Kormányzati adatokat lopott egy vírus – mi is lehetnénk az áldozatok

Hatékony szűrők, különféle trükkös kommunikációs megoldások és egy érdekes rejtőzködési technika révén az SBDH károkozó fájlokat tudott kiszivárogtatni kelet-közép-európai (cseh, szlovák, lengyel, magyar és ukrán) kormányzati, illetve állami intézmények rendszereiből. Az SBDH-val kapcsolatos felfedezéseket Tomáš Gardoň és Robert Lipovsky, az ESET biztonsági kutatói ismertették a Koppenhágában megrendezett Cybercrime Conference 2016 rendezvényen.

Elmossa az árrésstopot a recesszió?
Mekkora sebeket ejt rajtunk Donald Trump vámháborúja?

Online Klasszis Klub élőben Jaksity Györggyel!
Vegyen részt és kérdezze Ön is a neves közgazdászt!

2025. április 22. 15:30

A részvétel ingyenes, regisztráljon itt!

Az alvilági eszköz adathalász célú elektronikus levelekben terjed, amelyek mellékletében egy dupla kiterjesztéssel rendelkező, futtatható fájl található. A kiterjesztések közül a Windows az egyiket – alapértelmezett beállítások mellett – elrejti, ami megtévesztővé teszi a csatolmányokat. Ráadásul a csalók jól ismert alkalmazásokhoz tartozó vagy Word dokumentumok esetén használt ikonok segítségével igyekeznek növelni annak valószínűségét, hogy a felhasználó megnyissa a mellékelt állományt.

Az ESET kutatói azt is elárulták, hogy a kártékony program honnan kapta a furcsa nevét. Az elnevezés egy forráskódban található “B64SBDH” karaktersorozatból ered, amely fontos jelentőséggel bír, ugyanis a kártevő ez alapján tölti le az egyes összetevőit a kiszolgálóiról.

Kép: Pixabay

Amennyiben a kártékony program elindul, akkor kapcsolódik egy távoli kiszolgálóhoz, ahonnan két további összetevőt tölt le. Az egyik egy hátsó ajtó (backdoor) nyitására alkalmas komponens, a másik pedig adatlopást tesz lehetővé. A modulok kombinációjával a támadók nemcsak teljes körű, távoli hozzáférést szerezhetnek a kompromittált számítógépek felett, hanem fejlett módszerek segítségével adatokat is kiszivárogtathatnak.

A kártevőben egy nagyon hatékony szűrőmodul is helyet kapott, amelynek segítségével a támadók részletesen meghatározhatják, hogy milyen fájlokra, adatokra kíváncsiak. Így például beállíthatják az állományok kiterjesztésére, létrehozási dátumára, méretére és egyéb paraméterei vonatkozó kívánalmaikat is. A beállításokat egy egyszerű konfigurációs fájlban tehetik meg.

Vírusokkal zsarolnak kórházakat
A zsarolóvírus titkosítja az adatállományokat a komputerekben, és addig nem oldja fel őket, amíg a hekkerek nem kapják meg a váltságdíjat. Könnyű pénzkereset ez nekik: a kórházak ugyanis fizetnek! A gyors beavatkozást igénylő helyzetekben, életmentő műtéteknél nem lehet várni.
Az ESET kutatói kiemelték, hogy mivel a károkozó minden egyes összetevőjének szüksége van vezérlőszerverrel történő kommunikációra, ezért a működése nagymértékben függ a hálózat adta lehetőségektől. Így a kártevő többféle csatlakozási technikával is próbálkozik. Elsősorban a hagyományos, HTTP alapú webes adatforgalomba próbál beférkőzni, ha ez nem sikerül, akkor az SMTP (Simple Mail Transfer Protocol) e-mail-továbbítási protokollt hívja segítségül.

Az SBDH terjesztői arra az eshetőségre is felkészültek, amikor a vezérlőszerver valamilyen oknál fogva elérhetetlenné válik. Ekkor a károkozó egy előre bekódolt webcím segítségével egy preparált képfájlt tölt le egy ingyenesen használható blogoldalról. Ez a manipulált .JPG vagy .GIF képállomány pedig egy alternatív kiszolgáló címét rejti.

Az SBDH néhány vizsgált variánsa egy további egyszerű, de hatásos technikát is alkalmaz. A kártevő lecseréli a Word dokumentumokhoz hozzárendelt alkalmazást. Ennek következtében, amikor a felhasználó megnyit egy Word állományt, akkor valójában nem a Microsoft szoftvere fog elindulni, hanem maga a károkozó.

Az SBDH ékes bizonyítékát adja annak, hogy a fejlett kártékony programok sokszor még mindig roppant egyszerű módon terjednek, például elektronikus levelek mellékleteként. A kockázatok csökkentése érdekében pedig figyelmet kell szentelni a felhasználók biztonságtudatos képzésére, az operációs rendszer megfelelő beállításaira (például az ismert fájltípusok kiterjesztései rejtett állapotának tiltása), valamint a megbízható, többrétegű védelmi megoldások használatára.

Véleményvezér

A statisztika azt mutatja, hogy mit sem érnek a kormányzati hatósági árak

A statisztika azt mutatja, hogy mit sem érnek a kormányzati hatósági árak 

Árkorlátozás ide, vagy oda, azok mennek felfelé.
2,9 milliárd forintért árulja dubaji luxuslakását a volt jegybankelnök fia

2,9 milliárd forintért árulja dubaji luxuslakását a volt jegybankelnök fia 

Szépen gazdagodott a Matolcsy gyerek.
A cseh kormánypártok Orbán Viktor rémével kampányolnak

A cseh kormánypártok Orbán Viktor rémével kampányolnak 

Orbán Viktort kifejezetten negatív színben tüntetik fel cseh plakátokon.
Kiderült miért vonta vissza vámjait Trump

Kiderült miért vonta vissza vámjait Trump 

A közgazdászok pártállás nélkül visítanak.
180 fokot fordult Orbán Viktor és Donald Trump barátja

180 fokot fordult Orbán Viktor és Donald Trump barátja 

A politikusok némelyike felülmúlja a szélkakasokat.

Info & tech

Cégvezetés & irányítás

Piac & marketing


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo