Sajber napad na Telenor je deo veće sajber špijunske operacije indijskih hakera

Vesti, 23.05.2013, 07:39 AM

Martovski sajber napadi na norvešku kompaniju Telenor nisu došli iz Kine, kako se najpre mislilo, već je za njih odgovorna do sada nepoznata indijska hakerska grupa.

Šta više, napad na Telenor nije izolovani incident, već deo šire kampanje industrijske sajber špijunaže čija su meta bile kompanije širom sveta, saopštila je kompanija Norman Shark.

U dokumentu koji je objavio Norman Shark u saradnji sa Shadowserver Foundation (Operation Hangover, PDF), misteriozna hakerska grupa za koju se veruje da je odgovorna za ovaj napad bila je posebno aktivna tokom prošle godine a pretpostavlja se ta grupa deluje već četiri godine.

Tvrdnja da su napadi na Telenor došli iz Kine rezultat je pretpostavke da su APT uglavnom povezane sa ovom zemljom. Međutim, izgleda da su kapaciteti hakerskih grupa izvan Kine nepravedno potcenjeni.

Na osnovu informacija o napadu na Telenor koje su prikupili norveški CERT i norveška Nacionalna direkcija za bezbednost, istraživači su otkrili da je grupa raspolagala obimnom ali ne i naročito dobro obezbeđenom infrastrukturom za komandu i kontrolu, a tragovi su istraživače doveli do Trojanca koji je korišćen u napadu.

U prvoj fazi napada su korišćene varijante Smackdown-a, velike familije Visual Basic downloadera koje je u većim delom napisao programer koji koristi nadimak “Yash” ili “Yashu”. Malver koji je korišćen u drugoj fazi napada je Hanove (HangOver), odnosno njegove varijante, koje su odgovorne za krađu informacija.

Norman Shark je otkrio dokaze o pokušajima krađe podataka (mada se ne zna da li su ti pokušaji bili uspešni) i to ne samo u slučaju Telenora već i u kompanijama u SAD, Iranu, Kini, Tajvanu, na Tajlandu, u Jordanu, Indoneziji, Velikoj Britaniji, Nemačkoj, Austriji, Poljskoj i Rumuniji.

Napadi su bili usmereni i na političke aktiviste i pokrete u Norveškoj, Pakistanu i Kini.

Stručnjaci kažu da se radi o veoma kompleksnoj operaciji koja je delo profesionalaca. Nema dokaza da iza napada stoji država Indija, a stručnjaci sumnjaju u takvu mogućnost.

Operacija HangOver počela je najverovatnije u septembru 2010. godine, a možda i ranije. Napadi su obično otpočinjali spear-phishing emailovima, koji su sadržali maliciozne priloge i bili su prilagođeni interesovanjima svake pojedinačne žrtve.

U slučaju Telenora, napadači su poslali emailove sa .doc fajlovima u prilogu i iskoristili poznatu ranjivost u Windowsu (CVE-2012-0158) koju je Microsoft zakrpio još u aprilu prošle godine. Na domenima koji su povezani sa operacijom pronađeni su i exploit-i za ranjivost u Internet Explorer-u (CVE-2012-4792) i ranjivost u Java (CVE-2012-0422).

Ti domeni su korišćeni u fišing napadima u kojima su potencijalne žrtve dobijale emailove sa linkovima za te stranice sa kojih bi otpočeo napad.

Zemlja koja je najviše pogođena ovim napadima je Pakistan, jer je prema podacima koje je objavila firma ESET o istoj kampanji, 79% detekcija malvera korišćenih u ovim napadima zabeleženo u Pakistanu.

Reč je o različitim varijantama malvera Hanove koje imaju različite funkcionalnosti, od toga da kradu određenu vrstu fajlova, kao što su dokumenti i slike na zaraženim računarima koje potom šalju udaljenim serverima, do beleženja aktivnosti na tastaturi i snimaka ekrana.

Stručnjaci smatraju da je u operaciji učestvovalo više programera, koji su bili zaduženi za različite segmente operacije. Stiče se utisak da je reč o projektu koji je unapred definisan, sa zadacima koje je trebalo izvršiti.

Ono zbog čega je ova operacija posebno zanimljiva je činjenica da su napadi došli iz Indije, zemlje koja do sada nije bila aktivna na polju sajber špijunaže. Interesantno je da je operacija objedinila nacionalne interese sa ekonomskim interesima, sudeći po metama napada, što nije karakteristično za kineske kampanje sajber špijunaže.