Analýza cielených útokov vo svete a špeciálne v Pakistane
Výskumné pracoviská ESETu analyzovali po minulé týždne niekoľko vcelku zaujímavých a unikátnych hrozieb. Obe boli pritom výsledkom rozsiahlejších výskumov. Prvá analýza bola zameraná na najznámejšie a najpoužívanejšie webové servery Apache. ESET ju urobil s ďalšou bezpečnostnou firmou Sucuri.
Hrozbou bol backdoor, ktorý dával útočníkovi prístup k operačnému systému napadnutých serverov. Sofistikovaný malvér využívali útočníci na presmerovanie internetového surfera na škodlivé stránky. Táto hrozba je zaujímavá tým, že nekontaktuje svoj vzdialený riadiaci server aktívne, ale akceptuje príkazy z akéhokoľvek servera. Príkazy prichádzajú formou štandardného protokolu HTTP, napriek tomu o nich tento server nevyrába nijaký záznam. Malvér je iba ďalší z mnohých dôkazov potrebnej ochrany pre servery a firemné siete.
Ďalšia analýza výskumníkov ESETu zaviedla do jedného z centier geopolitického napätia, medzi Indiu a Pakistan. ESET analyzoval kampaň cielených útokov v Pakistane, ktoré pochádzali práve z Indie. Útoky pritom prebiehali minimálne dva roky. Tento cielený útok zneužíval podpisový certifikát, ktorý vyzeral ako od legitímnej spoločnosti v Indii, no v skutočnosti išlo o sofistikovaný škodlivý kód. Malvér sa šíril prostredníctvom dokumentov priložených k e-mailovej komunikácii.
Tím ESETu v Kanade (mimochodom, sídli priamo na kampuse miestnej univerzity v Montreale) pritom zachytil niekoľko dokumentov s rôznymi témami, medzi nimi boli aj také, ktoré sa týkali indických ozbrojených síl. Nie je zrejmé, kto presne bol cieľom - no fakt, že v Pakistane bolo až 79 % útokov, naznačuje, že to mohli byť aj rôzne inštitúcie v tejto juhoázijskej krajine. Pritom fakt, že obe krajiny nemajú veľmi dobré susedské vzťahy, je známy.
Jeden z vektorov infekcie využíval windowsovú zraniteľnosť CVE-2012-0158. Použili na to špeciálne upravený dokument Office. Otvorením dokumentu sa do počítača dostal škodlivý kód bez toho, aby o tom obeť vedela. Infekcia sa šírila aj prostredníctvom falošných dokumentov Office a PDF. Malvér potom z počítača kradol rôzne dáta: zaznamenával údery do klávesnice cez keylogger, robil screenshoty obrazovky, sťahoval dokumenty z infikovaného počítača a doň. Citlivé informácie sa potom dostávali na vzdialené servery útočníka.
Tento cielený útok naznačuje, že v modernom svete kybernetické operácie potenciálne využívané aj na politické ciele už nie sú výnimkou. Aspoň tých sa však čitateľ PC REVUE nemusí obávať. Na druhej strane bezpečnosti nikdy nie je dosť. Takže surfujte, ale hlavne bezpečne.