Internetni napadi na pisce poročila o sestreljenem letalu nad Ukrajino
Matej Huš
25. okt 2015 ob 21:02:31
Nizozemski odbor za varnost v letalskem prometu, ki je ta mesec izdal končno poročilo o nesreči potniškega letala MH17 nad Ukrajino 17. julija 2014, je bil tarča ponavljajočih internetnih napadov skupine Pawn Storm, so ugotovili v Trend Micru. V poročilu so zapisali, da je letalo strmoglavilo zaradi sestrelitve z raketo zemlja-zrak Buk ruske proizvodnje, ki so jo izstrelili s 320 kvadratnih kilometrov velikega področja v vzhodni Ukrajini. Poročilo ni odgovorilo na vprašanje, kdo je raketo izstrelil, se je pa ukvarjalo z vprašanjem, zakaj zračni prostor ni bil zaprt; ugotovili so, da zaprtje visokega zračnega prostora nad področji z oboroženimi konflikti nikjer po svetu ni običajno.
Je pa nekatere silno zanimalo, kaj bo pisalo v poročilu, še preden je bilo to javno objavljeno. Trend Micro razkriva, kako so napadalci iz skupine Pawn Storm poizkušali pridobiti prijavne informacije preiskovalcev za dostop do njihovih datotek. Že 28. septembra 2015 so postavili lažen SFTP-strežnik, kasneje pa še lažen VPN-strežnik. Z njima so želeli pretentati preiskovalce v prijavo nanje, s čimer bi dobili potrebne podatke za dostop do pravih strežnikov. To je prvi odkrit primer, ko je neka skupina poizkusila s postavitvijo lažnega VPN-strežnika dobiti avtentifikacijske informacije. Kasneje so postavili še lažen OWA (Outlook Web Access) strežnik, ki je posnemal strežnik enega izmed pomembnih partnerjev v preiskavi.
Pawn Storm je povezana z Rusijo, predvidevajo v Trend Micru. Organizacija je namreč zelo dejavna tudi v napadih na sirsko opozocijo in arabske države, ki nasprotujejo Asadovemu režimu in ruskemu posredovanju. Tudi tu so pogosto postavljali lažne OWA-strežnike, uporabljali pa so tudi številne zero-day ranljivosti.