2013.06.06
Észrevétlen kiber-kémkedés, de egy évtizeden keresztül?
A legutóbb felfedezett kiber-támadási akció és az ahhoz kapcsolódó kártékony program majd egy évtizeden keresztül ostromolt kiemelt célpontokat, anélkül hogy bárkinek feltűnt volna.
A Kaspersky Lab 2012 októberében kezdett vizsgálatot egy olyan támadássorozat kapcsán, amelyet végül "Vörös Október" névre keresztelt. A több éven keresztül folyó kiber-kémkedés több száz áldozatot szedett szerte a világban.
A Vörös Október művelet mögött meghúzódó csoportok az általuk megfertőzött rendszerekről tulajdonképpen minden bizalmas vagy bizalmasnak vélt adatot, dokumentumot eltulajdonítottak. A kiberkémkedések azonban ezzel korántsem értek véget, hiszen a biztonsági cég kutatói ismét egy jelentős kémhálózatot lepleztek le. Erről kiderült, hogy majdnem egy évtizede ostromolja a különféle szervezetek informatikai rendszereit anélkül, hogy ezt bárki észrevette volna.
A Kasperksy Lab a kiber-kémkedési akciót, illetve az ahhoz tartozó kártékony programot NetTraveler néven emlegeti. Ez az elnevezés a károkozó egy korai verziójában elhelyezett "NetTraveler Is Running!" kifejezésből származik. A támadásokhoz használt ártalmas program első variánsai vélhetőleg még 2004-ben jelentek meg. Azonban a legaktívabb 2010 és 2013 között volt, amikor célzott támadások végrehajtását segítette elő. A számítógépekre általában elektronikus levelek révén jutott fel, amelyek különféle sérülékenységek kihasználására alkalmas Office dokumentumokat tartalmaztak a mellékletükben. Legtöbbször a CVE-2012-0158 és a CVE-2010-3333 azonosítóval ellátott hibák kerültek célkeresztbe, amelyeket ugyan a Microsoft már befoltozott, de a frissítések nagyon sok rendszerre nem kerültek fel idejében. Ezt pedig a NetTraveler könyörtelenül ki is használta.
Amikor feljutott egy számítógépre, és azt megfertőzte, akkor különböző kiterjesztésű állományokat gyűjtött össze. Így például a Word dokumentumokat, az Excel, a PowerPoint és a PDF állományokat is bezsebelte. Egyes esetekben pedig AutoCAD-del készült rajzok iránt is fokozott kíváncsiságot mutatott. Mindezek mellett rendszerinformációkat kérdezett le, valamint folyamatosan naplózta a billentyűleütéseket. A megszerzett fájlokat, adatokat tömörítette és titkosította, majd feltöltötte távoli szerverekre HTTP-protokollon keresztül. Ugyanakkor mindenképpen meg kell említeni, hogy a NetTraveler valójában semmiféle speciális, kifinomult módszert nem alkalmazott a fertőzései során. Nem használt ki nulladik napi sebezhetőségeket, és nem tartalmazott rootkit összetevőket a rejtőzködéshez. Ezért is aggasztó, hogy évekig láthatatlan tudott maradni a biztonsági megoldások előtt.
Komoly háttér infrastruktúra kellett
A NetTraveler önmagában még nem lett volna képes ilyen jelentős kiterjedésű kiber-kémkedés végrehajtására. Ehhez egy megfelelő háttérinfrastruktúrára is szükség volt. A Kaspersky Lab kutatói eddig több mint harminc vezérlőszervert azonosítottak. Ezek többségén IIS 6 vagy IIS 7 alapú webszerver futott, és ASP-technikák révén irányították a fertőzött számítógépekből felépített hálózatot. A megkaparintott adatok is ezekre a szerverekre kerültek fel, amiket aztán a támadók FTP vagy VPN kapcsolatokon keresztül töltöttek le maguknak. Eddig több mint 22 gigabájtnyi lopott adat nyomára sikerült ráakadniuk a szakértőknek, de hangsúlyozták, hogy ez csak a jéghegy csúcsa lehet. A már nem működő kiszolgálókon lévő vagy a támadók által törölt adatoknak ugyanis vélhetőleg örökre nyoma veszett
A célpontok
A biztonsági cég elemzései arra mutattak rá, hogy a NetTraveler eddig legalább 350 áldozatot szedett 40 különböző államban. A fertőzések által leginkább sújtott országnak Mongólia, Oroszország, India számít, de a 10-es toplistán megtalálható Kína, Spanyolország és Németország is. A NetTraveler a nemzetközi színtéren egyes ipari vállalatok, kutatóintézetek, egyetemek, kormányzati intézmények, nagykövetségek és katonai beszállítók hálózataiban is kimutatható volt.Arról egyelőre nincsenek hírek, hogy valamely magyar vállalathoz vagy intézményhez bejutott volna a károkozó.
Forrás: Kaspersky Lab