Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Vesti, 26.10.2014, 21:31 PM

Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Istraživači iz kompanije Trend Micro otkrili su špijunsku operaciju hakerske grupe koja je od 2007. godine špijunirala vojne agencije i dobavljače, ambasade u SAD i državama američkih saveznika, opozicione političare i disidente u Rusiji, medije i druge institucije i organizacije.

Sajber kriminalci koji učestvuju u ovoj operaciji nazvanoj Pawn Storm imaju političke i ekonomske ciljeve. Oni su tokom prethodnih godina koristili različite tehnike napada, uključujući i spear-phishing emailove sa malicioznim Microsoft Office dokumentima koji vode do backdoor malvera SEDNIT (Sofacy), veoma selektivne exploite koje ubacuju u inače legitimne sajtove koji takođe vode do pomenutog malvera i fišing emailove koji presumeravju žrtve na lažne Outlook Web Access login stranice. Njihov izbor ciljeva i malvera pokazuje da je reč o veoma iskusnim hakerima. SEDNIT je dizajniran da probije odbrane ciljeva i opstane na zaraženim sistemima da bi snimio što više informacija.

Posebno zanimljiva tehnika napada koju koristi ova grupa su email fišing napadi na organizacije koje koriste Outlook Web App (OWA) koji je deo Microsoftovog Office 365 servisa.

Za svaki napad, grupa koristi dva lažna domena - jedan koji je veoma sličan nekom web sajtu koji je dobro poznat žrtvama (na primer, web sajt predstojeće poslovne konferencije) i jedan sličan domenu za Outlook Web App koji koristi organizacija koja je cilj napdača.

Napadači šalju fišing emailove sa linkom za lažni sajt na kome hostuju JavaScript kod koji ima dvostruku svrhu: otvaranje pravog legitimnog sajta u novoj kratici browsera i preusmeravanje već otvorene kartice Outlook Web App na fišing stranicu.

Zahvaljujući JavaScriptu, žrtvi izgleda kao da se OWA sesija završila tako da mora ponovo da unese korisničko ime i lozinku. Napadači zatim preusmeravju žrtvu na lažnu OWA login stranicu, a tehnika koju koriste napadači funkcioniše u svakom popularnom browseru, uključujući i Internet Explorer, Google Chrome i Safari.

Ova tehnika može biti veoma delotvorna jer žrtve koje su imale otvorenu legitimnu OWA sesiju u kartici browsera možda neće uočiti da se URL promenio pre nego što ponovo unesu korisničko ime i lozinku.

Pored toga što koriste nazive domena koji su veoma slični onima koje koriste organizacije koje su ciljevi napada za svoje OWA login stranice, u nekim slučajevima napadači su čak kupovali legitimne SSL sertifikate tako da browseri žrtava prikazuju sigurnu HTTPS vezu za fišing sajtove.

Mamci koji su korišćeni za fišing su poznati događaji i konferencije za koje su žrtve bile zainteresovane.

Među ciljevima protiv kojih su upotrebljene navedene tehnike napada su američka privatna vojna kompanija ACADEMI (Blackwater), Organizacija za bezbednost i saradnju u Evropi (OSCE), jedna multinacionalna kompanija sa sedištem u Nemačkoj, ambasada Vatikana u Iranu, televizijske kuće u nekoliko zemalja, ministarstva odbrane Francuske i Mađarske, pakistanski vojni zvaničnici, zaposleni u poljskoj vladi, vojni atašei iz različitih zemalja i drugi.

Osim efikasnih fišing taktika, napadači su koristili kombinaciju dokazanih alata za uspešno kompromitovanje sistema i upade u mreže koje su bile ciljevi napada - exploite i malver koji krade informacije.

“SEDNIT se posebno pokazao uspešnim, jer je omogućio napadačima da ukradu sve vrste osetljivih informacija sa računara žrtava uspešno izbegavajući detekciju”, kažu u Trend Micro.

Više tehničkih detalja o operaciji Pawn Storm možete naći u dokumentu (pdf) koji je objavio Trend Micro.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver koristi pola miliona zaraženih računara za ''seks-ucenu''

Malver koristi pola miliona zaraženih računara za ''seks-ucenu''

Emailovi u kojima se tvrdi da je vaš računar hakovan i i da su web kamerom hakovanog računara napravljeni video snimci na kojima se vidi da radite ... Dalje

Instagram uvodi nove kontrole za podatke koje delite sa drugim aplikacijama i web sajtovima

Instagram uvodi nove kontrole za podatke koje delite sa drugim aplikacijama i web sajtovima

Instagram je dodao novu funkciju za kontrolu deljenja podataka sa aplikacijama drugih proizvođača. Da biste videli koje aplikacije imaju pristup va... Dalje

Kineske vlasti traže od građana da instaliraju aplikaciju preko koje ih mogu špijunirati

Kineske vlasti traže od građana da instaliraju aplikaciju preko koje ih mogu špijunirati

Komunistička partija Kine može da špijunira više od 100 miliona građana preko veoma reklamirane službene aplikacije "Studija velike nacije". Ana... Dalje

Apple kaže da se adrese web sajtova koje korisnici posećuju na iPhone uređajima ne šalju u Kinu

Apple kaže da se adrese web sajtova koje korisnici posećuju na iPhone uređajima ne šalju u Kinu

Apple je objavio saopštenje u kome objašnjava kako funkcioniše njegov sistem zaštitte od prevara u Safariju, “Fraudulent Website Warning&rdq... Dalje

Apple na udaru kritika zato što podatke korisnika Safarija šalje kineskoj kompaniji Tencent

Apple na udaru kritika zato što podatke korisnika Safarija šalje kineskoj kompaniji Tencent

Krajem prošle nedelje otkriveno je da je Apple podatke o pregledavanju weba korisnika iOS šalje kineskoj internet kompaniji Tencent. Možda to ne bi... Dalje