The Savings and Loan Banking Crisis: George Bush, the CIA, and Organized Crime
Οι ερευνητές στον τομέα της ασφάλειας έχουν εντοπίσει μια συνεχιζόμενη εκστρατεία για την κατασκοπεία στον κυβερνοχώρο που διακυβεύει 59 υπολογιστές που ανήκουν σε κυβερνητικές οργανώσεις, ερευνητικά ιδρύματα, think-tank και ιδιωτικές εταιρείες 23 χωρών
Η εκστρατεία επίθεσης ανακαλύφθηκε και αναλύθηκε από ερευνητές από την εταιρεία ασφαλείας Kaspersky Lab και το Εργαστήριο Cryptography και Security System (CrySyS) του Πανεπιστημίου Τεχνολογίας και Οικονομικών της Βουδαπέστης.
Ονομάστηκε MiniDuke, η εκστρατεία επίθεσης χρησιμοποίησε στοχευμένα μηνύματα ηλεκτρονικού ταχυδρομείου - μια τεχνική γνωστή ως δόλωμα phishing - που έφερε κακόβουλα αρχεία PDF που είχαν υποστεί βλάβη με μια ανασκόπηση [
] Το exploit ανακαλύφθηκε αρχικά σε ενεργές επιθέσεις νωρίτερα αυτό το μήνα από ερευνητές ασφαλείας από το FireEye και είναι ικανό να διαχειρίζεται το λογισμικό Adobe Reader 9, 10 και 11.για την παράκαμψη της προστασίας του sandbox στο Adobe Reader 10 και 11. Η Adobe κυκλοφόρησε ενημερωμένες εκδόσεις ασφαλείας για τις ευπάθειες που επιδιώκει η εκμετάλλευση στις 20 Φεβρουαρίου.
Οι νέες επιθέσεις του MiniDuke χρησιμοποιούν το ίδιο exploit που εντοπίστηκε από το FireEye, αλλά με μερικές προηγμένες τροποποιήσεις Ο Costin Raiu, διευθυντής της παγκόσμιας ομάδας έρευνας και ανάλυσης της Kaspersky Lab, την Τετάρτη. Αυτό μπορεί να υποδηλώνει ότι οι επιτιθέμενοι είχαν πρόσβαση στη δέσμη εργαλείων που χρησιμοποιήθηκε για τη δημιουργία του αρχικού εκμεταλλεύτη.
Τα κακόβουλα αρχεία PDF είναι αδίστακτα αντίγραφα των αναφορών με περιεχόμενο σχετικό με τους στοχευμένους οργανισμούς και περιλαμβάνουν μια έκθεση σχετικά με την ανεπίσημη συνάντηση Ασίας-Ευρώπης (ASEM) σχετικά με τα ανθρώπινα δικαιώματα, έκθεση σχετικά με το σχέδιο δράσης της Ουκρανίας για την ένταξη στο ΝΑΤΟ, έκθεση για την περιφερειακή εξωτερική πολιτική της Ουκρανίας και έκθεση για τον Αρμενικό Οικονομικό Σύνδεσμο του 2013.
Εάν η εκμετάλλευση είναι επιτυχής, εγκαταστήστε ένα κομμάτι κακόβουλου λογισμικού που είναι κρυπτογραφημένο με πληροφορίες που συλλέγονται από το σύστημα που επηρεάζεται. Αυτή η τεχνική κρυπτογράφησης χρησιμοποιήθηκε επίσης στο κακόβουλο λογισμικό Gauss για την κατασκοπεία και αποτρέπει την ανίχνευση κακόβουλου λογισμικού σε διαφορετικό σύστημα, δήλωσε ο Raiu. Αν το τρέχει σε διαφορετικό υπολογιστή, το κακόβουλο πρόγραμμα θα εκτελεστεί, αλλά δεν θα ξεκινήσει την κακόβουλη λειτουργικότητά του.
Μια άλλη ενδιαφέρουσα πτυχή αυτής της απειλής είναι ότι είναι μόνο 20KB σε μέγεθος και γράφτηκε σε Assembler, μια μέθοδος που σπάνια χρησιμοποιείται σήμερα από δημιουργούς κακόβουλου λογισμικού. Το μικρό του μέγεθος είναι επίσης ασυνήθιστο σε σύγκριση με το μέγεθος του σύγχρονου malware, δήλωσε ο Raiu. Το κομμάτι του κακόβουλου λογισμικού που έχει εγκατασταθεί κατά τη διάρκεια αυτού του πρώτου σταδίου της επίθεσης συνδέεται με συγκεκριμένους λογαριασμούς Twitter που περιέχουν κρυπτογραφημένες εντολές που δείχνουν σε τέσσερις ιστότοπους που λειτουργούν ως εντολές-και- διακομιστές ελέγχου. Αυτές οι ιστοσελίδες, που φιλοξενούνται στις ΗΠΑ, τη Γερμανία, τη Γαλλία και την Ελβετία, φιλοξενούν κρυπτογραφημένα αρχεία GIF που περιέχουν ένα δεύτερο backdoor πρόγραμμα.
