Koti Securitywatch Tietovakoilukampanja kohdistuu yli 100 maahan

Tietovakoilukampanja kohdistuu yli 100 maahan

Video: Tropico 6 - Tipps und Tricks [So baut ihr Plantagen effizient (und nachhaltig) an!] (Marraskuu 2024)

Video: Tropico 6 - Tipps und Tricks [So baut ihr Plantagen effizient (und nachhaltig) an!] (Marraskuu 2024)
Anonim

Trend-tutkijat havaitsivat, että käynnissä oleva turvalliseksi nimeltään nettivakoilutoiminta kohdistui eri organisaatioihin yli 100 maassa.

Operaatio näyttää kohdistuneen valtion virastoille, teknologiayrityksille, tiedotusvälineille, akateemisille tutkimuslaitoksille ja kansalaisjärjestöille, kaksi Trend Micro -uhkan tutkijaa Kylie Wilhoit ja Nart Villeneuve kirjoittivat tietoturvablogissa. Trend Micro uskoo, että yli 12 000 ainutlaatuista IP-osoitetta, jotka sijaitsevat yli 120 maassa, olivat saaneet haittaohjelman. Kuitenkin keskimäärin vain 71 IP-osoitetta kommunikoi aktiivisesti C&C-palvelimien kanssa päivittäin.

"Todellinen uhrien lukumäärä on paljon vähemmän kuin yksilöivien IP-osoitteiden lukumäärä", Trend Micro sanoi valkoisessa paperissaan, mutta kieltäytyi spekuloimasta todellisesta luvusta.

Turvallinen luopuminen keihäsurkinnasta

Turvallinen koostuu kahdesta erillisestä keihäshuijauskampanjasta, joissa käytetään samaa haittaohjelmakantaa, mutta käytetään erilaisia ​​komento- ja hallintainfrastruktuureja, tutkijat kirjoittivat valkoisessa kirjassa. Yhden kampanjan keihäshuijausviesteissä oli otsikkokohtia, jotka viittasivat joko Tiibetiin tai Mongoliaan. Tutkijat eivät ole vielä löytäneet yhteistä teemaa toisen kampanjan aihealueille, joissa väitetään uhreja Intiassa, Yhdysvalloissa, Pakistanissa, Kiinassa, Filippiineillä, Venäjällä ja Brasiliassa.

Turvalliset lähettivät uhreja kalastelusähköpostiviestit uhreille ja huijasivat heitä avaamaan haittaohjelman liitetiedoston, joka hyödyntää jo parannettua Microsoft Office -haavoittuvuutta Trend Micro: n mukaan. Tutkijat löysivät useita haitallisia Word-asiakirjoja, jotka avattaessaan asensivat äänettömästi hyötykuorman uhrin tietokoneeseen. Windows Common Controlsin etäkoodin suorittamisen haavoittuvuus korjattiin huhtikuussa 2012.

Yksityiskohdat C&C-infrastruktuurista

Ensimmäisessä kampanjassa tietokoneet 243 yksilöivästä IP-osoitteesta 11 eri maassa olivat yhteydessä C&C-palvelimeen. Toisessa kampanjassa tietokoneet 11 563 IP-osoitteesta 116 eri maasta viestivät C&C-palvelimen kanssa. Intia näytti olevan kohdennetumpi, sillä yli 4000 tartunnan saaneita IP-osoitteita.

Yksi C&C-palvelimista on asetettu niin, että kuka tahansa voi tarkastella hakemistojen sisältöä. Tämän seurauksena Trend Micro-tutkijat pystyivät selvittämään kuka uhrit olivat ja lataamaan myös tiedostoja, jotka sisälsivät C&C-palvelimen takana olevan lähdekoodin ja haittaohjelmat. C&C-palvelimen koodia tarkasteltaessa näyttää siltä, ​​että operaattorit ovat asettaneet uudelleen laillisen lähdekoodin Kiinan Internet-palveluntarjoajalta, Trend Micro sanoi.

Hyökkääjät olivat muodostaneet yhteyden C&C-palvelimeen VPN: n kautta ja käyttäneet Tor-verkkoa, mikä vaikeutti jäljittämistä hyökkääjien sijaintipaikasta. "Välityspalvelimien ja VPN: ien maantieteellinen monimuotoisuus vaikeutti niiden todellisen alkuperän määrittämistä", Trend Micro sanoi.

Hyökkääjät ovat saattaneet käyttää kiinalaisia ​​haittaohjelmia

Lähdekoodin johtolankojen perusteella Trend Micro totesi, että mahdollinen haittaohjelma on kehitetty Kiinassa. Tässä vaiheessa ei ole tiedossa, kehittivätkö turvalliset operaattorit haittaohjelman vai ostivatko se joltakin muulta.

"Vaikka hyökkääjien aikomuksen ja henkilöllisyyden määrittäminen on edelleen vaikeaa, arvioimme, että tämä kampanja on kohdistettu ja että se käyttää ammatillisen ohjelmistosuunnittelijan kehittämiä haittaohjelmia, jotka voivat olla yhteydessä kiberikollisuuden maanalaiseen Kiinaan", tutkijat kirjoittivat blogissa.

Tietovakoilukampanja kohdistuu yli 100 maahan