Működnek az ősi kódok a modern rendszerek ellen

A Moonlight Maze nevű támadás – amely többek között érintette a NASA-t és a Pentagont – és a modern kibercsapdák közötti összefüggéseket vizsgálták a Kaspersky Lab és a Kings College London kutatói, amikor olyan mintákat és eseménynaplókat találtak, amelyek valószínűleg az ősi APT-hez, fejlett, célzott támadásokhoz köthetők. Úgy tűnik, hogy egy 1998-as támadás során használt kiskapu, amelyet az áldozatok adatainak kicsempészésére használtak, összeköthető a 2011-ben és talán az idei Turla által is használt kiskapuval. Ha bizonyítható a kapcsolat a Turla és a Moonlight Maze között, akkor az Equation Group hackercsoporttal együtt az egyik legrégebbi kibercsapdává válhat, hiszen az Equation C&C szerverei 1996-ban indultak.

A friss jelentések a Moonlight Maze-ről azt mutatják, hogy már 1996-tól kezdődően észleltek biztonsági réseket az amerikai katonai- és kormányzati, az egyetemek, a kutatóintézetek, valamint a Department of Energy (DoE) rendszereiben. 1998-ban az FBI és a Department of Defense (DoD) elindította a vizsgálatot, amely 1999-ben kapott publicitást, de sok bizonyítékot titkosítottak, így a Moonlight Maze-t és annak részleteit mindeddig óriási homály és mítosz övezi.

Kép:Pexels

Az elmúlt évek során a korábbi nyomozók gyanítják, hogy a Moonlight Maze fejlődött Turla-vá, egy 2007 óta aktív orosz nyelvű kibercsapdává, amelynek ismert nevei a Snake, az Uroburos, a Venomous Bear, és a Krypton.

A „Szekrény-minták”

Thomas Rid tavaly – a londoni Kings College-tól, miközben kutatásokat végzett a Rise of the Machines című könyvéhez – találkozott egy olyan egykori rendszergazdával, akinek szerverét feltörték a Moonlight Maze támadó proxy szerverei. Ezt a szervert („HRTest”) használták volna az Egyesült Államok elleni támadások indítására. A mára visszavonult informatikai szakember megtartotta az eredeti szervert valamint másolatokat és minden adatot a támadásokról és nagyvonalúan a Kings College és a Kaspersky Lab rendelkezésére bocsátotta további elemzések céljából.

A Kaspersky Lab kutatói, Juan Andres Guerrero-Saade és Costin Raiu közösen Thomas Rid és Danny Moore szakemberekkel a Kings College-tól kilenc hónapon keresztül részletesen elemezték ezeket a mintákat. Rekonstruálták a támadók műveleteit, a támadás során használt eszközöket és technikákat, és ezzel párhuzamosan vizsgálták a Turla-t, hogy bizonyítani tudják a kapcsolódást.

A Moonlight Maze egy nyílt forráskódú Unix-alapú támadás célzottan Solaris-rendszerek ellen. A vizsgálat eredményei azt mutatják, hogy egy LOKI2 programon (1996-ban megjelent program, amely lehetővé tette a felhasználók számára az adatok kicsomagolását rejtett csatornákon keresztül) alapuló backdoor-t használt. Ez sarkallta a kutatókat arra, hogy összevessék a Turla által használt néhány ritka Linux-mintákkal, amelyeket 2014-ben detektált a Kaspersky Lab. Ezeknek a mintáknak a gyűjtőneve Penquin Turla és szintén LOKI2 programon alapulnak, továbbá, mindegyik használt kódot 1999-2004 között hozták létre.

Azt sem tudjuk, mekkora a veszély
Nem meglepő, hogy az olyan cégek és magánszemélyek, akik felhő alapú tárolási és biztonsági mentési szolgáltatásokat szeretnének igénybe venni, leginkább az adatbiztonság miatt aggódnak. Az új fenyegetésként és kockázatként megjelenő „zsarolóvírusok” felbukkanása még sürgetőbbé teszi a legjobb megoldások kiválasztását.
Ősi kódon a modern rendszerek ellen

Figyelemre méltó, hogy ezt a kódot még mindig használják támadások folyamán. 2011-ben észlelték az azonosságot, amikor a svájci RUAG cég elleni támadás során olyan kártékony programot használtak, amely a Turla-családhoz tartozik. Idén márciusban a Kaspersky Lab kutatói egy új mintát felfedeztek fel a Penquin Turla backdoor-jában egy németországi rendszerben.  Lehetséges, hogy a Turla a régi kódot használja az olyan kiemelt biztonsággal rendelkező rendszerek ellen, amelyeket nehezebb feltörni, mivel több alapértelmezett Windows eszközkészletet használnak.

„A ’90-es évek végén senki sem látta előre egy szervezett kiberkémkedő kampány hatását és következményeit. Meg kell értenünk, hogy miért képesek a támadók sikeresen használni ősi kódokat modern rendszerek ellen. A Moonlight Maze-minták elemzése nemcsak izgalmas régészeti tanulmány, hanem egy lecke is, amely emlékeztet, hogy megfelelő forrásokkal a kiberbűnözők nyomon követhetőek, és rajtunk múlik, hogy megvédjük a rendszereinket.” mondta Juan Andres Guerrero-Saade, a Kaspersky Lab „Global Research and Analysis” részleg senior biztonsági kutatója.

A most előkerült Moonlight Maze fájlok számos érdekes részletet mutatnak arról, hogyan végezték a támadásokat komplex proxy-hálózattal, valamint a támadók magas szintű szakmai tudását és eszközeit.  Bővebb információt a támadás-sorozatról és egyéb technikai részleteket ezen a linken talál.

Véleményvezér

A Visegrádi Négyek közül Magyarország fogadta be a legkevesebb ukrán menekültet

A Visegrádi Négyek közül Magyarország fogadta be a legkevesebb ukrán menekültet 

A magyar humanitárius segítség az ukránoknak minimális.
Mikor van karácsony Orbán Viktor szerint?

Mikor van karácsony Orbán Viktor szerint? 

Az ortodox karácsony januárban van, a nyugati keresztény pedig decemberben.
Egy ország jólétének alapja, hogy van-e egy erős jómódú középosztálya

Egy ország jólétének alapja, hogy van-e egy erős jómódú középosztálya 

Hiányoznak az alapfeltételei egy jóléti Magyarországnak.
Hadházy Ákos olyan gyerekintézményt talált, ahol luxusban fürdenek a kicsik

Hadházy Ákos olyan gyerekintézményt talált, ahol luxusban fürdenek a kicsik 

Az állam kiegyensúlyozó szerepe felborult.
Több ezer szíriai menekült indult haza Törökországból

Több ezer szíriai menekült indult haza Törökországból 

A szírek hazavágynak.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo