Hacked η εταιρεία ασφαλείας Kaspersky Lab

Η Ρώσικη εταιρεία ασφαλείας ανακάλυψε πρόσφατα ότι μια ισχυρή και μυστηριώδης ομάδα χρησιμοποιώντας ένα advanced persistent threat (APT) γνωστό σαν Duqu παραβίασε τα συστήματα της, αξιοποιώντας ένα zero-day στο Windows Kernel.
Από το 2012 μέχρι και σήμερα δεν έχει καταγραφεί άλλη δραστηριότητα στον κυβερνοχώρο που σχετίζεται με το Duqu μια πλατφόρμα που χρησιμοποιείται για κυβερνο-κατασκοπεία.dump Kaspersky Lab

Ωστόσο, οι λοιμώξεις έγιναν από μια νέα έκδοση της πλατφόρμας (που ονομάστηκε Duqu 2). Το νέο κακόβουλο λογισμικό εμφανίστηκε το 2014 και συνεχίζει να υπάρχει μέχρι και σήμερα στις δυτικές χώρες.

Η zero-day ευπάθεια που αξιοποιεί το κακόβουλο λογισμικό είναι η CVE--2360, η οποία έγινε patched από τη Microsoft την Τρίτη που μας πέρασε. Η Kaspersky αναφέρει ότι μια ή δύο ακόμα ευπάθειες έχουν χρησιμοποιηθεί στην επίθεση που έγινε στα συστήματα της.

Οι αναφέρουν ότι η αρχική επίθεση ξεκίνησε σε ένα από τα μικρότερα γραφεία της στην περιοχή της Ασίας και πιθανώς χρησιμοποιήθηκαν spear-phishing emails.

“Τα κακόβουλα modules παρατηρήθηκαν να προσπαθούν να πραγματοποιήσουν επιθέσεις ‘pass the hash’ στο τοπικό δίκτυο, δίνοντας ουσιαστικά στους επιτιθέμενους πολλούς διαφορετικούς τρόπους για να πραγματοποιήσουν πλευρική κίνηση,” αναφέρει η Kaspersky Lab.

Εντοπίστηκαν πάνω από 100 παραλλαγές κακόβουλων plugins

Το Duqu 2 χρησιμοποιεί πολλαπλές τακτικές για να εξαπλωθεί στο δίκτυο, και στις περισσότερες περιπτώσεις, η επίθεση πραγματοποιήθηκε με την υποστήριξη του Microsoft Windows Installer (τα πακέτα MSI που μπορούν να τεθούν σε λειτουργία εξ αποστάσεως σε άλλους υπολογιστές).

Τα αρχεία MSI μπορούσαν να φορτώσουν στη μνήμη το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να ανοίξουν backdoors για τους κατασκοπευτικούς σκοπούς των επιτιθέμενων.

Το κύριο module του Duqu 2 υλοποιεί χειρισμούς για την επικοινωνία με το κέντρο διοίκησης και ελέγχου ή C&C server και χρησιμοποιεί πάρα πολλά πρωτόκολλα σύνδεσης μέσω proxy και αυτο-υπογεγραμμένα πιστοποιητικά HTTPS.

Ο σκοπός της επίθεσης στο δίκτυο της Kaspersky Lab φαίνεται να είναι η κατασκοπεία της χρησιμοποιούμενης τεχνολογίας και αυτής που αναπτύχθηκε από την εταιρεία. Η έρευνα όμως συνεχίζεται από ειδικούς ασφαλείας και αργότερα θα γνωρίζουμε περισσότερες λεπτομέρειες.

Η ανάλυση του κακόβουλου λογισμικού έδειξε ότι θα μπορούσε να συλλέξει δεδομένα από τις διεργασίες που εκτελούνται, στην επιφάνεια εργασίας και τα terminal sessions. Αναζητούσε ακόμα, κατέγραφε και έτρεχε αρχεία όπως τα “*.inuse, *.hml,” filename contains “data.hmi” ή “val.dat,” καθώς και το περιεχόμενο από συγκεκριμένους φακέλους.

Η Kaspersky Lab έχει την πεποίθηση ότι η συγκεκριμένη παραβίαση δεν έχει επιπτώσεις στα , τις τεχνολογίες και τις υπηρεσίες της, και ότι οι πελάτες και οι συνεργάτες της είναι ασφαλείς…

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).