Nowy trojan kradnie dane z firm petrochemicznych
Hakerzy używający trojana Mirage, którym można zarządzać podobnie jak malware stosowanymi w botnetach, od kwietnia atakują wielkie firmy petrochemiczne.
W raporcie opublikowanym 21. września analitycy z należącego do koncernu Dell działu bezpieczeństwa SecureWorks Counter Threat Unit stwierdzili, iż ataki prowadzone od kwietnia objęły m.in. największą państwową firmę petrochemiczną z Filipin, kanadyjską firmę petrochemiczną, zajmującą się wydobywaniem ropy naftowej z łupków oraz "cztery inne wielkie firmy branży petrochemicznej", jak również agencje rządowe m.in. z Nigerii, Egiptu, Brazylii i Izraela. Ponadto atak objął także komputery agencji wojskowej na Tajwanie - poinformował Computerworld.
Jest to już drugi zmasowany atak tego typu. Pierwszy, przeprowadzony na początku roku i odkryty przez analityków w lutym br. objął państwowe wietnamskie firmy petrochemiczne, australijską agencję bezpieczeństwa nuklearnego, dwie ambasady i "kilkanaście rządowych agencji w trzech krajach Azji południowo-wschodniej". Użyty został wtedy trojan podobny do Mirage lub jego wcześniejsza wersja - poinformował portal The Register.
Koń trojański Mirage jest dość wyrafinowanym dziełem programistów. Należy do szkodników samoukrywających się, komunikuje się ze swoimi serwerami zarządzania i kontroli (serwery C&C) w sposób naśladujący wzór normalnego ruchu internetowego, związanego z wyszukiwaniem za pomocą Google. Rozprzestrzenia się przy pomocy e-maili adresowanych personalnie do osób ze średniego szczebla zarządzania w atakowanych firmach. Znajduje się w załącznikach do tychże maili; poza plikiem instalacyjnym z Trojanem, zawierają one dość interesujące informacje m.in. w niektórych przypadkach był to PDF z artykułem z azjatyckiej gazety dotyczącym kobiet uczestniczących w wyborach w Jemenie.
Mirage jest dość szybko modernizowany - w ciągu czterech ostatnich miesięcy analitycy z SecureWorks odkryli kilka jego wersji z zainstalowanymi różnymi mechanizmami utrudniającymi wykrycie przez pakiety antywirusowe i likwidujące malware. "Jeden z tych wariantów zawierał modyfikacje specjalnie dostosowane do jednego z atakowanych środowisk informatycznych. Były to m.in. domyślne ustawienia logowania dla serwerów proxy zainstalowanych akurat w tej sieci" - napisał w raporcie Silas Cutler, analityk z SecureWorks.
Zobacz: Jak wybrać wentylator przenośny?
Aż trzy serwery zarządzania i kontroli (C&C) używane w obecnej kampanii przeciwko firmom petrochemicznym i kilka serwerów z lutowego ataku posiadają domeny zarejestrowane na te same osoby lub grupy osób - stwierdza raport SecureWorks. Niemal wszystkie adresy serwerów C&C zastosowanych w obu atakach pochodzą z sieci należącej do lokalnej sieci Beijing Province Network w Chinach.
Co ciekawe, analitycy wykryli iż w tej samej sieci działały serwery zarządzające atakiem na firmę RSA Security w marcu zeszłego roku, kiedy skradziono poufne informacje dotyczące budowy, działania i oprogramowania tokenów SecurID. Tokeny te są powszechnie stosowane w korporacjach i systemach przemysłowych do autentyfikacji przy dostępie do danych wrażliwych w systemach komputerowych.
Według analityka z SecureWorks, Joe’go Stewarta, serwery C&C i użyte do budowy słynnego chińskiego botnetu Ghostnet posiadały numery IP w tej samej sieci i prawdopodobnie należące do tej samej grupy numerów IP, co wykorzystywane w tegorocznych atakach przy pomocy Mirage.
GhostNet był jak dotąd największym na świecie wykrytym przypadkiem szpiegostwa przy pomocy botnetu. Wykryty w 200. roku botnet obejmował 1295 komputerów w 103 krajach (być może było ich więcej, ale na tylu odkryto pliki jednoznacznie wskazujące o obecności malware - PAP). Botnet nakierowany był na Organizację Narodów Zjednoczonych, Indie i rząd tybetański w Indiach oraz sympatyków Tybetu na całym świecie.
Zbierał on z komputerów ONZ oraz rządowych indyjskich oraz tybetańskich wrażliwe dane, zwłaszcza oznaczone jako tajne lub poufne. Przechwytywał także e-maile wychodzące z biura Dalajlamy. GhostNet bazował przy tym na modelu cloud computing i sieciach społecznościowych, wykorzystując do komunikacji konta zakładane na serwisie Twitter czy Google Groups, przez co był trudny do wykrycia. Prawdopodobnie działa przez około 2 lata.
Analizy wykazały iż serwery C&C botnetu przekazywały informacje do centralnego ośrodka zarządzania znajdującego się w prowincji Chengdu, w południowo-zachodnich Chinach. Według analityków Jane’s na obszarze tym znajdują się ważne bazy wojskowe i prawdopodobnie ośrodek informatyczny Ludowej Armii Chin.