Video: A:IR (Ascent: Infinite Realm) - ELYON. Обзор (Decembris 2024)
Notiekošā kiberspiegijas operācija, kas nodēvēta par drošu, mērķēja dažādas organizācijas vairāk nekā 100 valstīs ar šķēpu pikšķerēšanas e-pastiem, atklāja Trend Micro pētnieki.
Šķiet, ka operācija bija vērsta uz valdības aģentūrām, tehnoloģiju firmām, plašsaziņas līdzekļiem, akadēmiskajām pētniecības iestādēm un nevalstiskajām organizācijām, divi Trend Micro draudu pētnieki Kylie Wilhoit un Nart Villeneuve, rakstīja Drošības izlūkošanas emuārā. Trend Micro uzskata, ka vairāk nekā 12 000 unikālas IP adreses, kas izplatītas apmēram 120 valstīs, ir inficētas ar ļaunprātīgu programmatūru. Tomēr vidēji tikai 71 IP adreses katru dienu aktīvi sazinājās ar C&C serveriem.
"Faktiskais upuru skaits ir daudz mazāks nekā unikālo IP adrešu skaits, " Trend Micro teica savā baltajā grāmatā, bet atteicās spekulēt par faktisko skaitli.
Droša paļāvība uz šķēpu pikšķerēšanu
Drošs sastāv no divām atšķirīgām šķēpu pikšķerēšanas kampaņām, kurās tiek izmantots viens un tas pats ļaundabīgo programmu celms, taču tiek izmantotas dažādas komandu vadības un kontroles infrastruktūras, pētnieki raksta baltajā grāmatā. Vienā kampaņā šķēpu pikšķerēšanas e-pasta vēstulēs bija tēmu rindas, kas atsaucās vai nu uz Tibetu, vai Mongoliju. Pētnieki vēl nav identificējuši kopīgu tēmu otrajā kampaņā izmantotajās tēmās, kurās upuri ir pieprasīti Indijā, ASV, Pakistānā, Ķīnā, Filipīnās, Krievijā un Brazīlijā.
Droši nosūtīja upuriem šķēpu pikšķerēšanas e-pastus un pievīla viņus atvērt ļaunprātīgu pielikumu, kas izmantoja jau ielaboto Microsoft Office ievainojamību, norāda Trend Micro. Pētnieki atrada vairākus ļaunprātīgus Word dokumentus, kuri, atverot, klusībā uzstādīja cietušās personas datoru. Sistēmas Windows Common Controls attālā koda izpildes ievainojamība tika izlabota 2012. gada aprīlī.
Sīkāka informācija par C&C infrastruktūru
Pirmajā kampaņā datori no 243 unikālām IP adresēm 11 dažādās valstīs bija savienoti ar C&C serveri. Otrajā kampaņā datori no 11 563 IP adresēm no 116 dažādām valstīm sazinājās ar C&C serveri. Indija izrādījās visvairāk mērķtiecīga, ar vairāk nekā 4000 inficētām IP adresēm.
Viens no C&C serveriem tika iestatīts tā, lai ikviens varētu skatīt direktoriju saturu. Rezultātā Trend Micro pētnieki varēja noteikt, kas bija upuri, kā arī lejupielādēt failus, kas satur avota kodu aiz C&C servera un ļaunprātīgu programmatūru. Aplūkojot C&C servera kodu, šķiet, ka operatori pārpublicēja likumīgu avota kodu no interneta pakalpojumu sniedzēja Ķīnā, sacīja Trend Micro.
Uzbrucēji izveidoja savienojumu ar C&C serveri, izmantojot VPN, un izmantoja Tor tīklu, padarot grūti izsekot, kur atrodas uzbrucēji. "Starpniekserveru un VPN ģeogrāfiskā daudzveidība apgrūtināja to patiesās izcelsmes noteikšanu, " sacīja Trend Micro.
Uzbrucēji, iespējams, ir izmantojuši ķīniešu ļaunprogrammatūru
Balstoties uz dažiem cēloņiem avota kodā, Trend Micro sacīja, ka ir iespējams, ka ļaunprātīgā programmatūra ir izstrādāta Ķīnā. Šobrīd nav zināms, vai drošie operatori izstrādāja ļaunprogrammatūru vai nopirka to no kāda cita.
"Kaut arī joprojām ir grūti noteikt uzbrucēju nodomu un identitāti, mēs novērtējām, ka šī kampaņa ir mērķtiecīga un tajā tiek izmantota ļaunprātīga programmatūra, kuru izstrādājis profesionāls programmatūras inženieris, kurš, iespējams, ir savienots ar kiberkriminalizēto metro Ķīnā, " pētnieki rakstīja emuārā.
