Célzott támadásokról számolt be az ESET

Az ESET egy újabb célzott támadásról adott hírt, amely különböző szervezetek adatait veszélyeztette.
 

A mostani célzott támadások során az elkövetők látszólag legális tanúsítványokat, csatolt PDF-dokumentumokat és exe fájlokat használtak fel arra, hogy bejuttassák a rosszindulatú kódjaikat egyes szervezetek hálózataiba. Ehhez több esetben fertőzött csatolmányokat tartalmazó elektronikus leveleket használtak fel.

"Az ESET szakemberei több különböző dokumentumot azonosítottak, amelyek témái felkelthették a címzettek érdeklődését. Nincs pontos információnk a vírus célcsoportjáról, de a nyomozásunk alapján feltételezhető, hogy főleg pakisztáni cégek és magánemberek álltak a célkeresztben, hiszen az összes célzott támadás 79 százaléka ide köthető.  Az leggyakoribb hamis PDF fájl önkicsomagoló formátumban, "pakistandefencetoindiantopmiltrysecreat.exe" néven érkezett meg a célszemélyek postaládájába" - mondta Béres Péter, a Sicontact Kft. vezető IT tanácsadója.

Az incidens első fertőzési vektora egy (CVE-2012-0158-as jelzésű) sebezhetőséghez kapcsolódik. Ez egy Microsoft Office-hoz köthető hiba, és már korábban is használták kémkedésre, adatlopásra például egy tavaly decemberi, kínai eredetű támadásnál, amelynél orosz gépekről próbáltak meg bizalmas adatokat lopni. A fertőzött e-mail mellékletekben található Word és PDF állományokban kaptak helyet a sebezhetőségek kihasználására alkalmas kódok.

A vizsgált rosszindulatú program adatokat lopott a megfertőzött számítógépekről, melyeket aztán a támadók szerverére küldött. Különböző kémkedési és adatlopási technikákat használt, kezdve a billentyűleütések naplózásától a képernyőképek rejtett lementésén át egészen a felhasználó számítógépéről történő fájllopásig. "Érdekes, hogy a fertőzött számítógépről ellopott információkat a támadók a szerverükre kódolatlanul töltötték fel, pedig titkosítással az akciójuk nyomait elfedhették volna" - tette hozzá Béres Péter.