winu? ;)
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Grumf ::

Sem še za štos na hitro pogledal, prepričan sem da obstaja tudi kaj novejšega: http://www.kb.cert.org/vuls/id/953183

Leta 2006: "Assuming you're safe from viruses and other malware just because you are on a non-Windows platform is a big mistake, as the number of Linux-based malware doubled in 2005, and Mac OS X is next to get hit, according to a report from Kaspersky Labs."
(http://www.internetnews.com/dev-news/ar...

Leto nazaj: "With half a million Macs infected, Apple issues second anti-malware patch"
(http://www.nbcnews.com/technology/techn...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Žrtev napada običajni oznanitelj Kaspersky Lab

Oddelek: Novice / Varnost
77315 (5788) HPME
»

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Oddelek: Novice / Varnost
126177 (4432) GBX
»

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober! (strani: 1 2 )

Oddelek: Novice / Varnost
7424471 (21857) OmegaBlue

Več podobnih tem