Szerző: Hlács Ferenc

2014. július 11. 11:05:00

Leltárazó szkennereik kémkedtek a logisztikai cégek után

Előre telepített kémprogrammal árulta leltárazó szkennereit egy kínai vállalat. A rosszindulatú szoftver az áldozatul esett cégek üzleti információit és az ügyfelekre vonatkozó adatait is kiszivárogtatta a támadóknak. Egyelőre nem tudni, hogy a gyártó tudott-e a készülékein tanyázó malware-ről.

Leltározó szkennerekbe rejtett malware-re bukkantak a TrapX biztonsági cég szakértői. A meg nem nevezett kínai gyártó készülékei pénzügyi és üzleti információkat szivárogtattak ki a támadók számára. A "Zombie Zero" névre keresztelt támadáshoz használt szoftver a kaliforniai cég szerint nem csak az eszközökön előre telepíve érkezett, de a hozzájuk a gyártó weboldaláról letölthető Windows XP Embedded firmware-ben is megtalálható volt.

Ismert sebezhetőségeket használtak ki

A TrapX alelnöke, Carl Wright szerint kártevő az SMB (Server Message Block) protokollt használta a támadásokhoz, ha pedig a szkenner az adott cég vezeték nélküli hálózatára is csatlakozott, a Radmin protokollra váltott. Ezt követően az vállalatiráyítási rendszereket pásztázta végig, a "finance" (pénzügy) kulcsszó után kutatva, majd ismert biztonsági réseken támadta meg azokat. A biztonsági cég egyelőre nem hozta nyilvánosságra, hogy a kínai támadók pontosan melyik ERP szoftver sebezhetőségeit használták ki, mindössze annyit árult el, hogy egy igen népszerű, Linuxon futó programról van szó.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A szakértők szerint amint a malware rábukkant egy hasonló szerverre, arra egy újabb rosszindulatú szoftvert telepített, ami aztán a kínai Shandong tartományban lévő Lanxiang szakiskola szervereihez csatlakozott. Utóbbi létesítményt egyébként korábban többször is összefüggésbe hozták online kémkedéssel, illetve az Operation Aurora nevű, kiterjedtebb támadássorozattal is, amely több nagyvállalatot, többek között a Google-t is célba vette.

Legalább hét vállalatot fertőzött meg

A Zombie Zero ugyanakkor itt még nem áll meg, a második installált komponens ugyanis egy harmadikat is letölt és telepít, amely már egy pekingi szerverhez csatlakozik. A malware célja, hogy szállítási nyilvántartásokat, illetve üzleti és az ügyfelekre vonatkozó információkat lopjon el a célba vett vállalatoktól. Az egyelőre nem világos, hogy a gyártó, amelynek termékei a kártevőt hordozták, tudatosan telepítette-e azt. Jelenlegi állás szerint lehetséges, hogy a cég maga is támadás áldozata volt, ugyanakkor aggasztó, hogy bár mikor a biztonsági szakértők kapcsolatba léptek a vállalattal az tagadta, hogy köze lenne a dologhoz, később gyorsan eltüntette a fertőzött firmware-t weboldaláról. A cég székhelye ráadásul mindössze néhány háztömbre található az ominózus Lanxiang szakiskolától.

A támadás első észlelése óta a TrapX hét céget azonosított amelyeket a Zombie Zero érintett. Ezek többnyire logisztikai vállalatok voltak, de akad köztük egy robotikával foglalkozó cég is. Utóbbi esetében a malware a korábbiaktól eltérő kiegészítő komponenseket használt, az ERP rendszereket pedig érintetlenül hagyta. Hasonló módszert a tavaly világszintű lehallgatási botrányba keveredett amerikai NSA is használt, ők a kiszállítási láncot megszakítva helyezték el a megfigyeléshez szükséges eszközöket a hálózati berendezésekben.

a címlapról