(Croatian) THRIVE: What On Earth Will It Take?
Napadna kampanja otkrivena je i analizirana od strane istraživača sigurnosne tvrtke Kaspersky Lab i Laboratorij za kriptografiju i sigurnost sustava (CrySyS) na Budimpeštanskom sveučilištu za tehnologiju i ekonomiju.
Pod nazivom MiniDuke, koristi se ciljane poruke e-pošte - tehnika poznata pod nazivom koplje krađa - koje su sadržavale zlonamjerne PDF datoteke koje su opremljene recen-om
[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]
Ovaj je izvor otkriven u aktivnim napadima ranije ovog mjeseca od strane sigurnosnih istražitelja iz FireEye i sposoban je za Adobe Reader 9, 10 i 11 zaobilazeći zaštitu sandboxa u programu Adobe Reader 10 i 11. Adobe je objavio sigurnosne zakrpe za ranjivosti koje je ciljano eksploatacija 20. veljače.Novi MiniDuke napadi upotrebljavaju isti iskorištavanje koje je identificiralo FireEye, ali s nekim naprednim izmjenama, rekao je Costin Raiu, direktor globalnog istraživačkog i analitičkog tima Kaspersky Laba, u srijedu. To može značiti da napadači imaju pristup alatu koji je upotrijebljen za stvaranje izvornog eksploatacije.
Zlonamjerne PDF datoteke su skrivene kopije izvješća sa sadržajem relevantnim za ciljane organizacije i uključuju izvješće o neformalnom susretu Azije i Europe (ASEM) seminara o ljudskim pravima, izvješće o akcijskom planu Ukrajine za članstvo u NATO-u, izvješće o regionalnoj vanjskoj politici Ukrajine i izvješće o armenskom ekonomskom društvu 2013.
Ako je iskorištavanje uspješno, instalirati dio zlonamjernog softvera koji je šifriran s podacima prikupljenim od pogođenog sustava. Ta je enkripcijska tehnika također korištena u štetnom programu Gauss cyber-špijunaže i sprječava analizu zlonamjernog softvera na drugačiji sustav, rekao je Raiu. Ako se pokrene na drugom računalu, zlonamjerni softver će se izvršiti, ali neće pokrenuti zlonamjerne funkcije, rekao je.
Još jedan zanimljiv aspekt ove prijetnje je da je veličina samo 20 KB i napisana u Assembleru, metodi koja se rijetko koristi danas od strane malicioznih tvoraca. Njegova mala veličina je također neobična u usporedbi s veličinom modernog malwarea, kazao je Raiu. To sugerira da su programeri bili "starija škola", rekao je.
Komad zlonamjernog softvera koji je instaliran tijekom ove prve faze napada povezuje se s određenim Twitter računima koji sadrže šifrirane naredbe koje upućuju na četiri web stranice koje djeluju kao naredba- kontrolnih poslužitelja. Ove web stranice, koje se nalaze u SAD-u, Njemačkoj, Francuskoj i Švicarskoj, domaćin šifrirane GIF datoteke koje sadrže drugi backdoor program.
Drugi backdoor je ažuriranje prvog i povezuje se s poslužiteljima za naredbu i kontrolu za preuzimanje još jednog backdoor programa koji je jedinstveno dizajniran za svaku žrtvu. Od srijede, poslužitelji za naredbu i nadzor poslužili su pet različitih programa za pet jedinstvenih žrtava u Portugalu, Ukrajini, Njemačkoj i Belgiji, rekao je Raiu.Ovi jedinstveni programi za backdoor povezuju se s različitim poslužiteljima za nadzor i nadzor u Panami ili Turskoj, a oni dopuštaju napadačima da izvrše naredbe na zaraženim sustavima.
Ljudi koji stoje iza kampanje za špijunažu internetske operacije MiniDuke djelovali su barem od travnja 2012, kada je prvi stvoren jedan od posebnih računa na Twitteru, rekao je Raiu. Međutim, moguće je da je njihova aktivnost bila suptilnija sve do nedavno, kada su odlučili iskoristiti prednost novog exploitiranja Adobe Readera kako bi kompromitirali što je više organizacija prije nego što se ranjivosti poprave, rekao je.Zlonamjerni softver koji se upotrebljava u novim napadima jedinstven je i nije ga vidio prije, pa je grupa možda u prošlosti koristila različite zlonamjerne programe, rekla je Raiu. Sudeći po širokom rasponu ciljeva i globalnoj prirodi napada, napadači vjerojatno imaju veliki plan, kazao je.
