Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Skimmerzy kontra banki

Nadużycia powodowane przez cyberprzestępców, kopiujących karty płatnicze, wpisały się w codzienne życie wielu banków. Chociaż wprowadzane są coraz...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Włamywacze zaatakowali 100 firm

1 marca 2010

securitystandard
Przestępcy, którzy włamali się w grudniu do systemu informatycznego koncernu Google, zaatakowali w sumie ponad 100 firm - a nie, jak pierwotnie sądzono, ok. 30. Tak w każdym razie twierdzą specjaliści z firmy Isec Partners, którzy od blisko dwóch miesięcy na własną rękę prowadzą dochodzenie w sprawie ubiegłorocznych ataków.

Pracownicy firmy są coraz bliżej zidentyfikowania przestępców odpowiedzialnych za owe ataki - do tej pory udało im się już namierzyć ponad 100 serwerów, wykorzystanych do przeprowadzenia owych włamań. Początkowo takich serwerów wykryto ok. 30 - ich analizy wykazały, że każdy z nich był używany podczas ataku na jedną, konkretną firmę (dlatego też początkowo mówiono, że w sumie zaatakowano ok. 30 przedsiębiorstw). Później jednak specjaliści namierzyli kolejne 68 serwerów - a to znaczy, że przestępcy włamali się do co najmniej 100 firm. "Naszym zdaniem "ofiar" jest nawet więcej, aczkolwiek na razie nie jesteśmy w stanie podać dokładnej liczby. Na pewno jest ona większa niż 100" - mówi Alex Stamos z Isec Partners.

Ale na tę liczbę wskazują nie tylko analizy serwerów kontrolnych - przedstawiciele Isec Partners od blisko dwóch miesięcy analizują również dyskusje prowadzone na forach internetowych dla specjalistów ds. bezpieczeństwa. Okazuje się, że już w połowie grudnia (czyli krótko po tym, jak doszło do ataku na Google) fora zaroiły się od postów pracowników najróżniejszych firm, którzy raportowali włamania do ich systemów i prosili o porady związane z oceną sytuacji i namierzaniem sprawców. "Wciąż obserwujemy te fora i listy dyskusyjne - lista zaatakowanych firm wydłuża się z dnia na dzień..." - dodaje Stamos.

Z analiz Isec Partners wynika też, że oprogramowanie wykorzystane przez włamywaczy do zaatakowania amerykańskich firm - roboczo nazywane przez specjalistów "Aurora" (ponieważ słowo to kilkakrotnie przewija się w kodzie) - krążyło w Sieci co najmniej od półtora roku. Ale znane było wyłącznie w kręgach przestępczych - specjaliści ds. bezpieczeństwa dowiedzieli się o nim i zaczęli je analizować dopiero po tym, jak na początku stycznia Google oficjalnie poinformował, że został zaatakowany.

Przypomnijmy: do tej wiedzieliśmy, że w sumie zaatakowanych mogło zostać nawet 30 firm. Zaledwie kilka z nich oficjalnie potwierdziło tę informację - m.in. Google, Adobe oraz Symantec. Wiadomo, że atak został przeprowadzony z wykorzystaniem zainfekowanych e-maili, które rozesłano do starannie wybranych pracowników owych firm - listy były sformułowane tak, by odbiorcy byli przekonani, że jest to normalna, skierowana specjalnie do nich korespondencja biznesowa (wiadomo, że przestępcy gromadzili informacje o tych pracownikach m.in. w serwisach społecznościowych).

W ten sposób przestępcy instalowali złośliwe oprogramowanie na komputerach kluczowych pracowników owych firm - następnie wykorzystywali je do przechwycenia haseł do poufanych zasobów i zaczynali wykradać dane. Wiadomo, że interesowały ich m.in. kod źródłowy oprogramowania, dokumenty finansowe, dane kont pocztowych niektórych użytkowników itp.

Taka metoda ataku nie jest tak naprawdę niczym nowym - ale w tym przypadku całą operacją perfekcyjnie zaplanowano i przeprowadzono. Dzięki temu przestępcy bez większych problemów ominęli większość klasycznych technik zabezpieczających firmową infrastrukturę przed atakami. "Próbujmy zwalczać takie ataki od dobrych pięciu lat. Na razie niestety bez większych efektów - okazuje się, że przestępcy z powodzeniem omijają wszystkie zabezpieczenia za pomocą... e-maili" - komentuje Rob Lee, specjalista ds. bezpieczeństwa z amerykańskiego SANS Institute.

Stamos zgadza się, że w przypadku grudniowych ataków nie na wiele zdały się firmowe antywirusy, firewalle i systemy wykrywania intruzów. "Ale mnie szczególnie zaintrygowało coś innego - to, jaką cierpliwością i pracowitością wykazali się włamywacze. Musieli spędzić mnóstwo czasu, pisząc skomplikowane złośliwe programy, przeznaczone do uruchomienia na komputerze tylko jednego, konkretnego użytkownika. Używali serwisów społecznościowych, żmudnie budowali swoje profile i relacje z ofiarami... to naprawdę niezwykłe" - wyjaśnia specjalista.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 2)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

~Słonik

  • ocena: brak oceny
  • IP: 77.91.63.252
  • 01-03-2010, 13:23

Jak zwykle w takich przypadkach nie podano jakie to oprogramowanie (systemy operacyjne i programy użytkowe) znajdowały się na komputerach które zostały zaatakowane.
Jednak ponieważ sprawa dotyczy USA - to na pewno to produkty z Redmond, a co za tym idzie pokazują jak łatwo jest dokonać włamania do tego oprogramowania.
Ciekawe jaką rolę w tym całym zdrzeniu miało NSA (które pomaga M$ w "prdukcji" "najbezpieczniejszych" z dotychczas "wyprodukowanych" programów?)

~Zeke

  • ocena: brak oceny
  • IP: 165.72.200.11
  • 01-03-2010, 13:37

@Słonik
Podano w jednym z poprzednim newsów, wykorzystana została dziura w IE - który, jak wiadomo, działa tylko na najbezpieczniejszym systemie operacyjnym (wg niektórych, podających się za dziennikarzy, klakierów).