Fraser Howard, a SophosLabs víruskutatója, a Sophos NakedSecurity blogból
Sok olvasónk láthatta a hack támadásokról szóló híreket az újságokban, amely támadásokat a McAfee „Operation Night Dragon" néven nevezett meg. Ebben a blogbejegyzésben megpróbálom megválaszolni azt a néhány általános kérdést, amelyet ez az egész történet felvetett.
Mi is az a Night Dragon támadás?
A mai napig nem létezik olyan kártevőcsalád, hogy „Night Dragon". Ehelyett olyan támadásokat szoktak ezzel a névvel illetni, amelyek különböző szervezetek ellen indultak 2009 novembere óta, mindegyiket egy ugyanolyan eljárásmód követett. A McAfee jelentésében a támadásokat célzottnak írták le, közösségi átverős és adathalász technikák használatával. A támadások célja látszólag nagyvállalati hálózatokba történő behatolás volt, érzékeny adatok kinyerése miatt.
Hogyan működnek ezek a támadások?
A támadások számos különféle komponenst használnak - nem lehet egy adott kártevőt vagy kártevő családot megnevezni.
A támadás első fázisában a célhálózatba behatolás történik, „a bejárati ajtó betörése" ha így jobban tetszik. A jelentések szerint spear fishing (olyan célzott adathalász támadás, amely során a támadó a célszemélyről valós információkkal is rendelkezik és azokat fel is használja a támadás során) és a publikus webszerverek elleni SQL injekciós támadásokat használtak. Miután bejutnak, a támadók ingyenesen elérhető hacker eszközöket töltenek fel a megtámadott szerverekre azért, hogy rálátást nyerjenek a belső hálózatra. Ezután a belső hálózatot hagyományos módszerekkel át tudják venni (AD azonosítók hozzáférésével, felhasználói jelszavak feltörésével) azért, hogy távoli admin eszközökkel megfertőzhessék a hálózati gépeket.
Védve vagyok az ilyen támadások ellen?
Számos komponenst használnak az ilyen támadások során, ezek közül jónéhány elérhető kínai hacker weboldalakról. Éppen ezért számos észlelési név is társul ehhez a fenyegetéshez. A támadásban valószínűsíthetően résztvevő binárisok részleteiből megállapítható, hogy a fő komponensek legtöbbjét a Sophos termékek Mal/Generic-L néven észlelik.
Csak a tisztázás miatt közlöm, hogy azóta mi kiadtuk a Troj/NDragon-A és a Mal/NDragon-A észleléseket a különböző komponensekre vonatkozóan, az utóbbi genotípus észlelés általános észlelést biztosít más változatok számára, amelyek valószínűleg a vadonban keringenek.
A támadásban felhasznált egyéb komponensek észlelése pedig Troj/Redsip-A és Mal/Redsip-A néven lett hozzáadva.
A rendelkezésre álló részletek azt sugallják, hogy a fenti kártevőkön felül különféle legitim eszközöket is használtak a támadások során (pl. Sysinternals programok). A Sophos ügyfelei használhatják a PUA és az Application Control észleléseket, hogy teljeskörűen menedzselhessék az ilyen eszközöket a környezetükön belül. Ezen programok között legitim szoftverek is megtalálhatóak, de Ön tényleg nem akarhatja megengedni a futásukat a hálózatán belül (pl. IP szkennelés, jelszó visszaállítás és távoli admin eszközök).
Egy dolog világos a Night Dragon támadásokból: a PUA és az App. Control észleléseket nem lehet figyelmen kívül hagyni. Ezen technológiák használatával segíthet menedzselni azokat a programokat, amelyek a hálózatában futhatnak, és ez tisztán valós biztonsági előnyt jelent.
Ezek célzott támadások?
Ismétlem, a jelenlegi állás szerint mi csak a jelentésben szereplő információk alapján tudunk spekulálni. Meglehet, hogy a támadások adott szervezetek ellen irányultak. Hasonlóképpen akár az is lehet, hogy széleskörű hálózatokat is megtámadhattak ugyanilyen módon? Csak a listán szereplő nagynevű szervezetek azok, amelyeknél a támadást tulajdonképpen észlelték és jelentették?
Miért fontos, hogy a támadások célzottak voltak vagy sem? Véleményem szerint ez csak felfogás kérdése. Fontos, hogy ezeket a támadásokat nem vesszük úgy, mintha valószínűleg csak nagynevű, hatalmas szervezetek ellen irányultak volna. Minden szervezetnek tanulnia kell ebből a jelentésből és meg kell győződnie arról, hogy megfelelő többszintű védelemmel rendelkezik a hálózatában. A felhasználók képzése is fontos - elkerülve többek között a közösségi csalásokat.
Ez az egész az „Operation Aurora - Aurora Hadművelet"-hez köthető?
Biztos vagyok benne, hogy néhányan úgy gondolják, hogy igen! Az igazság, hogy a támadás forrásáról szóló további információk nélkül lehetetlen megmondani, hogy a Night Dragon támadások kapcsolatban állnak az Aurorával. A támadás stílusa hasonlatos (a határvonalon történő behatolás bármilyen szükséges eszközzel, majd a belső hálózatba terjeszkedés a szükséges adat megtalálásához és kinyeréséhez), de nem olvashatunk túl sokat arról, hogy a támadás általános formája hogyan néz ki.
Összefoglaló gondolatok és megjegyzések
A jelentés lényege, hogy az összes szervezetnek oda kell figyelnie a ma cyberbűnözői által jelentett kockázatokra. A jelentés nem különösebben egy adott támadási módszerre vagy kártevőre reflektál. Ehelyett szervezett csoportok adott szervezetek elleni folyamatos és koordinált támadásait hangsúlyozza ki, amelyek célja érzékeny adatok kinyerése.
Az igazság, hogy ez a hét sem különbözik az előzőtől - nincs új járvány, sérülékenység vagy fertőzési kockázat. Ehelyett a támadások nagyszerűen illusztrálják a bűnözői csoportok azon hátterét, amellyel a szervezeteknek szembesülnie kell.
További információ angol nyelven