Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » ShadowHammer: jaunas detaļas

ShadowHammer: jaunas detaļas

Iepriekšējā ierakstā par operāciju ShadowHammer tika solīts sniegt sīkākas ziņas. Lai gan izmeklēšana vēl turpinās, Kaspersky Lab pētnieki tagad var paziņot jaunas detaļās par šo sarežģīto piegādes ķēdes uzbrukumu.

 

 

Operācijas mērogs

Kā iepriekš minēts, ASUS nebija vienīgais uzņēmums, ko izmantoja uzbrucēji. Pētot šo gadījumu, Kaspersky Lab eksperti atrada citus ļaunprogrammatūras paraugus, kas izmantoja līdzīgus algoritmus. Tāpat kā ASUS gadījumā, arī šie paraugi izmantoja trīs citu Āzijas piegādātāju digitāli parakstītas binārās datnes:

  • Electronics Extreme, zombiju izdzīvošanas spēles Infestation: Survivor Stories autori,
  • Innovative Extremist, uzņēmums, kas sniedz tīmekļa un IT infrastruktūras pakalpojumus, bet iepriekš darbojās arī spēļu izstrādes jomā,
  • Zepetto, Dienvidkorejas uzņēmums, kas izstrādājis videospēli Point Blank.

Kaspersky Lab pētnieki uzskata, ka uzbrucējiem vai nu bijis pieejams cietušo projektu pirmkods, vai arī viņi injicējuši ļaunprogrammatūru projekta kompilācijas laikā, kas nozīmē, ka viņi iekļuvuši šo uzņēmumu tīklos. Un tas atgādina uzbrukumu, par kuru mēs ziņojām pirms gada — CCleaner incidentu.

Kaspersky Lab speciālisti identificēja vēl trīs upurus Dienvidkorejā: citu videospēļu kompāniju, konglomerāta holdingkompāniju un kādu farmācijas uzņēmumu. Tagad vēl nevar sniegt sīkāku informāciju par šiem upuriem, jo pašlaik Kaspersky Lab informē viņus par uzbrukumu.

 

Galīgie mērķi

Electronics Extreme, Innovative Extremist un Zepetto gadījumā inficētās programmas ievietoja upuru sistēmās samērā vienkāršu ļaunprogrammatūru. Tā vāca informāciju par sistēmu, tostarp lietotājvārdu, datora specifikācijas un operētājsistēmas versiju. To varēja arī izmantot, lai lejupielādētu ļaunprogrammatūru no vadības serveriem, tāpēc — atšķirībā no ASUS gadījuma — potenciālo upuru saraksts bija plašāks par MAC adrešu sarakstu.

Turklāt šis vairāk nekā 600 MAC adrešu saraksts iekļāva ne tikai 600 (plus) mērķus, jo vismaz viena no adresēm pieder virtuālam Ethernet adapteram. Visiem šīs ierīces lietotājiem ir viena un tā pati MAC adrese.

 

 

Sīkāku tehnisko informāciju varat iegūt šajā ierakstā Securelist.

 

Kā nekļūt par piegādes ķēdes uzbrukuma posmu

Visiem iepriekš minētajiem gadījumiem kopīgs ir tas, ka uzbrucēji ir ieguvuši derīgus sertifikātus un apdraudējuši savu upuru izstrādes vidi. Tāpēc Kaspersky Lab speciālisti iesaka programmatūras piegādātājiem ieviest programmatūras ražošanas procesā papildu procedūru, kas pārbauda, vai programmās nav ievietota ļaunprogrammatūra pēc tam, kad kods ir digitāli parakstīts.

Lai novērstu šādus uzbrukumus, ir nepieciešami pieredzējuši draudu analītiķi — un Kaspersky Lab tādi ir. Ar Targeted Attack Discovery pakalpojumu Kaspersky Lab eksperti palīdzēs identificēt pašlaik notiekošu noziedzīgu darbību datortīklā, palīdzēs saprast tās iemeslus un izcelsmi. Vēl Kaspersky Lab var piedāvāt Kaspersky Managed Protection — uzraudzību visu diennakti un nepārtrauktu datordraudu analīzi. Lai uzzinātu vairāk par to, kā drošības analītiķi detektē sarežģītos datordraudus, lejupielādējiet brošūru Kaspersky Threat Hunting Services (PDF).

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

99 − 96 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu