Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Vesti, 26.10.2014, 21:31 PM

Operacija Pawn Storm: Politička i ekonomska sajber špijunaža otkrivena posle 7 godina

Istraživači iz kompanije Trend Micro otkrili su špijunsku operaciju hakerske grupe koja je od 2007. godine špijunirala vojne agencije i dobavljače, ambasade u SAD i državama američkih saveznika, opozicione političare i disidente u Rusiji, medije i druge institucije i organizacije.

Sajber kriminalci koji učestvuju u ovoj operaciji nazvanoj Pawn Storm imaju političke i ekonomske ciljeve. Oni su tokom prethodnih godina koristili različite tehnike napada, uključujući i spear-phishing emailove sa malicioznim Microsoft Office dokumentima koji vode do backdoor malvera SEDNIT (Sofacy), veoma selektivne exploite koje ubacuju u inače legitimne sajtove koji takođe vode do pomenutog malvera i fišing emailove koji presumeravju žrtve na lažne Outlook Web Access login stranice. Njihov izbor ciljeva i malvera pokazuje da je reč o veoma iskusnim hakerima. SEDNIT je dizajniran da probije odbrane ciljeva i opstane na zaraženim sistemima da bi snimio što više informacija.

Posebno zanimljiva tehnika napada koju koristi ova grupa su email fišing napadi na organizacije koje koriste Outlook Web App (OWA) koji je deo Microsoftovog Office 365 servisa.

Za svaki napad, grupa koristi dva lažna domena - jedan koji je veoma sličan nekom web sajtu koji je dobro poznat žrtvama (na primer, web sajt predstojeće poslovne konferencije) i jedan sličan domenu za Outlook Web App koji koristi organizacija koja je cilj napdača.

Napadači šalju fišing emailove sa linkom za lažni sajt na kome hostuju JavaScript kod koji ima dvostruku svrhu: otvaranje pravog legitimnog sajta u novoj kratici browsera i preusmeravanje već otvorene kartice Outlook Web App na fišing stranicu.

Zahvaljujući JavaScriptu, žrtvi izgleda kao da se OWA sesija završila tako da mora ponovo da unese korisničko ime i lozinku. Napadači zatim preusmeravju žrtvu na lažnu OWA login stranicu, a tehnika koju koriste napadači funkcioniše u svakom popularnom browseru, uključujući i Internet Explorer, Google Chrome i Safari.

Ova tehnika može biti veoma delotvorna jer žrtve koje su imale otvorenu legitimnu OWA sesiju u kartici browsera možda neće uočiti da se URL promenio pre nego što ponovo unesu korisničko ime i lozinku.

Pored toga što koriste nazive domena koji su veoma slični onima koje koriste organizacije koje su ciljevi napada za svoje OWA login stranice, u nekim slučajevima napadači su čak kupovali legitimne SSL sertifikate tako da browseri žrtava prikazuju sigurnu HTTPS vezu za fišing sajtove.

Mamci koji su korišćeni za fišing su poznati događaji i konferencije za koje su žrtve bile zainteresovane.

Među ciljevima protiv kojih su upotrebljene navedene tehnike napada su američka privatna vojna kompanija ACADEMI (Blackwater), Organizacija za bezbednost i saradnju u Evropi (OSCE), jedna multinacionalna kompanija sa sedištem u Nemačkoj, ambasada Vatikana u Iranu, televizijske kuće u nekoliko zemalja, ministarstva odbrane Francuske i Mađarske, pakistanski vojni zvaničnici, zaposleni u poljskoj vladi, vojni atašei iz različitih zemalja i drugi.

Osim efikasnih fišing taktika, napadači su koristili kombinaciju dokazanih alata za uspešno kompromitovanje sistema i upade u mreže koje su bile ciljevi napada - exploite i malver koji krade informacije.

“SEDNIT se posebno pokazao uspešnim, jer je omogućio napadačima da ukradu sve vrste osetljivih informacija sa računara žrtava uspešno izbegavajući detekciju”, kažu u Trend Micro.

Više tehničkih detalja o operaciji Pawn Storm možete naći u dokumentu (pdf) koji je objavio Trend Micro.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol je pozvao zajednicu sajber bezbednosti, organe za sprovođenje zakona i medije da prestanu da koriste termin „pig butchering“ (sv... Dalje

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Istraživači Guardio Labsa i Infobloxa otkrili su kampanju velikih razmera koja distribuira malver Lumma preko lažnih captcha stranica. Napadači is... Dalje

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Srpske vlasti su instalirale špijunski softver na telefone desetina predstavnika civilnog društva, aktivista i novinara, navodi se u izveštaju koji... Dalje

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Nemačka Savezna kancelarija za informacionu bezbednost (BSI) je saopštila da je blokirala malver BadBox koji je predinstaliran na više od 30.000 An... Dalje