Artikel top billede

Java-hul og snedige mails udnyttes af spionage-netværk

Et sikkerhedshul i Java udnyttes i stort spionage-netværk. Desuden kan en helt særlig type e-mails lokke dig i fælden.

Læs også:

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java

Computerworld News Service: De hundredevis af statslige, militære og forskningsmæssige institutioner, der er mål for en it-spionagekampagne i stor skala ved navn Red October, angribes ikke alene via skadelige Excel- og Word-dokumenter, som tidligere antaget.

Det sker også via webbaserede Java-angreb.

Det oplyser det israelske it-sikkerhedsfirma Seculert.

Analytikere fra antivirusleverandøren Kaspersky Lab offentliggjorde tidligere på ugen resultaterne af en undersøgelse af Red October.

Målene angribes ifølge denne rapport via e-mail, der har vedhæftet skadelige dokumenter, der er designet til at udnytte kendte sårbarheder i Microsoft Excel og Word.

Costin Raiu, der er leder af Kasperskys team for global undersøgelse og analyse, udtalte dog, at det er meget muligt, at der også anvendes andre metoder til distribution af spionage-malwaren, men at de i så fald ikke er blevet identificeret endnu.

Java udnyttes også

I forbindelse med analyse af kampagnens kommando og kontrol-servere har sikkerhedsanalytikere fra Seculert dog opdaget en særlig mappe med en skadelig Java-applet - det vil sige en webbaseret Java-applikation - designet til at udnytte en sårbarhed i Java, der blev rettet i oktober 2011.

Denne exploit blev kompileret i februar 2012, hvilket underbygger den antagelse, at angriberne foretrækker at gå efter ældre, kendte sikkerhedshuller fremfor hidtil ukendte såkaldte 0-dagssårbarheder, argumenterer analytikerne fra Seculert i et blogindlæg.

Denne opdagelse var i det hele taget mulig, fordi angriberne på et tidspunkt er gået fra at bruge PHP som scripting-sprog på deres kommando og kontrol-servere til at bruge CGI.

Visse ældre PHP-baserede angrebssider lå dog stadig på serverne og ved at åbne dem i en browser kunne analytikerne fra Seculert kigge i kildekoden.

Sådan angriber de kriminelle

Det ser ud til, at den webbaserede angrebsmetode fortsat blev brugt efter skiftet til CGI, oplyser Aviv Raff, der er Seculerts teknologidirektør. 

Det står dog ikke klart, om Red October i de sidste få måneder efter skiftet har udnyttet nyere sårbarheder i Java eller andre browser-plugins, påpeger han.

Det er på nuværende tidspunkt ikke muligt at foretage yderligere undersøgelser, da de kendte kommando og kontrol-servere er blevet lukket ned, sandsynligvis af angriberne i et forsøg på at slette deres spor, fortæller Raff.

It-spionage-kampagnen er hovedsageligt blevet gennemført ved, at personer i de angrebne organisationer er blevet narret med målrettede e-mails til at besøge angrebssider, oplyser analytikerne fra Seculert.

Ordlyden af denne såkaldte spear phishing-mail kendes ikke, da ingen af disse e-mails er blevet fundet eller offentliggjort, men de har sandsynligvis et nyhedsorienteret tema, oplyser Raff.

Angrebssiderne, Java-exploiten og webadresserne til selve malwaren indeholder strenge med ordet nyheder, fortæller Raff.

Når angrebssiden har indlæst Java-exploiten, vil offerets browser endda blive omdirigeret til legitime nyhedswebsteder heriblandt et tyrkisk websted.

Hænger det sammen med Flame?

Det er interessant at bemærke, at de kommando og kontrol-servere, der blev brugt i it-spionage-kampagnen Flame, indeholdt strengen "NewsForYou", hvilket antyder, at der også her blev brugt et nyhedsorienteret tema i forbindelse med angrebene.

Det står indtil videre ikke klart, om dette blot er et tilfælde, eller om de to kampagner er relaterede, påpeger Raff.

Raff vurderer, at Red October er udført af en gruppe hackere, der indsamler værdifulde fortrolige oplysninger, som de senere kan sælge til interesserede parter, fremfor at være resultatet af en nationalstats it-spionage-aktiviteter.

Kaspersky Lab, som først opdagede dette nye omfattende it-spionagenetværk, oplyser ligeledes, at der indtil videre ikke er fundet nogen beviser, der peger på, at det skulle være statssponsoreret.                   

Oversat af Thomas Bøndergaard

Læs også: 

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere