Szerző: Hlács Ferenc

2014. július 04. 08:30:00

Kormányzati megbízásból dolgozhat a hibrid-malware

Eddig ismeretlen hibrid malware-t találtak biztonsági szakértők. A CosmicDuke névre keresztelt kártevő trójaiként szivárog be a kiszemelt rendszerekbe, ahol aztán minden információt összegyűjt, amihez hozzáfér, legyen szó jelszavakról, beszélgetésekről vagy akár titkosítási kulcsokról.

Két ismert malware képességeit ötvöző új, eddig ismeretlen kártevőre bukkant az F-Secure. A rosszindulatú szoftver a MiniDuke és a Cosmu névre hallgató malware-ek fegyvertárával dolgozik - innen kapta a CosmicDuke nevet. A MiniDuke egy úgynevezett APT (Advanced Persistent Threat) trójai, amely 2013-ban tűnt fel először, és európai kormányzati ügynökségek, illetve a NATO ellen is bevetették, ahova hivatalos dokumentumoknak és fájloknak álcázva jutott be. A Cosmu valamivel kisebb kaliberű fenyegetés, amelyet hackerek leginkább adatlopásokhoz használnak.

Ezek alapján nem nehéz kitalálni a Cosmic Duke működési elvét: phishing támadással, egy hivatalosnak tűnő emailen vagy megbízhatónak látszó fájlon keresztül fertőzi meg a rendszereket, amelyekben aztán gyakorlatilag minden tevékenységet megfigyel: egy keylogger program segítségével rögzíti a billentyűleütéseket, de a vágólap tartalmát is menti sőt időnként még képernyőképet is készít. Mindezek mellett természetesen minden online csevegést, emailt, és jelszót is megjegyez, illetve akár titkosítási tanúsítványokat és kulcsokat is képes ellopni.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Kevés dolog van tehát ami elkerülné a CosmicDuke figyelmét. A kártevő az összegyűjtött információkat távoli szerverekre továbbítja, ahol a támadók azokkal kedvük szerint rendelkezhetnek: beléphetnek a felhasználó online fiókjaiba, vagy szerverekhez férhetnek hozzá, tovább terjesztve a malware-t. Noha a rosszindulatú szoftver képességei korántsem páratlanok, az F-Secure szerint kifejezetten aggasztó, hogy elmosódni látszik a határ a "mindennapi", és az adott esetben kormányzati megbízásból, jelentős támogatással dolgozó hackerek fegyvertára között.

A biztonsági cég egyik tanácsadója, Sean Sullivan szerint több jel is arra mutat, hogy a CosmicDuke-ot megbízásra fejlesztették ki, hogy érzékeny információkat gyűjtsön egy kormányzati ügyfél számára. Noha konkrét célpont egyelőre nem ismert, bizonyítható, hogy a kártevőt célzott támadásokra szánták - vagy akár használják most is. A támadáshoz használt "csalidokumentum" ugyanis adott iparágakat célzó címeket tartalmaz, az egyik például az ukrán gázvezetékek biztonsági állapotát taglalja. Sullivan szerint a malware-ek ilyen ütemű fejlődésével rendkívül fontos, hogy az egyes vállalatok helyesen mérjék fel a rájuk vonatkozó biztonsági kockázatokat és biztosítsák a megfelelő védelmet adataik számára.

a címlapról

Hirdetés

Python everywhere!

2020. február 20. 20:00

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.