+ A | - a | Visszaállít
2017. ápr.
10
  Kiestek a csontvázak a szekrényből: 20 éves kibertámadás újraindult
Kategória: Háttérhatalom - Közzétette: Róza
Meglepő módon még hatnak az ősi kódok a modern rendszerek ellen: a kilencvenes évek kiberkémkedése feltámadt és működik. Miközben a Kaspersky Lab és a Kings College London kutatói a Moonlight Maze nevű támadás – amely többek között érintette a NASA-t és a Pentagont – és a modern kibercsapdák közötti összefüggéseket vizsgálták, olyan mintákat és eseménynaplókat találtak, amelyek valószínűleg az ősi APT-hez, fejlett, célzott támadásokhoz köthetők.

Egy kalandos történet előzményei

Úgy tűnik, egy 1998-as támadás során használt kiskapu, amelyet az áldozatok adatainak kicsempészésére használtak, összeköthető a 2011-ben és talán az idei Turla által is használt kiskapuval.

Ha bizonyítható a kapcsolat a Turla és a Moonlight Maze között, akkor az Equation Group hackercsoporttal együtt az egyik legrégebbi kibercsapdává válhat, hiszen az Equation C&C szerverei 1996-ban indultak. A friss jelentések a Moonlight Maze-ről azt mutatják, hogy már 1996-tól kezdődően észleltek biztonsági réseket az amerikai katonai- és kormányzati, az egyetemek, a kutatóintézetek, valamint a Department of Energy (DoE) rendszereiben.

1998-ban az FBI és a Department of Defense (DoD) elindította a vizsgálatot, amely 1999-ben kapott publicitást, de sok bizonyítékot titkosítottak, így a Moonlight Maze-t és annak részleteit mindeddig óriási homály és mítosz övezi.

Az elmúlt évek során a korábbi nyomozók gyanítják, hogy a Moonlight Maze fejlődött Turla-vá, egy 2007 óta aktív orosz nyelvű kibercsapdává, amelynek ismert nevei a Snake, az Uroburos, a Venomous Bear, és a Krypton.

A „Szekrény-minták”

Thomas Rid tavaly – a londoni Kings College-tól, miközben kutatásokat végzett a Rise of the Machines című könyvéhez – találkozott egy olyan egykori rendszergazdával, akinek szerverét feltörték a Moonlight Maze támadó proxy szerverei. Ezt a szervert („HRTest”) használták volna az Egyesült Államok elleni támadások indítására. A mára visszavonult informatikai szakember megtartotta az eredeti szervert, valamint másolatokat és minden adatot a támadásokról, és nagyvonalúan a Kings College és a Kaspersky Lab rendelkezésére bocsátotta további elemzések céljából.

A kutatók, Juan Andres Guerrero-Saade és Costin Raiu közösen Thomas Rid és Danny Moore szakemberekkel a Kings College-tól kilenc hónapon keresztül részletesen elemezték ezeket a mintákat. Rekonstruálták a támadók műveleteit, a támadás során használt eszközöket és technikákat, és ezzel párhuzamosan vizsgálták a Turla-t, hogy bizonyítani tudják a kapcsolódást.

Régészeti leletnek sem utolsó

A Moonlight Maze egy nyílt forráskódú Unix-alapú támadás célzottan Solaris-rendszerek ellen. A vizsgálat eredményei azt mutatják, hogy egy LOKI2 programon (1996-ban megjelent program, amely lehetővé tette a felhasználók számára az adatok kicsomagolását rejtett csatornákon keresztül) alapuló backdoor-t használt.
Ez sarkallta a kutatókat arra, hogy összevessék a Turla által használt néhány ritka Linux-mintákkal, amelyeket 2014-ben detektált a Kaspersky Lab. Ezeknek a mintáknak a gyűjtőneve Penquin Turla és szintén LOKI2 programon alapulnak, továbbá, mindegyik használt kódot 1999-2004 között hozták létre.


Figyelemre méltó, hogy ezt a kódot még mindig használják támadások folyamán.

2011-ben észlelték az azonosságot, amikor a svájci RUAG cég elleni támadás során olyan kártékony programot használtak, amely a Turla-családhoz tartozik. Idén márciusban a Kaspersky Lab kutatói egy új mintát felfedeztek fel a Penquin Turla backdoor-jában egy németországi rendszerben.

Lehetséges, hogy a Turla a régi kódot használja az olyan kiemelt biztonsággal rendelkező rendszerek ellen, amelyeket nehezebb feltörni, mivel több alapértelmezett Windows eszközkészletet használnak.
„A ’90-es évek végén senki sem látta előre egy szervezett kiberkémkedő kampány hatását és következményeit. Meg kell értenünk, hogy miért képesek a támadók sikeresen használni ősi kódokat modern rendszerek ellen.

A Moonlight Maze-minták elemzése nemcsak izgalmas régészeti tanulmány, hanem lecke is, amely emlékeztet, hogy megfelelő forrásokkal a kiberbűnözők nyomon követhetőek, és rajtunk múlik, hogy megvédjük a rendszereinket.” mondta Juan Andres Guerrero-Saade, a „Global Research and Analysis” részleg kutatója.


forrás:/hirado.hu/

Oszd meg:   Facebook MySpace Buzz Digg Delicious Reddit Twitter StumbleUpon

Hírkategóriák