Žrtve MiniDuke uključuju organizacije iz Belgije, Brazila, Bugarske, Češke, Gruzije, Njemačke, Mađarske, Irske U Sjedinjenim Američkim Državama, istraživački institut, dva pro-SAD-a, Izrael, Japan, Latvija, Libanon, Litva, Crna Gora, Portugal, Rumunjska, Rusija, Slovenija, Španjolska, Turska, Ukrajina, Ujedinjeno Kraljevstvo i Sjedinjene Države. mislioci i zdravstveno poduzeće bili su pogođeni ovim napadom, rekla je Raiu bez imenovanja bilo koje žrtve. Napad nije tako sofisticiran kao Flame ili Stuxnet, ali ipak je na visokoj razini, rekao je Raiu. Nema naznaka o tome gdje bi napadači mogli djelovati ili koje bi interese mogle poslužiti.
To je rečeno, stroj za kodiranje stražnjih stranica podsjeća na grupu zlonamjernih pisci poznatih kao 29A, za koje se vjeruje da su od 2008. godine zastarjeli. "666" potpis u kodu i 29A je heksadecimalni prikaz 666, rekao je Raiu.
Vrijednost "666" također je pronađena u zlonamjernom softveru koji se koristio u ranijim napadima analiziranim od strane FireEye, ali ta se prijetnja razlikovala od MiniDuke, Rekao je Raiu. Pitanje o tome jesu li ta dva napada povezana je i dalje otvorena.
Novosti o ovoj kampanji za špijunažu cyber-kulture potječu od obnovljenih rasprava o kineskoj prijetnji cyber-špijunaže, osobito u SAD-u, koje su potaknute nedavnim izvješćem sigurnosna tvrtka Mandiant. Izvještaj sadrži detalje o dugogodišnjoj aktivnosti skupine cyberattackera nazvanih "Crew komuniciranja" koju Mandiant vjeruje da je tajna cyberunita Kineske vojske. Kineska vlada odbacila je optužbe, no izvješće je naširoko obuhvaćeno u medijima. Raiu je rekao da nitko od do sada identificiranih žrtava minike nije iz Kine, ali je odbio nagađati o važnosti ove činjenice. Prošli tjedan sigurnosni istraživači iz drugih tvrtki identificirali su ciljane napade koji su distribuirali isto PDF iskorištavanje masquerade kao kopije Mandiantovog izvješća.
Ti napadi ugradili su zlonamjerni softver koji je očito bio kinesko podrijetlo, rekao je Raiu. Međutim, način na koji je iskorištavanje korišten u tim napadima bilo je vrlo grubo i zlonamjerni softver bio je nerazumljiv u usporedbi s MiniDukama, rekao je.
Sigurnosni istraživači su otkrili da je Conficker crv ažuriran kako bi ga se teže borili, a također ima za cilj uložiti više računala (očito, 3 milijuna do 12 milijuna nije dovoljno). Dok prodavači sigurnosti nastoje spriječiti crv, analitičari tvrde da Sunce vjerojatno neće odbiti druge suputnike sada kada je odbacio IBM. Veliki potres u središnjoj Italiji naglasio je još jednom kako važna mobilna komunikacija i internet pomažu preživjelima da se žale za pomoć i dobivanje informacija. Conficker
[Daljnje čitanje: Kako za uklanjanje zlonamjernog softvera s vašeg Windows računala]
Novi komadi zlonamjernog softvera koji inficiraju point-of- (POS) sustavi već su korišteni za kompromitiranje tisuća platnih kartica koje pripadaju klijentima američkih banaka, tvrde istraživači iz grupe-IB, sigurnosne i računalne forenzike tvrtke sa sjedištem u Rusiji.
POS zlonamjerni softver nije nova vrsta rekao je Andrey Komarov, šef međunarodnih projekata u grupi IB, u srijedu putem e-pošte.
Microsoft je objavio novu temu temeljenu na RSS - Bing Dynamic themepack za Windows 7. Ova tema prikazuje svježe preuzetu pozadinu koja se ažurira automatski. Svakog tjedna dobivate novu fotografiju iz Binga tri mjeseca, uz ovu temu koja se automatski ažurira putem RSS feed-a.
Kada se pretplatite na RSS feedove, vaš Windows računalo automatski će preuzeti nove pozadine svaki put kad god budu dodano Microsoftovom tematskom poslužitelju. Dakle, svaki put kad se spojite na internet, slike ili desktop pozadine bit će preuzete na posebnu mapu na vašem računalu i automatski će se prikazati na radnoj površini.