dodany: 09.08.2012 | tagi: ,

Autor:

Strony nepalskiego rządu zaatakowane przez wirus

0

Researcherzy odkryli kolejny atak wykorzystujący słabość Javy do ataku na aktywistów i agencje rządowe w Nepalu. Atak zakończył się zainstalowaniem na komputerach ofiar backdoora.

Dwie nepalskie rządowe agencje – National Information Technology Center i Office of the Prime Minister and Council Minister – zostały zaatakowane. Informację o ataku zamieścił na blogu Websense Security Labs, researcher bezpieczeństwa w Websense, Gianluca Giuliani. Atakujący do zainfekowania stron agencyjnych użyli złośliwego kodu, stworzonego do wykorzystywania luk w Java Runtime Environment. Kod powstał z modułu Metasploit.

Kiedy kod został wyzwolniony, na maszynach ofiar zainstalował się backdoor o nazwie Zegost. Zegost jest powszechnym, zdalnym narzędziem administracyjnym i wykorzystuje: śledzenie ruchów na klawiaturze (keyloggery), zdalne pisanie kodu, a także kradzież i transfer danych. Backdoor w atakach na nepalskie strony rządowe posłużył do otworzenia i przesłania danych do zdalnego serwera command-and-control, który jest umieszczony w domenie „who.xhhow4.com” zlokalizowanej w Chinach, powiedział Giuliani.

„Tak jak w innych przypadkach możemy stwierdzić, że backdoor nie jest wysoce skomplikowany, ale z pewnością powoduje równie groźne skutki, co inne rodzaje złośliwych oprogramowani atakujących systemy”

– napisał Giuliani.

Taka sama słabość Javy (CVE-2012-05070) została użyta podczas poprzednich ataków przeciwko Amnesty International i Instytutowi Międzynarodowych Studiów Bezpieczeństwa (National Security Studies) w Izraelu, powiedział Giuliani. We wszystkich trzech atakach użyty został kod pobrany z frameworku Metasploit. Jednakże warte zanotowanie jest to, że domena xhhow4.com w przypadku ataku Amnesty, również umieszczona była na serwerze C&C.

Zegost był użyty także do ataków na Uyghurs, Tibetans i inne etniczne grupy w Zachodniej i Centralnej Azji, jak twierdzi AlienVault.

Metoda infekcji polega na podobnym działaniu. Atakujący najpierw uszkadzają stronę a potem wprowadzają złośliwy kod, wykorzystując do tego zwykłą lukę. Główna strona została zainfekowana przez Java JAR file loader, który następnie starał się wykorzystać lukę w Javie. Następnie shellcode zainstalował i uruchomił „Tools.exe”, który tak naprawdę był Zegostem.

Backdoor na zainfekowanym systemie używa lokalnego portu 1320, by łączyć się z serwerem C&C do portu 53, co jest trochę nietypowe. Nawet jeśli port 53 jest zarezerwowany dla transferu DNS Zone, ruch przez port używa własnego protokołu.

Co ciekawe, zainstalowane oprogramowanie było podpisane ważnym certyfikatem od VeriSign. Złośliwy kod podpisany rzetelnymi certyfikatami jest trendem, który widać w przypadku innych docelowych ataków.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *