Хакеры, атаковавшие Google в 2009 году, вновь работают - Symantec

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 9 Sep 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    [​IMG]

    Хакерская группировка ранее обозначившаяся троянцами Hydraq и Aurora, а также атаками против Google и еще 34 американских ИТ-компаний в 2009 году также ответственна за серию недавних атак на серию компаний, работающих в оборонном секторе, на множество правозащитных организаций и правительственных групп. Такие данные предоставили в субботу в антивирусной компании Symantec.

    Представители антивирусной компании в интервью сообщили, что Symantec на протяжении довольно длительного времени отслеживала активность данной группы и смогла установить, что в распоряжении ее участников находится очень большая коллекция так называемых эксплоитов "нулевого дня", то есть программ, атакующих уязвимости, о которых публично не было известно. Как правило, уязвимости "нулевого дня" пишутся либо непосредственными организаторами атаки, либо сторонними профессионалами, которые продают их за большие деньги.

    В Symantec говорят, что в последнее время указанная хакерская группа также начала атаковать и несколько крупных западных промышленных компаний, занимающихся поставками сырья и промышленных товаров. Кроме того, удалось установить, что хакеры использовали разнообразные компоненты, являющиеся составными блоками одной унифицированной платформы, получившей условное название Elderwood Platform. Компоненты этой платформы прежде были задействованы в нескольких громких атаках. Сама платформа построена таким образом, что при помощи нее можно довольно быстро проектировать и создавать эксплоиты "нулевого дня".

    В команде Symantec Security Response Team сообщили, что платформа, скорее всего, существует уже больше года, так как еще в 2011 году было обнаружено не менее восьми уникальных образцов вредоносного ПО, специализирующегося на одних и тех же механизмах атак "нулевого дня". В Symantec говорят, что восемь вредоносов в общем количестве появляющихся за год вирусов, троянцев и червей - это капля в море. Но настораживает другое: сложность и профессионализм, с которым эти коды реализованы, а также их узкая направленность в проведении промышленных атак.

    "Сейчас незначительное количество вирусов применяют атаки нулевого дня. Но все промышленные вирусы, такие как Stuxnet, Nitro, Skypoint или Duqu используют именно их. Факт использования уязвимостей нулевого дня говорит не только о высоком профессионализме хакеров, пишущих коды, но и об их больших финансовых возможностях, необходимых для покупки данных об уязвимостях и тестировании кодов на собственных системах", - говорят в Symantec.

    В большинстве случаев для заражения компьютеров подобные хакерские атаки используют целевые спам-рассылки, которые направлены конкретным получателям в компании-жертве и вынуждают его обменным путем запустить полученный по почте код от хакеров.

    В Symantec отметили, что когда компания Google в 2009 году подверглась хакерской атаке в рамках операции Aurora, то против нее действовала довольно большая группа хакеров, работавших скоординировано и по такому же алгоритму хакеры в считанные недели атаковали еще 34 компании, что говорит о продолжительной разработке сценария и четком распределении ролей в атакующей кампании.

    "Большая часть атак использует уязвимости в популярных продуктах, таких как Microsoft Internet Explorer или Adobe Flash Player, тогда как значительная часть атакуемых компаний работают в США или Западной Европе", - говорят в антивирусной компании.

    Также эксперты говорят, что атакующие все чаще переходят к целевым атакам компаний, занимающихся поставками продукции для производства, работающих в секторе высоких технологий, а также в сфере биологии и фармацевтики. Кроме того зачастую хакеры атакую поставщиков крупных компаний и зачастую работают через них.

    Около месяца назад Symantec опубликовала предупреждение для компаний крупного бизнеса о существенном увеличении количества таргетированных атак со стороны как хакеров, руководствующихся экономическими мотивами, а так и со стороны так называемых "госхакеров", в задачи которых входит промышленный шпионаж и саботаж. В последнем отчете американской антивирусной компании говорится, что 44% кибератак, обнаруженных за последние полгода, были направлены на компании с количеством работников более 2500. Для сравнения: на компании среднего бизнеса с количеством работников от 250 до 2500 пришлось 37% всех атак. Здесь также зарегистрирован рост количества инцидентов.

    "Так как крупный бизнес обладает большее масштабными ИТ-бюджетами, большими объемами данных и большим количеством вычислительных узлов, они становятся все более частыми целями для хакерских атак", - говорит Пол Вуд, менеджер Symantec.

    Согласно данным компании, в июне этого года компании крупного бизнеса подвергались в среднем 69 атакам в сутки, тогда как средний бизнес - 31 атаке, а малый - 58 атакам в сутки. При этом, в США компании малого бизнеса, по статистике, имеют наименьший шанс быть атакованными в результате целевых атак.