Το δεύτερο backdoor είναι μια ενημέρωση για την πρώτη και συνδέεται πίσω στους διακομιστές εντολών και ελέγχου για να κατεβάσετε ακόμα ένα πρόγραμμα backdoor που έχει σχεδιαστεί με μοναδικό τρόπο για κάθε θύμα. Από την Τετάρτη οι διακομιστές εντολών και ελέγχου φιλοξένησαν πέντε διαφορετικά προγράμματα backdoor για πέντε μοναδικά θύματα στην Πορτογαλία, την Ουκρανία, τη Γερμανία και το Βέλγιο, δήλωσε ο Raiu. Αυτά τα μοναδικά backdoor προγράμματα συνδέονται με διαφορετικούς διακομιστές εντολών και ελέγχου στον Παναμά ή την Τουρκία, και επιτρέπουν στους επιτιθέμενους να εκτελούν εντολές στα μολυσμένα συστήματα.
Οι άνθρωποι πίσω από την καμπάνια κατασκοπείας MiniDuke λειτουργούν τουλάχιστον από τον Απρίλιο του 2012, όταν δημιουργήθηκε αρχικά ένας από τους ειδικούς λογαριασμούς Twitter, δήλωσε ο Raiu. Ωστόσο, είναι πιθανό η δραστηριότητά τους να ήταν πιο λεπτή μέχρι πρόσφατα, όταν αποφάσισαν να επωφεληθούν από το νέο Adobe Reader για να συμβιβάσουν όσο το δυνατόν περισσότερους οργανισμούς προτού τα τρωτά σημεία μπλοκαριστούν.Το κακόβουλο λογισμικό που χρησιμοποιείται στις νέες επιθέσεις είναι μοναδικό και δεν έχει δει ποτέ πριν, οπότε η ομάδα ενδέχεται να έχει χρησιμοποιήσει διαφορετικό malware στο παρελθόν, δήλωσε ο Raiu. Κρίνοντας από το ευρύ φάσμα στόχων και την παγκόσμια φύση των επιθέσεων, οι επιτιθέμενοι πιθανότατα έχουν μεγάλη ατζέντα, δήλωσε.
Τα θύματα του MiniDuke περιλαμβάνουν οργανώσεις από το Βέλγιο, τη Βραζιλία, τη Βουλγαρία, την Τσεχία, τη Γεωργία, τη Γερμανία,, Ισραήλ, Ιαπωνία, Λετονία, Λίβανος, Λιθουανία, Μαυροβούνιο, Πορτογαλία, Ρουμανία, Ρωσία, Σλοβενία, Ισπανία, Τουρκία, Ουκρανία, Ηνωμένο Βασίλειο και Ηνωμένες Πολιτείες
Στις Ηνωμένες Πολιτείες, οι δεξαμενές σκέψης και μια εταιρεία υγείας έχουν επηρεαστεί από αυτή την επίθεση, δήλωσε ο Raiu χωρίς να αναφέρει κανένα από τα θύματα.
Η επίθεση δεν είναι τόσο εξειδικευμένη όσο η Flame ή Stuxnet, αλλά είναι υψηλού επιπέδου, ωστόσο, είπε ο Raiu. Δεν υπάρχουν ενδείξεις σχετικά με το πού θα μπορούσαν να λειτουργήσουν οι επιτιθέμενοι ή ποια συμφέροντα μπορεί να εξυπηρετούν.
Το ύφος κωδικοποίησης backdoor θυμίζει μια ομάδα κακόβουλων προγραμμάτων συγγραφέων, γνωστών ως 29Α, που πιστεύεται ότι είναι απούσα από το 2008. Υπάρχει ένα Η υπογραφή "666" στον κώδικα και η 29Α είναι η δεκαεξαδική αναπαράσταση του 666. Η τιμή του "666" βρέθηκε επίσης στο κακόβουλο λογισμικό που χρησιμοποιήθηκε στις προηγούμενες επιθέσεις που αναλύθηκαν από την FireEye, αλλά η απειλή ήταν διαφορετική από την MiniDuke, Είπε ο Raiu. Το ερώτημα κατά πόσο οι δύο αυτές επιθέσεις είναι σχετικές παραμένει ανοιχτό.
Τα νέα αυτής της εκστρατείας στον τομέα της κυβερνο-κατασκοπείας έρχονται στο φως των ανανεωμένων συζητήσεων για την κινεζική απειλή στον κυβερνοχώρο, ιδίως στις ΗΠΑ, που προκλήθηκε από πρόσφατη έκθεση επιχείρηση ασφαλείας Mandiant. Η έκθεση περιέχει λεπτομέρειες σχετικά με τη μακροχρόνια δραστηριότητα μιας ομάδας κυνηγοφόρων που ονομάστηκε το πλήρωμα σχολίων που ο Mandiant θεωρεί ότι αποτελεί μυστική κυβερνοσύνη του Κινεζικού Στρατού. Η κινεζική κυβέρνηση έχει απορρίψει τους ισχυρισμούς, αλλά η έκθεση καλύφθηκε ευρέως από τα μέσα μαζικής ενημέρωσης.
Ο Raiu είπε ότι κανένα από τα θύματα του MiniDuke που εντοπίσθηκαν μέχρι στιγμής δεν ήταν από την Κίνα, αλλά αρνήθηκε να κάνει εικασίες σχετικά με τη σημασία αυτού του γεγονότος. Την περασμένη εβδομάδα οι ερευνητές ασφαλείας από άλλες εταιρείες προσδιόρισαν στοχευμένες επιθέσεις που διανέμονται στο ίδιο PDF εκμεταλλευόμενοι μεταμφιεσμένα ως αντίγραφα της έκθεσης Mandiant.
Αυτές οι επιθέσεις εγκατέστησαν κακόβουλα προγράμματα που ήταν σαφώς κινεζικής προέλευσης, δήλωσε ο Raiu. Ωστόσο, ο τρόπος με τον οποίο χρησιμοποιήθηκε η εκμετάλλευση σε αυτές τις επιθέσεις ήταν πολύ αργός και το κακόβουλο λογισμικό ήταν απροσδιόριστο σε σύγκριση με το MiniDuke, δήλωσε.
Το Γραφείο του Λευκού Οίκου χρειάζεται επειδή το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ δεν είναι εξοπλισμένο για να προστατεύσει την αμερικανική κυβέρνηση από επιθέσεις στον κυβερνοχώρο, σύμφωνα με την έκθεση της Επιτροπής για την Ασφάλεια στον κυβερνοχώρο του Κέντρου Στρατηγικών και Διεθνών Σπουδών (CSIS) για την 44η Προεδρία. Πολλά μέλη της επιτροπής "ένιωθαν ότι η αποχώρηση από οποιαδήποτε λειτουργία του κυβερνοχώρου στο DHS θα έπληττε την αποτυχία", σύμφωνα με την έκθεση.
Επιπλέον, η έκθεση απαιτεί νέους κυβερνητικούς κανονισμούς επικεντρωμένους στην προστασία των δικτύων των Η.Π.Α. Πολλοί από αυτούς τους κανονισμούς θα επικεντρωθούν στη βελτίωση των κυβερνητικών προσπαθειών για την προστασία της δικής τους υποδομής στον κυβερνοχώρο, αλλά απαιτούνται επίσης κανονισμοί για την ιδιωτική βιομηχανία, αναφέρει η έκθεση.
1. Ο Ομπάμα περιγράφει τα σχέδια για την ασφάλεια στον κυβερνοχώρο, αναφέρει ότι υπάρχει σοβαρή απειλή για τον κυβερνοχώρο και η νέα κατεύθυνση ασφάλειας του Ομπάμα κερδίζει έπαινο: Η ασφάλεια στον κυβερνοχώρο θα αποτελέσει κορυφαία προτεραιότητα διαχείρισης για την αμερικανική κυβέρνηση, με σχέδια συντονιστή να επιβλέπει κυβερνητικές προσπάθειες στον τομέα αυτό. "Είναι πλέον σαφές ότι αυτό το Cyberthreat είναι μία από τις πιο σοβαρές προκλήσεις οικονομικής και εθνικής ασφάλειας που αντιμετ
2. Η Bing και η Bing: Μια οπτική περιήγηση για τα νέα: Όπως αναμενόταν, η Microsoft μετονομάστηκε σε προϊόν "Live Bing", καθώς ανακαινίζει την τεχνολογία αναζήτησης και προσπαθεί να κάνει επιδρομές στο Google σε αυτή την αγορά. Το Tom Spring της PC World εξέτασε μια έκδοση προεπισκόπησης και έφυγε εντυπωσιασμένος (δεν υπάρχει μικρό επίτευγμα) και προσφέρει στους αναγνώστες μια οπτική περιήγηση καθώς και την ανασκόπηση του Bing.
Μια νέα σειρά κατευθυντήριων γραμμών για την ασφάλεια στον κυβερνοχώρο, που δημοσιεύθηκε από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST), δεν επαρκεί για την προστασία που απαιτείται για τα κυβερνητικά συστήματα, δήλωσε μια ομάδα ανάλυσης και υποστήριξης στον κυβερνοχώρο. για μη ταξινομημένα δεδομένα σε πολιτικούς οργανισμούς, που κυκλοφόρησε στις 31 Ιουλίου, αφήνει πολλά ομοσπονδιακά συστήματα πληροφορικής από τις υψηλότερες απαιτήσεις ασφαλείας, σύμφωνα με το Cyber Secure In
Το πρόβλημα είναι ότι πολλά ευαίσθητα ομοσπονδιακά συστήματα θα πέσουν στην κατηγορία μέτριου αντίκτυπου, συμπεριλαμβανομένων των συστημάτων που περιέχουν πληροφορίες σχετικά με τις "εξαιρετικά ευαίσθητες" έρευνες στον ομοσπονδιακό νόμο δήλωσε ο Rob Housman, εκτελεστικός διευθυντής στο CSI. Τα ηλεκτρονικά δεδομένα για την υγεία θα φαίνεται να εμπίπτουν και στην κατηγορία μέτριας επίδρασης.