(2010. január 18.)

- Wired, IT World nyomán - Eddig nem tapasztalt szupertámadás érte többek közt az Adobe és a Google hálózatát.

Az amerikai McAfee antivírus cég közlése szerint tavaly december közepén-végén magasan fejlett eszközökkel végrehajtott netes támadás érte az Adobe és a Google szoftvercégek és még legalább 20 másik vállalat rendszerét - ehhez hasonló hacker-képességek nyomaival a kutatók korábban csak katonai és hadiipari kémügyekben találkoztak.

Az eset számos részlete egyelőre titokban maradt, bár Dmitri Alperovitch víruskutatásért felelős McAfee-elnökhelyettes nyilatkozata szerint a kezdeti behatolást az Internet Explorer webböngésző egy addig ismeretlen, ún. nulladik napi sebezhetőségét kihasználva hajtották végre a vélhetően kínai támadók. A súlyos IE-hibára a gyártó Microsoft még nem tudott javítást kiadni: egyelőre csak kerülő megoldásokat javasol a cég KB979352 jelzésű tudásbázis cikke.

A kártékony, ún. exploit-kódot tartalmazó webhivatkozásokat célzott adathalász levelekbe, azonnali IM üzenetekbe és Facebook értesítőkbe rejtették a hackerek. A támadók a későbbiekben esetleg az Acrobat PDF-olvasó program és az Office szövegszerkesztő hibáit is felhasználhatták a céges hálózatokba való benyomuláshoz - arra azonban nincs bizonyíték, hogy a kezdeti támadás ezekkel történt volna.

Jól becsomagolt karácsonyi ajándékot küldtek
A támadás eredetére a Google feltörésének egyik részlete utal: a hackerek nem csak a cég belső hálózatát kutatták át, de megpróbáltak behatolni kínai ellenzékiek védett Gmail postafiókjába is. Az iDefense portál jelentése ezen kívül két névtelenséget kérő, nemzetvédelmi területen dolgozó informátorra hivatkozik, akik megerősítették, hogy az IP-címek elemzése alapján a betöréseket kínai hackerek, vagy Kína megbízásából tevékenykedő külföldiek követték el.

A bonyolult hackerakció azért maradhatott hosszabb ideig észrevétlen, mert a vírusírók háromszorosan titkosított szkript kódot készítettek az egyedi kártevők bejuttatásához, így sikerült elrejteniük jelenlétüket a biztonsági szoftverek elől. A megszerzett anyagot a hackerek nem továbbították rögtön külföldre - a texasi Rackspace hoszting cég feltört szerverei és a nyugat szövetségesének számító Tajvanon található gépek szolgáltak közvetítőként a nagy mennyiségű információ kevésbé feltűnő kijuttatásához.

A helyzet felismerését nehezítette, hogy az év végi ünnepek előtt és alatt a vállalatok informatikai részlegei is csökkentett létszámmal működtek, ezért a távolról telepített hátsóajtó program egy SSL-titkosított és tartalmilag nem vizsgálható adatcsatornán könnyen kijuttathatta a bejelentkezési azonosítókat a hackereknek - akik az uralmuk alá vont gépeket hídfőállásként használták a teljes céges hálózat átkutatásához és további dokumentumok eltulajdonításához.

Csak tiszta forrásból merítettek a hackerek
A nyomozásra felkért McAfee szakértői szerint az on-line betörők az Adobe és a Google által fejlesztett szoftvertermékekhez tartozó forráskód-gyűjteményt akarták ellopni. Ezt a célt minden bizonnyal sikerült is elérniük, mert a kiber-kémkedést támogató ún. botnet-hálózatot csak január 4-én sikerült leállítani és ennyi idő alatt a hackerek könnyen megszerezhették a teljes forráskódot vagy annak nagy részét.

A programforrások elvesztése kettős veszélyt rejt magában: a szoftverek jogosulatlan lemásolása és árusítása nagy kárt okoz a válsággal küzdő amerikai gazdaságnak, illetve jó szemű hackerek az olvasható forrást elemezve további, eddig fel nem ismert sebezhetőségeket találhatnak - amelyekkel újabb, még veszélyesebb kiber-támadásokat tudnak indítani, vélekedik Mikko H. Hypponen, az F-Secure antivírus cég kutatásvezetője.

Állami szinten foglalkoznak a botránnyal
A mega-feltörési ügy kiemelt hangsúlyt kap a politikában és az informatikai szakmában is. A Google vezetése válaszként már a Kínából történő üzleti kivonulás lehetőségét mérlegeli, amit a cég hivatalos közleménye a kommunista állam emberi jogi problémáival indokol. A Pentagon is lépéskényszerbe kerülhet, mert a nagy hackelés-sorozat további 34, kevésbé publikált áldozata között ott szerepel a lopakodót gyártó Northrop-Grumman cég és az atomiparban jártas Dow Chemical konszern is.

Talán nem véletlen egybeesés, hogy a Google és a McAfee kódfejtői szerint a többszörösen titkosított szuperkártevőt készítő hacker gépén a fő könyvtár neve Aurora volt - ami utalhat a híres forradalmár cirkálóra, de a Northrop cég "fekete" projektjének tartott SR-91 felderítő űrrepülőgép kódnevére is (bár vitatott, hogy létezik-e egyáltalán ez a 9 milliárd dolláros csodafegyver).

Egység és sokszínűség
Elképzelhető, hogy a nagyszabású hackerügy végeredményben összekovácsolja az Atlanti-óceán két partját. Korábban az európai csúcstechnológiai cégek arra panaszkodtak, hogy amerikai vetélytársaik az NSA ügynökségtől minden fejlesztésről előre értesültek - most viszont a kínai hackerek mindkét fél eszén túljártak. Személyi számítógépeket használva nagyobb kárt tudtak okozni, mint az Echelon projekt sokmilliárd dolláros műhold-tányérjai - így káröröm helyett egységes fellépésre lesz szükség a fejlett ipari államok védelmében.

A Német Információ-biztonsági Hivatal már meg is nyilvánult az ügyben. Közleményük szerint Internet Explorer teljes mellőzését javasolják a netezőknek, tekintettel az időközben nyilvánosságra került és még be nem foltozott szuperhibára. Ez a figyelmeztetés csak akkor érheti el a célját, ha a felhasználók tömegesen választanak alternatív webböngészőt a Chrome, a Firefox vagy az Opera kínálatából - mert ha a hackereknek négy elterjedt program ellen felkészülniük, akkor a sok exploit-kód megírásával elaprózzák erejüket és kevésbé vállalkozhatnak átfogó támadásra.

(forrás: virushirado.hu)