Kormányzati adatokat lopott egy vírus – mi is lehetnénk az áldozatok

Hatékony szűrők, különféle trükkös kommunikációs megoldások és egy érdekes rejtőzködési technika révén az SBDH károkozó fájlokat tudott kiszivárogtatni kelet-közép-európai (cseh, szlovák, lengyel, magyar és ukrán) kormányzati, illetve állami intézmények rendszereiből. Az SBDH-val kapcsolatos felfedezéseket Tomáš Gardoň és Robert Lipovsky, az ESET biztonsági kutatói ismertették a Koppenhágában megrendezett Cybercrime Conference 2016 rendezvényen.

Az alvilági eszköz adathalász célú elektronikus levelekben terjed, amelyek mellékletében egy dupla kiterjesztéssel rendelkező, futtatható fájl található. A kiterjesztések közül a Windows az egyiket – alapértelmezett beállítások mellett – elrejti, ami megtévesztővé teszi a csatolmányokat. Ráadásul a csalók jól ismert alkalmazásokhoz tartozó vagy Word dokumentumok esetén használt ikonok segítségével igyekeznek növelni annak valószínűségét, hogy a felhasználó megnyissa a mellékelt állományt.

Az ESET kutatói azt is elárulták, hogy a kártékony program honnan kapta a furcsa nevét. Az elnevezés egy forráskódban található “B64SBDH” karaktersorozatból ered, amely fontos jelentőséggel bír, ugyanis a kártevő ez alapján tölti le az egyes összetevőit a kiszolgálóiról.

Kép: Pixabay

Amennyiben a kártékony program elindul, akkor kapcsolódik egy távoli kiszolgálóhoz, ahonnan két további összetevőt tölt le. Az egyik egy hátsó ajtó (backdoor) nyitására alkalmas komponens, a másik pedig adatlopást tesz lehetővé. A modulok kombinációjával a támadók nemcsak teljes körű, távoli hozzáférést szerezhetnek a kompromittált számítógépek felett, hanem fejlett módszerek segítségével adatokat is kiszivárogtathatnak.

A kártevőben egy nagyon hatékony szűrőmodul is helyet kapott, amelynek segítségével a támadók részletesen meghatározhatják, hogy milyen fájlokra, adatokra kíváncsiak. Így például beállíthatják az állományok kiterjesztésére, létrehozási dátumára, méretére és egyéb paraméterei vonatkozó kívánalmaikat is. A beállításokat egy egyszerű konfigurációs fájlban tehetik meg.

Vírusokkal zsarolnak kórházakat
A zsarolóvírus titkosítja az adatállományokat a komputerekben, és addig nem oldja fel őket, amíg a hekkerek nem kapják meg a váltságdíjat. Könnyű pénzkereset ez nekik: a kórházak ugyanis fizetnek! A gyors beavatkozást igénylő helyzetekben, életmentő műtéteknél nem lehet várni.
Az ESET kutatói kiemelték, hogy mivel a károkozó minden egyes összetevőjének szüksége van vezérlőszerverrel történő kommunikációra, ezért a működése nagymértékben függ a hálózat adta lehetőségektől. Így a kártevő többféle csatlakozási technikával is próbálkozik. Elsősorban a hagyományos, HTTP alapú webes adatforgalomba próbál beférkőzni, ha ez nem sikerül, akkor az SMTP (Simple Mail Transfer Protocol) e-mail-továbbítási protokollt hívja segítségül.

Az SBDH terjesztői arra az eshetőségre is felkészültek, amikor a vezérlőszerver valamilyen oknál fogva elérhetetlenné válik. Ekkor a károkozó egy előre bekódolt webcím segítségével egy preparált képfájlt tölt le egy ingyenesen használható blogoldalról. Ez a manipulált .JPG vagy .GIF képállomány pedig egy alternatív kiszolgáló címét rejti.

Az SBDH néhány vizsgált variánsa egy további egyszerű, de hatásos technikát is alkalmaz. A kártevő lecseréli a Word dokumentumokhoz hozzárendelt alkalmazást. Ennek következtében, amikor a felhasználó megnyit egy Word állományt, akkor valójában nem a Microsoft szoftvere fog elindulni, hanem maga a károkozó.

Az SBDH ékes bizonyítékát adja annak, hogy a fejlett kártékony programok sokszor még mindig roppant egyszerű módon terjednek, például elektronikus levelek mellékleteként. A kockázatok csökkentése érdekében pedig figyelmet kell szentelni a felhasználók biztonságtudatos képzésére, az operációs rendszer megfelelő beállításaira (például az ismert fájltípusok kiterjesztései rejtett állapotának tiltása), valamint a megbízható, többrétegű védelmi megoldások használatára.

Véleményvezér

Lázár János hatalmas öngólja, a betiltott vonatinfó helyére egyre újabb verziók születnek

Lázár János hatalmas öngólja, a betiltott vonatinfó helyére egyre újabb verziók születnek 

A betiltás a digitális világban immár mulatság tárgya.
Semmi nem fog Magyar Péteren

Semmi nem fog Magyar Péteren 

Ezúttal komoly kihívóra lelt Orbán Viktor.
Ha valaki féláron szeretne friss gyümölcsöt csak Bécsbe kell kiugrania

Ha valaki féláron szeretne friss gyümölcsöt csak Bécsbe kell kiugrania 

Hol van már Magyarország egykori olcsósága.
A fideszes oligarcháknak már annyi pénzük van, hogy lebegő luxusvillára is jut Tihanyban

A fideszes oligarcháknak már annyi pénzük van, hogy lebegő luxusvillára is jut Tihanyban 

A luxizás magyar császára nagyot villantott.
Gázra lépett a MÁV, pontosság és tisztaság helyett propaganda

Gázra lépett a MÁV, pontosság és tisztaság helyett propaganda 

A MÁV biztosítja a késést, a sző valódi és átvitt értelmében egyaránt.
Újabb furfangot eszelt ki a kormány a szabad sajtó betiltására Hadházy Ákos szerint

Újabb furfangot eszelt ki a kormány a szabad sajtó betiltására Hadházy Ákos szerint 

Csökken a normativitása a magyar társadalomnak.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo