Video: The Choice is Ours (2016) Official Full Version (Oktober 2024)
Raziskovalci Trend Micro-a so ugotovili, da trajajoča operacija kibernetskega vohunjenja, ki so jo poimenovali Varno, usmerila različne organizacije v več kot 100 državah z e-poštnimi sporočili z lažnim lažnim predstavljanjem.
Zdi se, da je operacija ciljala na vladne agencije, tehnološka podjetja, medije, akademske raziskovalne ustanove in nevladne organizacije, Kylie Wilhoit in Nart Villeneuve, dva raziskovalca o grožnji Trend Micro, so zapisali na spletnem dnevniku Security Intelligence Blog. Podjetje Trend Micro verjame, da je bilo z zlonamerno programsko opremo okuženih več kot 12.000 edinstvenih naslovov IP, razporejenih v 120 držav Vendar je le 71 naslovov IP v povprečju vsak dan aktivno komuniciral s strežniki C&C.
"Dejansko število žrtev je veliko manjše od števila edinstvenih naslovov IP, " je v svoji beli knjigi dejal Trend Micro, vendar ni hotel špekulirati o dejanski številki.
Varno se zanaša na lažno lažno predstavljanje
Varno sestavljata dve različni kampanji lažnega predstavljanja, ki uporabljajo isti sev zlonamerne programske opreme, vendar z uporabo različnih infrastruktur za vodenje in nadzor, so zapisali raziskovalci v beli knjigi. E-poštna sporočila z lažnim lažnim predstavljanjem v eni od oglaševalskih akcij so se nanašala na Tibet ali Mongolijo. Raziskovalci še niso opredelili skupne teme v temah, ki so bile uporabljene za drugo kampanjo, ki je navedla žrtve v Indiji, ZDA, Pakistanu, na Kitajskem, Filipinih, Rusiji in Braziliji.
Varno je pošiljalcem poškodoval kopja z lažnim podpisovanjem in jih prevaral, da so odprli zlonamerno prilogo, ki je izkoristila že zakrpljeno ranljivost Microsoft Officea, poroča Trend Micro. Raziskovalci so našli več zlonamernih Wordovih dokumentov, ki so ob odprtju tiho namestili koristno breme na računalnik žrtve. Aprila 2012 je bila odkrita ranljivost za oddaljeno izvrševanje kode v sistemih Windows Common Controls.
Podrobnosti o infrastrukturi C&C
V prvi kampanji so se na strežnik C&C povezali računalniki iz 243 edinstvenih naslovov IP v 11 različnih državah. V drugi kampanji so računalniki z 11.563 IP naslovi iz 116 različnih držav komunicirali s C&C strežnikom. Kaže, da je bila najbolj ciljna Indija z več kot 4000 okuženih naslovov IP.
Eden od C&C strežnikov je bil nastavljen tako, da si je vsakdo lahko ogledal vsebino imenikov. Kot rezultat tega so raziskovalci Trend Micro lahko ugotovili, kdo so žrtve, in tudi prenesli datoteke, ki vsebujejo izvorno kodo za strežnik C&C in zlonamerno programsko opremo. Glede na kodo strežnika C&C se zdi, da so operaterji zamenjali zakonito izvorno kodo ponudnika internetnih storitev na Kitajskem, je povedal Trend Micro.
Napadalci so se povezali s strežnikom C&C prek VPN in uporabljali omrežje Tor, zato je bilo težko izslediti, kje imajo napadalci. "Zaradi geografske raznolikosti proxy strežnikov in VPN je bilo težko določiti njihov resnični izvor, " je dejal Trend Micro.
Napadalci so lahko uporabili kitajsko zlonamerno programsko opremo
Na podlagi nekaterih namigov v izvorni kodi je Trend Micro dejal, da je mogoče zlonamerno programsko opremo razviti na Kitajskem. Trenutno ni znano, ali so varni operaterji razvili zlonamerno programsko opremo ali so jo kupili od nekoga drugega.
"Čeprav določitev namere in identitete napadalcev ostaja težavna, smo ocenili, da je ta kampanja ciljno usmerjena in uporablja zlonamerno programsko opremo, ki jo je razvil poklicni inženir programske opreme, ki je morda povezan s kibernetskim kriminalitetom na Kitajskem, " so na blogu zapisali raziskovalci.
