Car-tech

แคมเปญการโจมตีถูกค้นพบและวิเคราะห์โดยนักวิจัยจาก บริษัท รักษาความปลอดภัย Kaspersky Lab และห้องปฏิบัติการ Cryptography and System Security (CrySyS) ของมหาวิทยาลัยเทคโนโลยีและเศรษฐศาสตร์บูดาเปสต์

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ
Anonim

การโจมตีแบบ MiniDuke ใหม่ใช้ประโยชน์จาก FireEye เดียวกัน แต่ด้วยการปรับเปลี่ยนขั้นสูงบางอย่างกล่าวว่า Costin Raiu ผู้อำนวยการทีมวิจัยและวิเคราะห์ของ Kaspersky Lab ในวันพุธ ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงชุดเครื่องมือที่ใช้ในการสร้างการใช้ประโยชน์ได้เดิม

ไฟล์ PDF ที่เป็นอันตรายเป็นรายงานที่ไม่สุภาพซึ่งมีเนื้อหาที่เกี่ยวข้องกับองค์กรเป้าหมายและรวมถึงรายงานเกี่ยวกับการประชุม Asia-Europe อย่างไม่เป็นทางการ (ASEM) เกี่ยวกับสิทธิมนุษยชนรายงานเกี่ยวกับแผนปฏิบัติการของสมาชิกองค์การนาโต้ของยูเครนรายงานเกี่ยวกับนโยบายต่างประเทศของยูเครนในภูมิภาคและรายงานเกี่ยวกับสมาคมเศรษฐกิจอาร์เมเนียของยูเครนและอื่น ๆ

หากการใช้ประโยชน์ดังกล่าวประสบความสำเร็จไฟล์ PDF ที่โกง ติดตั้งมัลแวร์ชิ้นส่วนที่เข้ารหัสด้วยข้อมูลที่รวบรวมจากระบบที่ได้รับผลกระทบ เทคนิคการเข้ารหัสนี้ใช้ในมัลแวร์ของ Gauss cyber-espionage และป้องกันไม่ให้มัลแวร์ถูกวิเคราะห์ในระบบอื่น Raiu กล่าว ถ้าจะรันบนเครื่องคอมพิวเตอร์เครื่องอื่นมัลแวร์จะรัน แต่จะไม่เริ่มต้นทำงานที่เป็นอันตรายของมันเขาพูด

อีกประเด็นที่น่าสนใจของภัยคุกคามนี้ก็คือมันมีขนาดเพียง 20 กิโลไบต์และถูกเขียนขึ้นใน Assembler ซึ่งเป็นวิธีที่ไม่ค่อยได้ใช้ วันนี้โดยผู้สร้างมัลแวร์ ขนาดที่เล็กของมันยังผิดปกติเมื่อเทียบกับขนาดของมัลแวร์ที่ทันสมัย ​​Raiu กล่าว นี่แสดงให้เห็นว่าโปรแกรมเมอร์เป็น "โรงเรียนเก่า" เขากล่าว

มัลแวร์ที่ติดตั้งในขั้นตอนแรกของการโจมตีนี้เชื่อมต่อกับบัญชี Twitter เฉพาะที่มีคำสั่งที่เข้ารหัสซึ่งชี้ไปยังเว็บไซต์ 4 แห่งที่ทำหน้าที่เป็น command- เซิร์ฟเวอร์ควบคุม เว็บไซต์เหล่านี้ซึ่งเป็นเจ้าภาพในสหรัฐอเมริกาเยอรมันฝรั่งเศสและสวิสเซอร์แลนด์เป็นเจ้าภาพเข้ารหัสไฟล์ GIF ที่มีโปรแกรมลับๆที่สอง

