Kémkedő szkennerek kerültek forgalomba

Egyes vonalkódolvasók és szkennerek kémprogrammal kerültek forgalomba. A szálak Kínáig vezetnek.
 

A kiberbiztonsági megoldásokat fejlesztő TrapX kutatói egy érdekes felfedezést tettek, amikor egy - meg nem nevezett gyártmányú és típusú - vonalkódolvasó került a kezükbe. Arra lettek figyelmesek, hogy az eszköz túlságosan szószátyár, és amennyiben van rá lehetősége, akkor gond nélkül képes adatokat kiszivárogtatni érzékeny vállalati rendszerekből.

A TrapX szerint a szóban forgó szkennert világszerte használják, és különösen a szállítással és logisztikával foglalkozó vállalatok körében elterjedt. A készülék a Windows XP Embedded verziójára épül, amivel még nem lenne probléma, ha az operációs rendszer, valamint a szkennelési feladatokat végző szoftver mellé nem férkőzött volna be egy kémprogram. Amelyik eszközre nem került fel "gyárilag" a károkozó, arra a felhasználók - tudtukon kívül - is feljuttathatták a készülékre, ugyanis a gyártó oldaláról letölthető egyik firmware frissítés is fertőzött volt.

A szkenner használata során a kártevő több tevékenységet végzett. Egyrészt folyamatosan gyűjtötte az adatokat a vállalati hálózatból, amelyhez WiFi-n keresztül csatlakozott. Egyik modulja révén egyes vállalati, pénzügyi rendszerek sebezhetőségeit is ki tudta használni. Másrészt pedig gondoskodott arról, hogy a megszerzett adatok a támadók birtokába kerülhessenek. Ehhez vagy egy helyi szolgáltatást hozott létre például a pénzügyi rendszereket futtató kiszolgálókon, vagy közvetlenül szivárogtatta ki az információkat a hálózatból. A kutatók által feltárt egyik vezérlőszerver Kínában működött éppen abban az iskolában, amelyet korábban már hírbe hoztak a Google-t is célkeresztbe állító Operation Aurora művelettel.

A mostani, Zombie Zero néven emlegetett akció megannyi megválaszolásra váró kérdést hozott felszínre. Az egyik ilyen, hogy miként kerülhetett a kártékony kód az eszközökre. Jon Heimerl, a Solutionary biztonsági stratégája szerint, amikor gyárilag jut fel egy ártalmas kód bármilyen készülékre, akkor annak lehet az az oka, hogy a gyártó kódbázisa kompromittálódik, amit aztán nem vesz észre. Ez legtöbbször a nem megfelelő biztonsági gyakorlatok miatt következik be. Emellett persze a szándékosságot sem lehet kizárni, de erre utaló bizonyítékok egyelőre nem kerültek napvilágra a mostani eset kapcsán.

Hogyan védekezzünk?

"Az előretelepített malware-ek detektálása sajnos nehéz feladat. A legjobb, ha izolált környezetben, szigorú teszteléseknek vetjük alá a különböző hardvereket, mielőtt azokat éles környezetben bevezetnénk" - nyilatkozta Heimerl. Majd hozzátette, hogy tisztában van azzal, hogy mindez erőforrásigényes feladat, és sok cég nem fordít erre kellő figyelmet. Ugyanakkor vannak olyan vállalatok, amelyek kiváló, példamutató munkát végeznek e tekintetben, és megfelelően szimulált környezetekben végzik a teszteléseket. A védelem szempontjából egy másik lehetőség, hogy valós idejű monitorozást kell végezni, amivel felismerhetők a kártékony események, és gyorsan megtehetők a szükséges kockázatcsökkentő intézkedések. Persze az sem árt, ha vállalati környezetben jól ismert, megbízható szállítók termékei közül válogatunk.