Újabb hulláma indult a fejlett támadásoknak

A fejlett APT (Advanced Persistent Threat) támadások az idén is igazolták, hogy nagyon komoly fenyegetést jelentenek a vállalatok, intézmények számára. A kockázatok, illetve a potenciális károk nagyságát jól mutatja például az RSA esete, amely egy ilyen támadásnak esett áldozatul. Annak ellenére, hogy a biztonsági cég egész védelmi arzenállal rendelkezett, a támadóknak mégis sikerült kihasználniuk az infrastruktúra gyenge pontjait - többek között egy alkalmazott hiszékenységét -, majd értékes adatokhoz fértek hozzá.

A biztonsági cégek jelentős figyelmet szentelnek az APT-k elleni védelmi megoldások fejlesztésére. A McAfee például az egyik lehetséges védelmi irányt a rootkitek elleni küzdelemben valamint a hardveralapú biztonsági technológiákban látja. Nyilvánvalóan minden biztonsági vállalat arra törekszik, hogy az APT-k kiszűrésére minél automatizáltabb módon nyíljon lehetőség. Mivel azonban ezek a támadások többek között emberi tényezőkre is építkeznek, ezért e feladat korántsem egyszerű.

A Trend Micro szerint is nagy szükség van a hatékony védelem kialakítására, ugyanis az elmúlt időszakban a célzott támadások nemcsak elszaporodtak, hanem még szervezetté is kezdtek válni. Jól alátámasztja mindezt az a Trend Micro által Lurid néven emlegetett akciósorozat is, amely elsősorban orosz, kazah, ukrán és vietnámi rendszerek ellen irányul. A legfrissebb felmérések azonban azt is mutatják, hogy a Lurid más országok esetében is jelen van, hiszen ezeket az APT-ket már 61 államban sikerült kimutatni, és összesen megközelítőleg másfélezer számítógépet érintettek. A célkeresztbe állított szervezetek között vannak kormányzati hivatalok, vállalatok és kutatóintézetek is.

"A Lurid támadások nem számítanak kirívónak a többi nagyszabású hekkerakció között. Célzott módon, alkalmazottaknak küldött elektronikus levelek révén valósulnak meg, és különféle szoftveres sebezhetőségeket igyekeznek kihasználni annak érdekében, hogy dokumentumokhoz és információkhoz jutassák a támadókat" - mondta Rik Ferguson, a Trend Micro kutatási és kommunikációs igazgatója. Majd hozzátette, hogy a kiberbűnözők a megszerzett állományokat webszerverekre töltik fel, amelyeket sok esetben az Egyesült Államokban vagy Angliában üzemeltetnek. A felderítésük azonban nem egyszerű feladat, ugyanis az e-mailek kapcsán létező hamisítási trükköktől kezdve egészen a VPN (Virtual Private Network) alapú megoldásokig mindent bevetnek annak érdekében, hogy a leleplezésük minél izzasztóbb legyen. Emellett az adatszivárogtatás során titkosítást alkalmaznak, és HTTP-n keresztül igyekeznek kijuttatni a szervezetektől bezsebelt információkat. Ezáltal a nemkívánatos adatforgalom kiszűrését is jelentősen megnehezítik.

Egyre veszélyesebb a Lurid

A Trend Micro által emlegetett Lurid nem az idei év szülötte. Már 2010 augusztusában megfigyelhetőek voltak az első ilyen APT támadások. A Lurid "sikere" azért is aggasztó, mert egy olyan adatlopásra alkalmas komponenssel rendelkezik, amely már 2006 óta ismert a biztonsági kutatók körében. Emellett pedig nem a legújabb sérülékenységeket igyekszik kihasználni. A Trend Micro szerint gyakori, hogy a támadások egy még 2009-ben felfedezett, Adobe Readert érintő biztonsági résen keresztül következnek be. Ezért a biztonsági cég ismét a rendszerek frissítésének, naprakészen tartásának fontosságára hívta fel a figyelmet.