ลับๆที่สองคือการอัปเดตเป็นครั้งแรกและเชื่อมต่อกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม เพื่อดาวน์โหลดโปรแกรมลับๆอีกชุดหนึ่งที่ได้รับการออกแบบมาเฉพาะสำหรับเหยื่อแต่ละราย เมื่อวันพุธที่ผ่านมาเซิร์ฟเวอร์คำสั่งและการควบคุมก็มีโปรแกรมลับๆห้าโปรแกรมสำหรับห้าคนที่ไม่ซ้ำกันในโปรตุเกสยูเครนเยอรมนีและเบลเยี่ยม Raiu กล่าวว่าโปรแกรมลับๆที่เป็นเอกลักษณ์เหล่านี้เชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและควบคุมที่แตกต่างกันในปานามาหรือตุรกี และอนุญาตให้ผู้บุกรุกใช้คำสั่งในระบบที่ติดไวรัส

คนที่อยู่เบื้องหลังแคมเปญ MiniDuke cyber-espionage ได้เริ่มดำเนินการตั้งแต่อย่างน้อยเดือนเมษายนปี 2012 เมื่อมีการสร้างบัญชี Twitter แบบพิเศษขึ้นเป็นครั้งแรก Raiu กล่าว อาจเป็นไปได้ว่ากิจกรรมของพวกเขาจะบอบบางมากขึ้นจนกระทั่งเมื่อไม่นานมานี้เมื่อพวกเขาตัดสินใจที่จะใช้ประโยชน์จากการใช้ประโยชน์จาก Adobe Reader ใหม่เพื่อประนีประนอมองค์กรให้มากที่สุดเท่าที่จะเป็นไปได้ก่อนที่ช่องโหว่จะได้รับการแก้ไขแล้วเขากล่าวว่า

มัลแวร์ที่ใช้ในการโจมตีครั้งนี้มีลักษณะเฉพาะและไม่เคยเห็นมาก่อนดังนั้นกลุ่มจึงอาจใช้มัลแวร์ตัวอื่นในอดีต Raiu กล่าว ผู้บุกรุกอาจมีวาระการประชุมใหญ่ ๆ เขากล่าว

ผู้ที่ตกเป็นเหยื่อ MiniDuke รวมถึงองค์กรจากเบลเยี่ยมบราซิลบัลแกเรียสาธารณรัฐเช็กจอร์เจียเยอรมนีฮังการีไอร์แลนด์, อิสราเอล, ญี่ปุ่น, ลัตเวีย, เลบานอน, ลิธัวเนีย, มอนเตเนโกร, โปรตุเกส, โรมาเนีย, รัสเซีย, สโลวีเนีย, สเปน, ตุรกี, ยูเครน, สหราชอาณาจักรและสหรัฐอเมริกา

ในสหรัฐอเมริกาสถาบันวิจัยสองแห่งสหรัฐฯ คิดว่าถังและ บริษัท ด้านการดูแลสุขภาพได้รับผลกระทบจากการโจมตีครั้งนี้ Raiu กล่าวโดยไม่ได้ตั้งชื่อเหยื่อรายใด ๆ ไว้

การโจมตีครั้งนี้ไม่ได้ซับซ้อนเท่า Flame หรือ Stuxnet แต่เป็นระดับสูงอย่างไรก็ตาม Raiu กล่าว ไม่มีข้อบ่งชี้ใด ๆ เกี่ยวกับว่าผู้บุกรุกสามารถทำงานจากไหนหรือทำอะไรได้บ้าง

กล่าวได้ว่าสไตล์การเข้ารหัสลับของแบ็คดอร์เป็นตัวเตือนความทรงจำของกลุ่มนักเขียนมัลแวร์ที่รู้จักกันในชื่อว่า 29A ซึ่งเชื่อว่าจะเลิกใช้มาตั้งแต่ปี 2008 "666" ในโค้ดและ 29A เป็นตัวแทนเลขฐานสิบหกของ 666 Raiu กล่าวว่า

ค่า "666" พบในมัลแวร์ที่ใช้ในการโจมตีก่อนหน้านี้ที่วิเคราะห์โดย FireEye แต่ภัยคุกคามนั้นแตกต่างจาก MiniDuke, Raiu กล่าวว่า คำถามเกี่ยวกับการโจมตีสองครั้งนี้มีความเกี่ยวข้องกันยังคงเปิดอยู่

