Miért pont én?

Két okból: ezért, meg azért.

Amikor IT-biztonsági incidensekről olvasok, a kapcsolódó fórumtémákban visszatérő a fenti kérdés. A hivatkozási alap mindig az, hogy az adott illető bankszámláján nincs (elég) pénz, nem tárol fontos információkat a számítógépén/telefonján/tabletjén.

Nos, az egyik ok az, hogy ha minden támadott felhasználó bankszámláján csak pitiáner összegek vannak, összegyűjtve azért kiadnak egy méretesebb pénztárcát.

A másik ok az, ami a TeamSpy felfedezése nyomán is eléggé világos: ha botnet része az általunk birtokolt eszköz, akkor a valódi támadó helyett minket vesz célba pl. a TEK, és noha swattingolni mást jó mókának tűnhet, szenvedő alanyának lenni annyira már nem vicces.

Nos, lássuk, mi mindent csinált a TeamSpy, amelynek felfedezéséért ismét a CrySyS Labet illeti a credit – mint az utóbbi időben szinte minden új malware felfedezéséért.

A TeamSpy elsődleges feladata az információszerzés. Ennek érdekében a támadók a felhasználók tudta nélkül telepítenek a célpontra egy jól ismert programot, a távoli elérést biztosító TeamViewert. A program mellé természetesen a támadók ízlése szerinti DLL jár, DLL-hijackinggel módosították a program működését. A módosított működés magában foglalja egyéb eszközök telepítésének lehetőségét is, amelyekkel információk nyerhetők az áldozat gépéről. A TV-s támadás azonban csak egy bevetett haderőneme az összecsapásnak, korábbról ismert malware-ek C&C-vezérléssel is felbukkantak a nagyjából tizes nagyságrendű támadássorozatban. Bizonyos jelek arra utalnak, hogy a támadásban használt eszközök egy része már 2010 óta aktív.

A támadók elsősorban dokumentumfájlokra vadásztak, azokon belül rögzített hozzáféréseket szereztek meg. Igyekeztek megszerezni pgp és p12 állományokat is, amelyekben a kriptográfiai kulcsok találhatók.

A támadásban magyar állami célpont is szerepelt, de hogy jönnek ide a kezdésben említett otthoni felhasználók? Úgy, hogy a TeamSpy átlagfelhasználók gépeit is támadta, azokat használva fel a kémkedő botnet részeként. Ilyenkor egy forensic analízissel vissza lehet jutni a felhasználó gépéig, de tovább nem (már ha képzettek a támadók, ebben az esetben annak tűnnek). Nem vicces kémkedés vádjával bíróság elé állni.

Stock Photo

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community