Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Vesti, 26.10.2014, 21:31 PM

Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Istraživači iz kompanije Trend Micro otkrili su špijunsku operaciju hakerske grupe koja je od 2007. godine špijunirala vojne agencije i dobavljače, ambasade u SAD i državama američkih saveznika, opozicione političare i disidente u Rusiji, medije i druge institucije i organizacije.

Sajber kriminalci koji učestvuju u ovoj operaciji nazvanoj Pawn Storm imaju političke i ekonomske ciljeve. Oni su tokom prethodnih godina koristili različite tehnike napada, uključujući i spear-phishing emailove sa malicioznim Microsoft Office dokumentima koji vode do backdoor malvera SEDNIT (Sofacy), veoma selektivne exploite koje ubacuju u inače legitimne sajtove koji takođe vode do pomenutog malvera i fišing emailove koji presumeravju žrtve na lažne Outlook Web Access login stranice. Njihov izbor ciljeva i malvera pokazuje da je reč o veoma iskusnim hakerima. SEDNIT je dizajniran da probije odbrane ciljeva i opstane na zaraženim sistemima da bi snimio što više informacija.

Posebno zanimljiva tehnika napada koju koristi ova grupa su email fišing napadi na organizacije koje koriste Outlook Web App (OWA) koji je deo Microsoftovog Office 365 servisa.

Za svaki napad, grupa koristi dva lažna domena - jedan koji je veoma sličan nekom web sajtu koji je dobro poznat žrtvama (na primer, web sajt predstojeće poslovne konferencije) i jedan sličan domenu za Outlook Web App koji koristi organizacija koja je cilj napdača.

Napadači šalju fišing emailove sa linkom za lažni sajt na kome hostuju JavaScript kod koji ima dvostruku svrhu: otvaranje pravog legitimnog sajta u novoj kratici browsera i preusmeravanje već otvorene kartice Outlook Web App na fišing stranicu.

Zahvaljujući JavaScriptu, žrtvi izgleda kao da se OWA sesija završila tako da mora ponovo da unese korisničko ime i lozinku. Napadači zatim preusmeravju žrtvu na lažnu OWA login stranicu, a tehnika koju koriste napadači funkcioniše u svakom popularnom browseru, uključujući i Internet Explorer, Google Chrome i Safari.

Ova tehnika može biti veoma delotvorna jer žrtve koje su imale otvorenu legitimnu OWA sesiju u kartici browsera možda neće uočiti da se URL promenio pre nego što ponovo unesu korisničko ime i lozinku.

Pored toga što koriste nazive domena koji su veoma slični onima koje koriste organizacije koje su ciljevi napada za svoje OWA login stranice, u nekim slučajevima napadači su čak kupovali legitimne SSL sertifikate tako da browseri žrtava prikazuju sigurnu HTTPS vezu za fišing sajtove.

Mamci koji su korišćeni za fišing su poznati događaji i konferencije za koje su žrtve bile zainteresovane.

Među ciljevima protiv kojih su upotrebljene navedene tehnike napada su američka privatna vojna kompanija ACADEMI (Blackwater), Organizacija za bezbednost i saradnju u Evropi (OSCE), jedna multinacionalna kompanija sa sedištem u Nemačkoj, ambasada Vatikana u Iranu, televizijske kuće u nekoliko zemalja, ministarstva odbrane Francuske i Mađarske, pakistanski vojni zvaničnici, zaposleni u poljskoj vladi, vojni atašei iz različitih zemalja i drugi.

Osim efikasnih fišing taktika, napadači su koristili kombinaciju dokazanih alata za uspešno kompromitovanje sistema i upade u mreže koje su bile ciljevi napada - exploite i malver koji krade informacije.

“SEDNIT se posebno pokazao uspešnim, jer je omogućio napadačima da ukradu sve vrste osetljivih informacija sa računara žrtava uspešno izbegavajući detekciju”, kažu u Trend Micro.

Više tehničkih detalja o operaciji Pawn Storm možete naći u dokumentu (pdf) koji je objavio Trend Micro.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovana presa za ispravljanje kose može zapaliti kuću

Hakovana presa za ispravljanje kose može zapaliti kuću

Istraživači tima Pen Test Partners hakovali su prese za ispravljanje kose koje proizvodi Glamouriser. Britanska firma se reklamira kao proizvođač ... Dalje

Google priznao: Da, naši zaposleni slušaju audio snimke Google pomoćnika

Google priznao: Da, naši zaposleni slušaju audio snimke Google pomoćnika

Ljudi koji rade za Google slušaju audio snimke korisnika Google Home pametnih zvučnika, priznala je kompanija. Belgijska radio-televizija VRT NWS je... Dalje

Bag u Apple Watchu omogućava prisluškivanje korisnika iPhonea

Bag u Apple Watchu omogućava prisluškivanje korisnika iPhonea

Apple je privremeno onemogućio aplikaciju Walkie-Talkie na Apple Watchu jer je otkriven bag koji omogućava korisnicima prisluškivanje iPhone uređ... Dalje

Otkrivene nove verzije čuvenog špijunskog softvera FinSpy

Otkrivene nove verzije čuvenog špijunskog softvera FinSpy

Jedan od najmoćnijih, najozloglašenijih i najnaprednijih komercijalnih špijunskih programa FinSpy, poznat i pod nazivom FinFisher, otkriven je u M... Dalje

British Airways kažnjen sa 183 miliona funti zbog krađe podataka korisnika svog sajta i aplikacije

British Airways kažnjen sa 183 miliona funti zbog krađe podataka korisnika svog sajta i aplikacije

Britansko povereništvo za informacije (ICO) kaznilo je British Airways rekordnom novčanom kaznom od 183 miliona funti zbog toga što kompanija nije ... Dalje