    Также Symantec отмечает значительный рост числа ИТ-инцидентов среди компаний, работающих в оборонном секторе, фармацевтике и правительственных агентствах. Отмечается и тенденция по взлому небольших компаний, работающих с крупными клиентами, чтобы после взлома малого предприятия иметь возможность атаковать его партнера. "Можно сказать так: крупному бизнесу следует внимательнее относиться к своим поставщикам и партнерам из сферы СМБ, так как они тоже могут быть вектором атаки", - говорит Вуд.

    09.09.2012 http://www.cybersecurity.ru/crypto/159410.html
     
    #1 Solitude, 9 Sep 2012
  2. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,373
    Likes Received:
    6,619
    Reputations:
    693
    Аналитики вышли на след крупнейшей киберпреступной группировки


    [​IMG]

    Symantec сообщает о выявлении новой угрозы – широкомасштабных целевых атаках, проводимых в рамках активности, названной Elderwood Project. Некая группировка использует уязвимости нулевого дня и, похоже, имеет к информации о них неограниченный доступ. Хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые ими сайты. Основной целью мошенников является внутренняя информация компаний оборонной промышленности.

    Впервые данная группировка привлекла к себе внимание специалистов Symantec в 2009 году, осуществив атаку на Google и другие организации, используя троянскую программу Hydraq (Aurora). На протяжении последних трёх лет осуществляемые ею атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации. В качестве жертв выбирались компании преимущественно США и Канады, а также Китая, Гонконга, Австралии, а также некоторых европейских и азиатских стран. Последние атаки демонстрируют смещение интереса злоумышленников в сторону предприятий, выпускающих компоненты вооружений и оборонительные системы. Причём одним из основных рабочих сценариев является проникновение через одну из организаций-партнёров, входящей в цепочку поставок.

    Злоумышленники эксплуатируют большое количество уязвимостей нулевого дня и используют системный подход к организации атак и созданию вредоносного кода. Эксперты Symantec зафиксировали неоднократное повторное использование ими компонентов платформы, названой Elderwood Platform (по названию одного из эксплойтов из их арсенала),, которая обеспечивает быстрое применение эксплойтов к уязвимостям нулевого дня. Методология подобных проводимых атак обычно подразумевает использование фишинговых писем, однако теперь к ним добавились атаки класса watering hole – компрометация веб-сайтов, вероятнее всего посещаемых жертвой. Учитывая единую платформу проводимых атак, а также их масштаб и квалификацию злоумышленников, специалисты Symantec выделили данную активность из общей массы и присвоили ей имя Elderwood Project.

    Серьёзные уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко. Например, в рамках, пожалуй, самого широко известного проекта Stuxnet их было использовано всего четыре. Однако в рамках Elderwood Project их уже используется вдвое больше – восемь. И ни одна другая группировка никогда не демонстрировала ничего подобного. Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки.

    Чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провели их декомпиляцию, для чего требуются очень и очень серьёзные ресурсы. Похоже, что группировка обладает чуть ли не безграничным количеством уязвимостей нулевого дня, которые используются по требованию – одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.

    Основными целями зафиксированных атак были организации из цепочки поставок предприятий оборонного сектора, преимущественно ведущие предприятия оборонной промышленности. Группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые продаются ведущим оборонным корпорациям. Атакующие, видимо, рассчитывают на меньший уровень защищённости подобных производителей, и используют их в качестве ступенек лестницы, ведущей к интеллектуальной собственности, предназначенной для производства компонентов или крупной продукции ведущими поставщиками.

    «Одним из векторов атак группировки Elderwood является использование так называемых watering hole сайтов, демонстрирующее однозначное изменение методов, используемых злоумышленниками. Концепция атаки в данном случае аналогична действиям хищника, поджидающего свою жертву в оазисе посреди пустыни. Он знает, что жертва, рано или поздно, придет на водопой, и ждет, вместо того, чтобы вести активную охоту. Так же действуют и злоумышленники – определяют веб-сайты, которые посещают интересующие их конкретные люди, взламывают их и встраивают эксплойты на страницы, которые должна посетить жертва. Любой посетитель сайта будет подвержен воздействию внедрённых эксплойтов, и если его компьютер будет ими взломан, на него будет установлена троянская программа», — комментирует Андрей Зеренков, эксперт Symantec по информационной безопасности.

    Любая компания, работающая на оборонную промышленность, должна опасаться атак со стороны региональных подразделений, бизнес-партнеров и других связанных с ними компаний, так как их компьютерные системы могут быть скомпрометированы и использованы в качестве промежуточного этапа для достижения истинной цели атаки. Компании и частные лица должны быть готовы к новому витку развития атак в 2013 году. Это особенно актуально для компаний, которые уже были взломаны, так как они, скорее всего, продолжают интересовать злоумышленников, а полученная в рамках предыдущей атаки информация поможет провести новую атаку.

    По материалам официального пресс-релиза.


    10 сентября 2012 г.
    http://soft.mail.ru/pressrl_page.php?id=48305​
     
    _________________________
    #2 Suicide, 11 Sep 2012
(You must log in or sign up to post here.)