Artikel top billede

Java-hul og snedige mails udnyttes af spionage-netværk

Et sikkerhedshul i Java udnyttes i stort spionage-netværk. Desuden kan en helt særlig type e-mails lokke dig i fælden.

Læs også:

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java

Computerworld News Service: De hundredevis af statslige, militære og forskningsmæssige institutioner, der er mål for en it-spionagekampagne i stor skala ved navn Red October, angribes ikke alene via skadelige Excel- og Word-dokumenter, som tidligere antaget.

Det sker også via webbaserede Java-angreb.

Det oplyser det israelske it-sikkerhedsfirma Seculert.

Analytikere fra antivirusleverandøren Kaspersky Lab offentliggjorde tidligere på ugen resultaterne af en undersøgelse af Red October.

Målene angribes ifølge denne rapport via e-mail, der har vedhæftet skadelige dokumenter, der er designet til at udnytte kendte sårbarheder i Microsoft Excel og Word.

Costin Raiu, der er leder af Kasperskys team for global undersøgelse og analyse, udtalte dog, at det er meget muligt, at der også anvendes andre metoder til distribution af spionage-malwaren, men at de i så fald ikke er blevet identificeret endnu.

Java udnyttes også

I forbindelse med analyse af kampagnens kommando og kontrol-servere har sikkerhedsanalytikere fra Seculert dog opdaget en særlig mappe med en skadelig Java-applet - det vil sige en webbaseret Java-applikation - designet til at udnytte en sårbarhed i Java, der blev rettet i oktober 2011.

Denne exploit blev kompileret i februar 2012, hvilket underbygger den antagelse, at angriberne foretrækker at gå efter ældre, kendte sikkerhedshuller fremfor hidtil ukendte såkaldte 0-dagssårbarheder, argumenterer analytikerne fra Seculert i et blogindlæg.

Denne opdagelse var i det hele taget mulig, fordi angriberne på et tidspunkt er gået fra at bruge PHP som scripting-sprog på deres kommando og kontrol-servere til at bruge CGI.

Visse ældre PHP-baserede angrebssider lå dog stadig på serverne og ved at åbne dem i en browser kunne analytikerne fra Seculert kigge i kildekoden.

Sådan angriber de kriminelle

Det ser ud til, at den webbaserede angrebsmetode fortsat blev brugt efter skiftet til CGI, oplyser Aviv Raff, der er Seculerts teknologidirektør. 

Det står dog ikke klart, om Red October i de sidste få måneder efter skiftet har udnyttet nyere sårbarheder i Java eller andre browser-plugins, påpeger han.

Det er på nuværende tidspunkt ikke muligt at foretage yderligere undersøgelser, da de kendte kommando og kontrol-servere er blevet lukket ned, sandsynligvis af angriberne i et forsøg på at slette deres spor, fortæller Raff.

It-spionage-kampagnen er hovedsageligt blevet gennemført ved, at personer i de angrebne organisationer er blevet narret med målrettede e-mails til at besøge angrebssider, oplyser analytikerne fra Seculert.

Ordlyden af denne såkaldte spear phishing-mail kendes ikke, da ingen af disse e-mails er blevet fundet eller offentliggjort, men de har sandsynligvis et nyhedsorienteret tema, oplyser Raff.

Angrebssiderne, Java-exploiten og webadresserne til selve malwaren indeholder strenge med ordet nyheder, fortæller Raff.

Når angrebssiden har indlæst Java-exploiten, vil offerets browser endda blive omdirigeret til legitime nyhedswebsteder heriblandt et tyrkisk websted.

Hænger det sammen med Flame?

Det er interessant at bemærke, at de kommando og kontrol-servere, der blev brugt i it-spionage-kampagnen Flame, indeholdt strengen "NewsForYou", hvilket antyder, at der også her blev brugt et nyhedsorienteret tema i forbindelse med angrebene.

Det står indtil videre ikke klart, om dette blot er et tilfælde, eller om de to kampagner er relaterede, påpeger Raff.

Raff vurderer, at Red October er udført af en gruppe hackere, der indsamler værdifulde fortrolige oplysninger, som de senere kan sælge til interesserede parter, fremfor at være resultatet af en nationalstats it-spionage-aktiviteter.

Kaspersky Lab, som først opdagede dette nye omfattende it-spionagenetværk, oplyser ligeledes, at der indtil videre ikke er fundet nogen beviser, der peger på, at det skulle være statssponsoreret.                   

Oversat af Thomas Bøndergaard

Læs også: 

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning 2022: Sæt data på den strategiske dagsorden

Lær hvordan du tænker automatisering, data og digitalisering ind i dagligdagen, over for kunderne og hvordan du får skabt ny forretning.

31. maj 2022 | Læs mere


Sådan gør du din forsyningskæde mere robust

Vi sætter fokus på standardværktøjer og tillægsløsninger til Microsoft Dynamics 365 FO i produktionsvirksomheder, som vil planlægge og drive en effektiv supply chain.

31. maj 2022 | Læs mere


Kom hackerne i forkøbet: Sådan gør du din cybersikkerhed kampklar

Kom hackerne i forkøbet. Eksperter deler de bedste erfaring til, hvordan du øger din cybersikkerhed.

01. juni 2022 | Læs mere






CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?