ข่าวสารเกี่ยวกับแคมเปญการสอดแนมในโลกไซเบอร์นี้เกิดขึ้นจากการหารือใหม่เกี่ยวกับภัยคุกคามการสอดแนมทางไซเบอร์ของจีนโดยเฉพาะอย่างยิ่งในสหรัฐอเมริกาซึ่งได้รับแจ้งจากรายงานล่าสุดจาก บริษัท รักษาความปลอดภัย Mandiant รายงานฉบับนี้มีรายละเอียดเกี่ยวกับกิจกรรมที่ยาวนานเป็นเวลานานหลายปีของกลุ่มผู้โจมตีระบบรักษาความปลอดภัย (cyberattackers) ชื่อว่าลูกความคิดเห็นที่ Mandiant เชื่อว่าเป็นความลับของไซเบอร์บุนของกองทัพจีน รัฐบาลจีนได้ยกเลิกข้อกล่าวหาดังกล่าวแล้ว แต่รายงานดังกล่าวได้ถูกกล่าวถึงอย่างกว้างขวางในสื่อต่างๆ

Raiu กล่าวว่าเหยื่อ MiniDuke ไม่ได้ระบุว่ามาจากประเทศจีน แต่ปฏิเสธที่จะคาดเดาเกี่ยวกับความสำคัญของข้อเท็จจริงนี้ นักวิจัยด้านความปลอดภัยจาก บริษัท อื่น ๆ ระบุว่ามีการโจมตีแบบกำหนดเป้าหมายซึ่งแจกจ่ายการโจมตีรูปแบบไฟล์ PDF เดียวกันโดยปลอมตัวเป็นสำเนาของรายงาน Mandiant

การโจมตีดังกล่าวติดตั้งมัลแวร์ที่มีต้นกำเนิดมาจากประเทศจีนอย่างชัดเจน Raiu กล่าว อย่างไรก็ตามวิธีที่ใช้ประโยชน์ในการโจมตีเหล่านี้มีความรุนแรงมากและมัลแวร์ก็ไม่ซับซ้อนเมื่อเทียบกับ MiniDuke เขากล่าว

ในสัปดาห์นี้เจ้าหน้าที่ของรัฐประกาศจับกุม 11 คนที่ถูกกล่าวหาว่าขโมยหลายสิบล้านคน หมายเลขบัตรเครดิตจาก บริษัท ใหญ่ ๆ - จากนั้นเรียกค่าบริการทางดาราศาสตร์ บริษัท ที่ประสบความสำเร็จ ได้แก่ Barnes and Noble, BJ's, Boston Market, Dave and Buster, DSW, Forever 21, OfficeMax, Sports Authority และ TJX - บริษัท แม่ของ TJ Maxx และ Marshall's

ในสัปดาห์นี้เจ้าหน้าที่ของรัฐประกาศจับกุม 11 คนที่ถูกกล่าวหาว่าขโมยหลายสิบล้านคน หมายเลขบัตรเครดิตจาก บริษัท ใหญ่ ๆ - จากนั้นเรียกค่าบริการทางดาราศาสตร์ บริษัท ที่ประสบความสำเร็จ ได้แก่ Barnes and Noble, BJ's, Boston Market, Dave and Buster, DSW, Forever 21, OfficeMax, Sports Authority และ TJX - บริษัท แม่ของ TJ Maxx และ Marshall's

นักวิจัยกล่าวว่าผู้ต้องสงสัยเดินทางจากเมือง ไปยังเมืองที่ผ่านมาห้าปีโดยใช้แล็ปท็อปเพื่อแฮ็คอย่างเป็นระบบในเครือข่ายไร้สายของแต่ละธุรกิจ อัยการอ้างว่าพวกเขายกรหัสผ่านและรายละเอียดบัญชีส่วนบุคคลพร้อมกับบัตรเครดิตแล้วขายทั้งหมดออนไลน์ ผู้ชุมนุมกล่าวหาและชายสองคนจากไมอามี ผู้ต้องสงสัยอีกแปดคนจากซานดิเอโกและส่วนที่เหลือมาจากเอสโตเนียยูเครนจีนและเบลารุส

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิ่งสื่อและการสำรองข้อมูล]