Ads 468x60px

perjantai 18. tammikuuta 2013

Hunt for the Red October


Tietoturvayhtiö Kaspersky Lab raportoi alkuvuodesta selvittäneensä laajan APT-tyyppisen Red October -haittaohjelman avulla tehdyn vakoiluhankkeen. Haittaohjelman toiminnasta on myös tehty kattava tekninen raportti, joka on suositeltavaa luettavaa kaikille asiasta syvemmällä tasolla kiinnostuneille.


Itse haittaohjelman toiminnassa ja levitystavassa ei näyttäisi olevan merkittävästi uusia innovaatioita tämän hetkisen tiedon perusteella, muutoin kuin hyvin modulaarinen ja mukautuva rakenne - joka viittaa pidempään kehitystyöhön ja moniulotteisiin motiiveihin sen kehittäjillä. Raportin mukaan esimerkiksi levitys on tapahtunut suurelta osin mm. perinteisellä spear-phishing tekniikalla, missä käyttäjä houkutellaan avaamaan sähköpostin liitetiedostona oleva haitallinen MS Office -tiedosto. Vakoiluverkoston ohjauksessa taas käytetään Command and Control (C&C) -palvelimia, jotka hoitavat kohdekoneen kontrolloinnin ja tiedonkeräyksen. Positiivista on että tähän liittyen on julkaistu myös lista muutamasta varmistetusta C&C-palvelimesta maailmalla, viimeisimmän tiedon mukaan siinä on ollut mukana ainakin seuraavia palvelimia (Lähde: Kaspersky Lab):




Koska raportin mukaan myös suomalaisia osoitteita on tunnistettu haittaohjelman leviämisalueelta, niin monet organisaatioiden tietoturvavastaavat ja ylläpitäjät saattavatkin pohtia mahdollisia riskejä, ja vaihtoehtoja varotoimenpiteille omassa ympäristössään. Analyysiä vakoiluohjelman toiminnasta löytyy netistä jo useampia, ja lisää tietoa julkaistaan päivittäin, mutta ensimmäisenä vinkkinä tähän voisikin suositella yrityksen Internet-palomuurien lokihistorian tarkistusta. Etsinnän kohteeksi kannattaa ottaa merkit liikenteestä tai sen yrityksistä näiden listattujen C&C –palvelimien IP-osoitteisiin.  Se on varmasti helpoin ja nopein tapa etsiä ensimmäisiä johtolankoja tähän kyseiseen haittaohjelmaan liittyen omasta organisaatioympäristöstä. Vaatimuksena tietysti että liikennelokeja on tallessa mahdollisimman pitkälle, ja että tämän toisinaan hyvinkin massiivisen lokidatan läpikäynti sujuu edes kohtuullisessa ajassa.

Toinen hyvä esimerkki siitä miksi oman organisaation liikennelokeja ja yhteyksien kohteita, esimerkiksi palomuureilta, VPN-laitteilta ja reitittimiltä on hyvä aika ajoin käydä kriittisemmin läpi, on tämä osittain tragikoominenkin tapaus missä sovelluskehittäjä oli ulkoistanut oman työnsä kaikessa hiljaisuudessa Kiinaan - Ja siinä samalla avannut ulkopuolisille täysin avoimen takaoven yrityksen sisäverkkoon VPN-tunnelin kautta:

Log audit reveals developer outsourced his job to China
http://www.net-security.org/secworld.php?id=14247

Lokidatassa on siis paljon arvokasta tietoa mistä on hyötyä jälkeenpäinkin käytettynä, jos sitä vain osataan analysoida ja suodattaa oikein, kuten tämäkin tapaus osoittaa.

Tietoturvallista vuodenalkua kaikille!

Ei kommentteja:

Lähetä kommentti