20.01.2015, 10:28
Badacze z portalu Ars Technica poinformowali, że odkryli na stronie Korean Central News Agency atak na użytkowników metodą "watering hole" (tzw. wodopoju). KCNA (Północnokoreańska Centralna Agencja Prasowa) to oficjalna agencja informacyjna północnokoreańskiego reżimu założona w 1946 i od dziesięcioleci publikująca kolejne "sukcesy" Kim Ir Sena i jego kolejnych następców (znaczy się syna i wnuka), natomiast atak "watering hole" opisany został pokrótce w wypowiedzi pracownika Symantec Polska
Atak zmontowany na oficjalnej stronie nie jest raczej przypadkowy, ale do tej pory nie ma dementi strony koreańskiej w tej sprawie...spodziewać się więc można, że jest zamierzony i celowany w ludzi związanych z informacją jako taką czyli np. dziennikarze, politycy, ekonomiści, analitycy wszelkiej maści. Każdej z potencjalnych ofiar po wejściu na stronę ukazuje się okienko (kod Java script) z informacją o konieczności aktualizacji Flash Playera i zainstalowania pliku o nazwie "FlashPlayer10.zip"...archiwum zawiera 2 identyczne pliki (jeden związany z ActiveX, drugi z pluginem do przeglądarki) zawierające znany szkodnik (tzw. file dropper), który na VT ma wskazania 42/55. Szkodnik po zainstalowaniu na maszynie ofiary na pewno jest w stanie przechwytywać dane logowania z używanej przeglądarki...inne skutki nie są jeszcze dobrze rozpoznane.
Ciekawe, że instalator oferuje wersję 10, skoro aktualna to już 16, ale prawdopodobnie liczą na brak uwagi lub nieświadomość potencjalnej ofiary...ponadto analiza danych pobieranych przez szkodnika wskazuje na interesującą lokalizację źródła o nazwie "siteFiles/exploit," a jeden z nagłówków plików wskazuje na stronę nazwaną "kcna.user.exploit.exploit.kcmsf", co jak przyznają sami badacze może być jednak związane z językowym lapsusem, ponieważ oryginalne koreańskie słowo może oznaczać zarówno "exploit" co i "develop"
Trudno się jednak nie oprzeć wrażeniu, że to wszystko nie przypadek...prawda?
Źródło
Cytat:Służy temu między innymi watering hole, czyli wodopój. To sposób atakowania stron wymyślony w 2012 roku. Haker atakuje stronę i czeka na konkretnego czytelnika. Właściciel strony nie wie, że jest zaatakowany, w momencie jak na stronie pojawi się konkretny użytkownik, wtedy cyberprzestępca go atakuje i wyciąga od niego interesujące go dane. Inżynier systemowy Maciej Iwanicki tłumaczy, że to metoda stosowana głównie w szpiegostwie przemysłowym. - Firmy są atakowane i wyciągane są z nich ważne informacje i dane, ale jednocześnie dochodzi do sabotażu i niszczenia danych - tłumaczy.
Paweł Wojciechowski zauważa, że kadra kierownicza nie jest już najczęstszym celem ataków. Trzykrotnie wzrosła liczba ataków na dział rozwoju i dwukrotnie na sprzedaż.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Atak zmontowany na oficjalnej stronie nie jest raczej przypadkowy, ale do tej pory nie ma dementi strony koreańskiej w tej sprawie...spodziewać się więc można, że jest zamierzony i celowany w ludzi związanych z informacją jako taką czyli np. dziennikarze, politycy, ekonomiści, analitycy wszelkiej maści. Każdej z potencjalnych ofiar po wejściu na stronę ukazuje się okienko (kod Java script) z informacją o konieczności aktualizacji Flash Playera i zainstalowania pliku o nazwie "FlashPlayer10.zip"...archiwum zawiera 2 identyczne pliki (jeden związany z ActiveX, drugi z pluginem do przeglądarki) zawierające znany szkodnik (tzw. file dropper), który na VT ma wskazania 42/55. Szkodnik po zainstalowaniu na maszynie ofiary na pewno jest w stanie przechwytywać dane logowania z używanej przeglądarki...inne skutki nie są jeszcze dobrze rozpoznane.
[Aby zobaczyć linki, zarejestruj się tutaj]
Ciekawe, że instalator oferuje wersję 10, skoro aktualna to już 16, ale prawdopodobnie liczą na brak uwagi lub nieświadomość potencjalnej ofiary...ponadto analiza danych pobieranych przez szkodnika wskazuje na interesującą lokalizację źródła o nazwie "siteFiles/exploit," a jeden z nagłówków plików wskazuje na stronę nazwaną "kcna.user.exploit.exploit.kcmsf", co jak przyznają sami badacze może być jednak związane z językowym lapsusem, ponieważ oryginalne koreańskie słowo może oznaczać zarówno "exploit" co i "develop"
Trudno się jednak nie oprzeć wrażeniu, że to wszystko nie przypadek...prawda?
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"