- Dark Reading nyomán -

Az Aurora kódnéven ismert hacker-hadművelet decemberben számos amerikai céget érintett - a legújabb vizsgálatok szerint jóval többet, mint korábban gondolták!

Greg Hoglund, a HBGary digitális helyszínelő cég elnöke nemrég közleményben ismertette a nyomozás jelenlegi állását. A három legfontosabb felismerés az, hogy a Kínából induló támadássorozat:

• jóval korábban kezdődött, mint eddig gondolták
• az áldozatul esett cégek száma messze meghaladja az ismert harmincat
• a fejlett technológiával végrehajtott feltörések a leleplezés és a nemzetközi diplomáciai botrány ellenére is tovább folytatódnak

A konkurens Mandiant Forensics cég alapítója konkrétumokkal egészíti ki a képet. Kevin Mandia szerint az évi végi nagy támadásokhoz hasonló, egyedileg azonosítható hacker-tevékenységre először 2008-ban figyeltek fel - azóta már több száz céget ért támadás, a legrosszabb periódusban egyszerre 200 áldozatról értesültek a kutatók.

Elégtelen a védelem szintje
Az akkoriban még APT (fejlett, hosszantartó fenyegetések) rövidítéssel emlegetett hackerhadjárat nyomait az e-helyszínelők a kezdetektől fogva szorgalmasan gyűjtik. A Mandiant eddig összesen 1800 darab különféle, fejlett támadásokhoz felhasznált fertőzést talált és ezek elemzésével megállapították, hogy a cégek elleni célzott betörések négyötöd részénél egyedileg testreszabott programkártevőt használtak a hackerek.

Mindez nagyon megnehezíti a védekezést. Az egyedi APT-kártevőkre a víruskereső programok tavaly egyetlen riasztást sem adtak és a Mandiant cég minta-gyűjteményén megismételt vizsgálat szerint az antivírus egy év után is csak 24%-át ismeri fel a legfejlettebb rosszindulatú fájloknak.

Nem csoda tehát, hogy a támadások mindkét fronton meglehetős sikerrel folytatódnak. A Mandiant szerint a hackerek újabb kártevő-változatokkal "frissítik" már a korábban megfertőződött APT és Aurora áldozatok gépeit a hálózati hátsóajtó hozzáférés megőrzése érdekében - miközben további cégeket is feltörnek, akiknek az áldozattá válásáról még nem értesültek a kutatók.

A hackerek munkáját tévhitek is segítik: sokan a korai közlések alapján még mindig úgy gondolják, hogy az Aurora kizárólag a régi IE 6.0 webböngésző hibáját célba vevő, adathalász levelekben terjesztett exploit kódról szól és elég az ellen védekezni. A HBGary közleménye szerint azonban számos más behatolási útvonal is létezik, amit a Dark Reading magazin saját informátora is megerősített.

Sokan, sokféleképpen vannak veszélyben
Az értékeléskor azt sem szabad szem elől téveszteni, hogy az újabb vizsgálatok szerint a célpontok köre jócskán kiszélesedett, az APT-veszély nem csak a korábban ismert csúcstechnológiai és hadiipari vállalkozásokat érinti! A Mandiant szerint az áldozatok közös jellemzője, hogy cégfelvásárlási vagy cégegyesítési ügyletben vettek részt a kínai piacon. Azt is megfigyelték, hogy a célzott hacker-támadások a cégek jogi képviselőit, külső tanácsadóit és a kínai felvásárlásokkal foglalkozó csúcsvezetőit érintették.

Ez azt jelenti, hogy gyakorlatilag bármely termelő vállalkozás áldozattá válhat, hiszen napjainkban a tornacipőtől az autóbuszig szinte minden Kínában készül. A hagyományos amerikai, európai márkák is oda telepítik a gyártói kapacitásukat - leányvállalatokat alapítanak, vagy kínai cégekkel szerződnek a munkára - hogy az árversenyben életben maradhassanak.

A Mandiant szerint az Aurora támadások mögött megfigyelhető egy olyan szál, amely a nyugati cégek szellemi tulajdonának, ipari titkoknak a megszerzésére irányul.
[ A kínai gyártók pár év bérmunka után tipikusan lemásolják az adott terméket és licenc nélkül maguk kezdik árusítani - a koppintást viszont egyedül a végtermék ismeretében, a fejlesztési dokumentációk megszerzése nélkül nehéz lenne megoldani egy gépkocsi, vagy annál bonyolultabb tárgy esetén - Szerk. ]

Célkeresztben a hackerek mestere
A biztonsági cégek eközben igyekeznek saját erőből végére járni az ügynek: immár bizonyított tény a támadások kínai eredete - Greg Hoglund szerint olyan specifikus nyomokat is találtak, ami alapján azonosítani tudták az Aurora által használt valós IP-címeket, sőt a támadó saját programozási stílusát, az általa kedvelt algoritmusokat és registry kulcsokat is.

Erről természetesen nem árultak el részleteket, mert nem akarnak tippeket adni a hackernek, azt azonban jelezték, hogy személyre lebontva sikerült behatárolniuk a tényleges programozást végző támadó kilétét. A betörésből maradt nyomok alapján tehát el lehet dönteni, hogy a kutatók a "mester" saját keze munkáját látják-e, vagy csak egy utánzójáét, aki például a Metasploit által nyilvánosságra hozott általános Aurora támadókódot módosítja.

A HBGary cég egyelőre nem rendelkezik olyan bizonyítékkal, amely a kínai kormányzathoz kapcsolná az APT támadássorozatot és annak végrehajtóit - a cégvezér Greg Hoglund rejtélyes megjegyzése szerint ez azonban nem jelenti azt, hogy a hivatalos vizsgálatot végzők ne lennének birtokában ilyen adatnak, legfeljebb még nem osztják meg nyilvánosan a tudásukat...

Védőoltás a járványos betörések ellen
Mivel az ügy ezen a téren holtpontra jutott és az APT hacker-támadások folytatódnak, a HBGary munkatársai a széleskörű felvilágosítás mellett digitális védőoltással is megpróbálnak segíteni a veszélyben lévő cégeken. Az Aurora-fertőzött gépek hálózati felismerésére és mentesítésére képes, alig 64kB-os önálló segédprogram rövid leírással együtt ingyenesen letölthető a cég weblapjáról.

A YES-re kattintva letölthető a program, a ZIP tömörített fájlból a kibontás jelszava: disinfect, ezután lehet futtatni a programot a leírás szerint (az oldal címét - http://www.hbgary.com/products-services/inoculation-shot-aurora/ - a Google fordítóba téve, magyarul is olvasható a leírás)

Download:

Have you agreed to the HBGary Standard Software Agreement (linked above): YES

ZIP FILE: Password is ‘disinfect’ (no quotes)

Magyar nyelven:

Letöltés:

HBGary Standard Software liszensz megállapodásba (EULA) bele kell egyezni. Ez nem fizetős szoftver, de, mint más ingyenes programnál, itt is van "EULA", nem jár kötelezettségekkel : IGEN

ZIP FILE: jelszó a "fertőtleníteni"

(forrás: virushirado.hu)