Egyre több szó esik arról, hogy Egyesült Államok és Kína között egyre feszültebbé válik a viszony a kibertámadások miatt. De nem csak a nemzetközi helyzet fokozódik. Szaporodnak a zavarosban halászó internetes csalók is.
Az Egyesült Államok és Kína kapcsolata sohasem volt felhőtlen. A konfliktusok – a kibertérben is – jó ideje újra és újra előjönnek. Tavaly az Egyesült Államok jelentette be, hogy egyes kormányzati rendszereit és kritikus infrastruktúráit támadások érték, amelyek a vizsgálatok szerint Kínából indultak. A közelmúltban pedig, ahogy arról többször is beszámoltunk (korábbi cikkeinket
itt, valamint
itt olvashatják), a közelmúltban több amerikai nagyvállalat és szervezet is jelezte, hogy komolyabb incidens érte. Kína persze következetesen tagadta, hogy köze lenne a támadásokat végrehajtó hackercsoportokhoz.
Leon E. Panetta és Liang Guanglie védelmi miniszterek:
látszólag jól szorakoznak
Égető bizonyíték ■ A jelentős biztonsági incidensek kivizsgálásában több ízben közreműködő
Mandiant biztonsági cég a múlt héten közzétett egy olyan dokumentumot, amely a támadások kínai forrását hivatott bizonyítani. A dokumentumban foglaltak hitelességét a hírszerzési bizottság képviselője,
Mike Rogers is megerősítette.
A feltárt támadások többsége célzott, úgynevezett APT-alapú (Advanced Persistent Threat) károkozás volt. Ennek lényege, hogy a támadók beférkőznek egy-egy szervezet informatikai rendszerébe, és onnan bizalmas információkat igyekeznek kiszivárogtatni. Az illetéktelen kezekbe került adatok mennyiségét több száz terabájtban lehet mérni. A Comment Crew néven elhíresült hackercsoport például a feltételezések szerint egymaga több mint 100 amerikai vállalat és szervezet hálózatába jutott be. Támadásainak többsége egy sanghaji IP-cím tartományhoz voltak köthetők.
Támadás a biztonsági jelentésből ■ Az elmúlt napokban több biztonsági cég is jelezte, hogy olyan támadásokra lett figyelmes, amelyek a Mandiant biztonsági jelentését használják fel arra, hogy felkeltsék a felhasználók kíváncsiságát. Eddig több olyan, meglehetősen jól célzott adathalász akció indult, amelyek mindegyikében szerepet játszanak a kínai hackerek kapcsán felmerült hírek.
A Seculert például két különböző, e-mailek segítségével elkövetett, célzott adathalász támadást is felfedezett. Mindkét esetben a levelekhez látszólag a a Mandiant jelentést csatolták mellékletként. A levelek címzettjei többségéveb japán felhasználók voltak. A levelek PDF formátumú csatolmányának megnyitásakor Adobe Readerében található biztonsági rések kihasználására alkalmas exploit kódok töltődtek be a memóriába, melyek veszélyességét növelte, hogy egyes kódok nulladik napi sérülékenységeket tudtak kiaknázni. (Az egyik ilyen sebezhetőséget éppen a múlt héten – soron kívül – szüntette meg az Adobe.) Ezeknek a Mandiant jelentését felhasználó támadásoknak a létét a Symantec is megerősítette, sőt a cég kutatója. Joji Hamada megemlítette, hogy a módszer sem új: 2011-ben éppen a Symantec egyik kutatási jelentését használták fel a támadók rejtett károkozók terjesztésére.
A cikk a
Biztonságportal.hu-n megjelent írás szerkesztett változata.
