Amikor már a kibertámadások híre is támadást szül…

A múlt héten nagyon sok szó esett arról, hogy az Egyesült Államok és Kína között egyre feszültebb a viszony a kibertámadások miatt. Most egyes internetes csalók éppen ezt lovagolják meg.
 

Az USA és Kína már eddig is többször mutogatott egymásra egyes biztonsági incidensek bekövetkezését követően. Tavaly az Egyesült Államok jelentette be, hogy egyes kormányzati rendszereit és kritikus infrastruktúráit támadások érték, amelyek a vizsgálatok szerint Kínából indultak. Ez azonban csak a jéghegy csúcsa volt, ugyanis az elmúlt időszakban számos amerikai nagyvállalat, illetve szervezet jelezte, hogy komolyabb incidens érte. Kína azonban eddig minden egyes alkalommal tagadta, hogy bármi köze lenne a történtekhez, és visszautasította azokat a vádakat, amelyek szerint a háttérben tevékenykedő hackercsoportokhoz köze lenne.

A jelentős biztonsági incidensek kivizsgálásában több ízben közreműködő Mandiant biztonsági cég a múlt héten megelégelte azt, hogy Kína folyamatosan tagad, és egy olyan dokumentumot tett közzé, amellyel igyekezett bizonyítani a támadások kínai forrását. Természetesen nemcsak a Mandiant foglalkozik a nagyszabású kibertámadásokkal, hanem egyebek mellett az amerikai hírszerzés is. A hírszerzési bizottság képviselője, Mike Rogers pedig kijelentette, hogy a Mandiant által összeállított tanulmányban szereplő megállapítások megfelelnek a bizottság információnak.

A szóban forgó támadások esetében többnyire célzott, APT (Advanced Persistent Threat) alapú károkozásokról beszélhetünk, amelyek során az elkövetők beférkőznek egy-egy szervezet informatikai rendszerébe, és onnan bizalmas információkat igyekeznek kiszivárogtatni. Az illetéktelen kezekbe került adatok mennyiségét pedig több száz terabájtban lehet mérni. A Comment Crew néven is ismert hackercsoport, amely feltételezések szerint egymaga több mint 100 amerikai vállalat és szervezet hálózatába jutott be, már több éve veszélyt jelent a titkos adatokra. Az esetek többségében a támadások egy sanghaji IP-cím tartományhoz voltak köthetők.

Csali lett a biztonsági jelentésből

Az elmúlt napokban több biztonsági cég is jelezte, hogy olyan támadásokra lett figyelmes, amelyek a Mandiant biztonsági jelentését használják fel arra, hogy felkeltsék a felhasználók kíváncsiságát. Eddig több olyan, meglehetősen jól célzott adathalász akció indult útnak, amelyek mindegyikében szerepet játszanak a kínai hackerek kapcsán felmerült hírek.

"Két különböző célzott adathalász támadást fedeztünk fel. Ezek olyan e-mailek bevonásával zajlottak, amelyek mellékletében látszólag a Mandiant jelentése volt megtalálható" - nyilatkozta Aviv Raff, a Seculert műszaki igazgatója. A szakember hozzátette, hogy ezen levelek címzettjei között elsősorban japán felhasználók voltak. Amikor ők megnyitottak egy ilyen - PDF-formátumú - csatolmányt, akkor Adobe Readerben található biztonsági rések kihasználására alkalmas exploit kódok töltődtek be a memóriába. A kockázatokat tovább fokozta, hogy ezek között olyan kódok is megtalálhatóak voltak, amelyek nulladik napi sérülékenységeket tudtak kiaknázni. Az egyik ilyen sebezhetőséget éppen a múlt héten - soron kívül - szüntette meg az Adobe. A Seculert elemzései szerint a PDF-fájlokban terjesztett exploitok révén a támadók el tudták érni, hogy a fertőzött számítógépek egy koreai szerverhez valamint néhány kártékony, japán nyelvű weboldalhoz csatlakozzanak.

A Mandiant jelentését felhasználó támadások kapcsán a Symantec is megerősítette, hogy valóban kimutathatóak voltak célzott adathalász támadások, és azok egy része ténylegesen japán felhasználók ellen irányult. Azonban e levelek meglehetősen rossz japánsággal íródtak, így a potenciális áldozatoknak feltűnhetett, hogy valami nincs rendben. Joji Hamada, a biztonsági cég kutatója rávilágított arra, hogy ez a mostani eset korántsem egyedülálló. 2011-ben például éppen a Symantec egyik kutatási jelentését használták fel a támadók rejtett károkozók terjesztésére.

Időközben a 9b+ biztonsági tanácsadó cég is jelezte, hogy olyan e-maileket fedezett fel, amelyek mellékletében egy-egy "Mandiant_APT2_Report.pdf" nevű fájl kapott helyet. Ebben az állományban egy olyan exploit volt, amely egy 2011-ben nyilvánosságra került, és még akkor befoltozott Adobe Reader biztonsági rést igyekezett kihasználni egy hátsó kapu létesítésére alkalmas károkozó terjesztéséhez.