Infocom - ΤΕΥΧΟΣ 220
Μηνιαίο Περιοδικό για την επιχειρηματικότητα στον κλάδο της τεχνολογίας.
Μηνιαίο Περιοδικό για την επιχειρηματικότητα στον κλάδο της τεχνολογίας.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Security<br />
λειας και δημιουργώντας ειδικούς κανόνες εντοπισμού, η<br />
Kaspersky Lab, η AlienVault και άλλοι ειδικοί της Επιχείρησης<br />
«Blockbuster» κατάφεραν να εντοπίσουν μια σειρά επιθέσεων<br />
από την ομάδα Lazarus Group.<br />
Η σύνδεση και η ομαδοποίηση πολλαπλών δειγμάτων σε μία<br />
μόνο ομάδα προέκυψε κατά την ανάλυση των μεθόδων που<br />
χρησιμοποιούνται από αυτόν τον φορέα. Ειδικότερα, ανακαλύφτηκε<br />
ότι οι επιτιθέμενοι επαναχρησιμοποιούσαν ενεργά<br />
κώδικα. Συγκεκριμένα, «δανείζονταν» κομμάτια κώδικα από<br />
ένα κακόβουλο πρόγραμμα, για να τον χρησιμοποιήσουν σε<br />
ένα άλλο.<br />
Πέρα από αυτό, οι ερευνητές μπόρεσαν να εντοπίσουν ομοιότητες<br />
στον τρόπο λειτουργίας των επιτιθεμένων. Κατά την<br />
ανάλυση αντικείμενων από διάφορες επιθέσεις, ανακάλυψαν<br />
ότι όλα τα droppers (ειδικά αρχεία που χρησιμοποιούνται<br />
για την εγκατάσταση διαφορετικών παραλλαγών ενός κακόβουλου<br />
φορτίου) διατηρούσαν τα ωφέλιμα φορτία τους μέσα<br />
σε ένα αρχείο ZIP προστατευμένο με κωδικό. Ο κωδικός<br />
πρόσβασης για τα αρχεία που χρησιμοποιούνταν σε διάφορες<br />
εκστρατείες ήταν ο ίδιος και ήταν ενσωματωμένος μέσα<br />
στο dropper. Η προστασία με κωδικό πρόσβασης τέθηκε<br />
σε εφαρμογή, προκειμένου να αποφευχθεί η εξαγωγή και η<br />
ανάλυση του ωφέλιμου φορτίου από τα αυτοματοποιημένα<br />
συστήματα, αλλά στην πραγματικότητα απλά βοήθησε τους<br />
ερευνητές να αναγνωρίσουν την ομάδα.<br />
Μια ειδική μέθοδος που χρησιμοποίησαν οι εγκληματίες για<br />
να σβήνουν τα ίχνη της παρουσίας τους από ένα «μολυσμένο»<br />
σύστημα, καθώς και κάποιες τεχνικές που χρησιμοποιούνταν<br />
για να αποφύγουν τον εντοπισμό τους από τα προϊόντα<br />
antivirus, έδωσαν στους ερευνητές πρόσθετα μέσα για την<br />
ομαδοποίηση των σχετικών επιθέσεων. Τελικά, δεκάδες<br />
διαφορετικές στοχευμένες επιθέσεις, των οποίων οι διαχειριστές<br />
είχαν θεωρηθεί άγνωστοι, συνδέθηκαν με έναν ενιαίο<br />
απειλητικό φορέα.<br />
Η ανάλυση των ημερομηνιών συλλογής των δειγμάτων έδειξε<br />
ότι τα πρώτα θα μπορούσαν να έχουν συνταχθεί ήδη από το<br />
2009, αρκετά χρόνια πριν από την διαβόητη επίθεση εναντίον<br />
της Sony Pictures Entertainment. Ο αριθμός των νέων δειγμάτων<br />
έχει αυξηθεί δυναμικά από το 2010. Αυτό χαρακτηρίζει<br />
την ομάδα Lazarus Group ως έναν σταθερό απειλητικό φορέα<br />
με μακρόχρονη δράση. Με βάση τα metadata που προέκυψαν<br />
από τα δείγματα που ερευνήθηκαν, τα περισσότερα από τα<br />
κακόβουλα προγράμματα που χρησιμοποιούνται από την<br />
ομάδα Lazarus Group φαίνεται να έχουν συνταχθεί κατά τη<br />
διάρκεια των εργάσιμων ωρών, στις ζώνες ώρας GMT+8<br />
και GMT+9.<br />
«Όπως είχαμε προβλέψει, ο αριθμός των επιθέσεων που<br />
καταστρέφουν δεδομένα μεγαλώνει σταθερά. Αυτό το είδος<br />
κακόβουλου λογισμικού αποδεικνύεται ότι είναι ένα εξαιρετικά<br />
αποτελεσματικό είδος κυβερνο-όπλου. Η δύναμη να «καθαρίσει»<br />
χιλιάδες υπολογιστές με το πάτημα ενός κουμπιού αποτελεί<br />
σημαντική ανταμοιβή για μια ομάδα Εκμετάλλευσης Δικτύου<br />
Υπολογιστών ,η οποία είναι επιφορτισμένη με δράσεις παραπληροφόρησης<br />
και διακοπής της λειτουργίας μιας επιχείρησης-στόχου.<br />
Η αξία της ως μέρος ενός «υβριδικού πολέμου»,<br />
όπου οι επιθέσεις αυτές συνδυάζονται με φυσικές επιθέσεις<br />
για την παράλυση των υποδομών μιας χώρας, παραμένει ένα<br />
ενδιαφέρον «νοητικό πείραμα», το όποιο όμως βρίσκεται πιο<br />
κοντά στην πραγματικότητα από ό,τι φανταζόμαστε - και δεν<br />
μπορούμε να αισθανόμαστε άνετα μ’ ένα τέτοιο γεγονός. Μαζί<br />
με τους συνεργάτες από τον κλάδο της ασφάλειας, είμαστε<br />
περήφανοι που έχουμε καταφέρει ένα ισχυρό πλήγμα στις επιχειρήσεις<br />
ενός αδίστακτου φορέα, πρόθυμου να αξιοποιήσει<br />
αυτές τις καταστροφικές τεχνικές», δήλωσε ο Juan Guerrero,<br />
Senior Security Researcher της Kaspersky Lab.<br />
«Αυτός ο φορέας έχει τις απαραίτητες ικανότητες και την<br />
αποφασιστικότητα να εκτελέσει επιχειρήσεις ψηφιακής κατασκοπίας,<br />
με σκοπό την κλοπή δεδομένων ή την πρόκληση<br />
ζημιάς. Συνδυάζοντας τα παραπάνω με τη χρήση τεχνικών<br />
παραπληροφόρησης και εξαπάτησης, οι επιτιθέμενοι μπορούσαν<br />
να υλοποιούν επιτυχώς διάφορες επιχειρήσεις τα<br />
τελευταία χρόνια», δήλωσε ο Jaime Blasco, Chief Scientist<br />
της AlienVault. «Η «Επιχείρηση Blockbuster» είναι ένα παράδειγμα<br />
του πώς ο τομέας μας, με την ανταλλαγή πληροφοριών<br />
και τη συνεργασία, μπορεί να θέσει τον πήχη ψηλότερα και<br />
να εμποδίζει τέτοιου είδους φορείς από τις συνεχιζόμενες<br />
δραστηριότητές τους», συμπλήρωσε.<br />
«Μέσω της «Επιχείρησης Blockbuster», η Novetta, η<br />
Kaspersky Lab και οι συνεργάτες μας, συνεχίζουμε τις προσπάθειες<br />
για την καθιέρωση μιας μεθοδολογίας για την<br />
παύση των δραστηριοτήτων φορέων επιθέσεων με παγκόσμια<br />
εμβέλεια, αλλά και για τον περιορισμό των προσπαθειών<br />
τους να προκαλέσουν περαιτέρω ζημιά», σχολίασε<br />
ο Andre Ludwig, Senior Technical Director της Novetta<br />
Threat Research and Interdiction Group. «Το επίπεδο της εις<br />
βάθος τεχνικής ανάλυσης που πραγματοποιήθηκε για την<br />
«Επιχείρηση Blockbuster» είναι σπάνιο και το γεγονός ότι<br />
μοιραστήκαμε τα ευρήματά μας με άλλους συνεργάτες από<br />
τον κλάδο, ώστε να επωφεληθούμε όλοι, είναι ακόμα πιο<br />
σπάνιο», κατέληξε.<br />
32 infocom
Change language