logo COMGUARD a.s.

McAfee odhaluje největší sérii cyber útoků posledních pěti let

Útok pojmenovaný společností McAfee jako Operation Shady RAT odcizil data ze 72 společností ve 14 státech světa včetně vládních organizací a agentur nebo národních olympijských výborů.

Dmitri Alperovitch, Vice President Threat Research společnosti McAfee, komentuje report týkající se těchto útoků následovně.

"To, čeho jsem byli svědky v posledních pěti až šesti letech, nebylo nic menšího než historicky bezprecedentní přesun bohatství - přísně střeženého státního tajemství (včetně dat z tajných vládních sítí), zdrojového kódu, databází odposlechů, e-mailových archivů, detailů průzkumů pro nové aukce ropných a naftových polí, elektronických archivů, atd. První útoky začaly již v roce 2006. Nejkratší útoky trvali méně než jeden měsíc a nejdelší známý útok na Olympijský výbor v Asii běžel 28 měsíců a končil v lednu 2010. Po usilovné analýze logů jsme byli překvapeni obrovskou rozmanitostí obětí organizací a drzostí pachatelů. Napadené organizace jsme rozdělili do následujících kategorií a světových regionů."

Byl použit následující standardní postup pro tyto typy cílených útoků. Cílený phishing e-mail obsahující exploit je odeslán na správně zvolenou úroveň přístupu v konkrétní společnosti a exploit při otevření v neaktualizovaných systémech spustí stahování malwaru.

Malware naváže spojení s řídícím serverem (Command & Control Server) a může být skrze něj ovládán pomocí komentářů ukrytých v kódu webové stránky (odborníci McAfee získali do tohoto řídícího serveru přístup, mají proto k dispozici obrovské množství údajů o všech útocích, které z něj probíhaly). Následně útočníci přistupují na infikované počítače a pokouší se získat přístupové údaje s co nejvyšším stupněm oprávnění. Zároveň infikují další stroje, aby v případě ztráty jednoho z nich nepřišli o přístup do sítě organizace. Hlavním cíle operace je ale identifikovat klíčová data a vynést je ze společnosti.

Zájem o informace uložené na serverech národních Olympijských výborů, jakož i o informace z Mezinárodního olympijského výboru (IOC) a Světové antidopingové agentury v době přípravy Olympiády 2008 a bezprostřední návaznosti na samotnou Olympiádu v roce 2008, byl obzvláště zajímavý a potenciálně ukázal prstem na stát, stojící za útoky.

Mezi oběťmi útoku je i mnoho euroamerických politických a neziskových organizací nebo expertní skupiny národní bezpečnosti USA, což zužuje množinu možných útočníků. Útok na Organizaci spojených národů nebo na sekretariát ASEAN (Sdružení Národů Jihovýchodní Asie) naznačuje i jiný motivační zájem skupiny než ekonomický přínos.

Z nalezených stop společností McAfee, která nejmenuje samotný zdroj útoku, vyplývá logický závěr, který zveřejnily zpravodajské servery na celém světě, že útočníkem může být i samotný stát Čína.

Operation Shady RAT je další z řady populárních APT útoků, které mají téměř identický průběh, ale přesto jsou stále úspěšné. Společnost McAfee nabízí ve svém portfoliu ochranu proti všem fázím útoku. Nejspíš právě proto je natolik úspěšná i při jejich odhalování (v minulosti např. Operation Aurora, Night Dragon) a poznatky, které během šetření bezpečnostní odborníci získají, mohou zpět využít při vývoji všech částí portfolia bezpečnostních nástrojů.

Pro ochranu proti první fázi útoku je nutná pokročilá kontrola emailového a webového provozu na perimetru, aby se útočníkům nepodařilo infiltrovat vnitřní stroj. Pokud by již k infiltraci koncového bodu mělo dojít, je možné využít nástrojů implementujících hostovské IPS, případně úplně eliminovat neznámý software pomocí aplikačního whitelistingu (o antivirové ochraně, která je úplnou samozřejmostí, nemluvě).

Identifikaci a případně blokaci podezřelé aktivity na vnitřní síti a perimetru zajistí kvalitní síťová IPS sonda. Cílem útočníků není infiltrace systémů, ale především zcizení citlivých dat, proto může být další vrstvou ochrany před útokem silné šifrování souborů nebo DLP systém.

PDF verzi Operation Shady RAT reportu včetně kompletního seznamu všech 72 cílů, včetně země původu, data zahájení prvního útoku a doby trvání narušení najdete ZDE.

Komentář připravil Robert Šefr, IT Security Consultant, COMGUARD a.s.

Další články k tématům - APT - ASEAN - DLP - Malware - phishing - šifrování - Threat - Dmitri Alperovitch - Robert Šefr

Článek COMGUARD a.s. ze dne pátek 5. srpna 2011

Další články od COMGUARD a.s.

Lastline ochrana proti malwaru v portfoliu COMGUARD

Nejlepší a nejefektivnější řešení proti kybernetickým útokům včetně APT

Zpráva o hrozbách McAfee Labs Predictions 2017

Autorizované školicí středisko Sophos pro Čechy a Slovensko

COMGUARD je výhradním distributorem Rapid7 pro český a slovenský trh

Nová řada firewallů Sophos XG v distribuci COMGUARDu

Nová firewallová platforma sjednocuje řešení Sophos SG a Cyberoam CR

ManageEngine - řešení správy a řízení IT v distribuci COMGUARD

Konference Security & Networking Praha 2015

Ransomware - IT výpalné je podle McAfee Labs na vzestupu

Barracuda Security Suite - integrovaná platforma ochrany sítě

Poptávka po bezpečnostních i síťových řešeních roste

McAfee SIEM propojuje informace o vnějších hrozbách v reálném čase

Chytrá řešení pro bezpečnost ICT

Špičkové umístění pro tým COMGUARD a Unicorn Systems na Cyber Europe 2014

Archivace emailové komunikace s integrací pro Outlook

Predikce hrozeb v oblasti bezpečnosti pro rok 2015

Bezpečnostní řešení Secunia v distribuci COMGUARD

McAfee Endpoint Security v10 - integrované zabezpečení pro pracovní stanice a servery

COMGUARD je výhradním distributorem síťových technologií Brocade

UTM firewall Cyberoam chrání firemní síť CIDEM Hranice

Konference Security & Networking Praha 2014 představila reálné hrozby kybernetických útoků

Konference Security & Networking Praha 2014

Bezpečnostní řešení Sophos v distribuci COMGUARD

Revoluce v boji proti malwaru s McAfee Advanced Threat Defence

Rychlý nárůst malwaru v mobilnáích aplikacích

Virtuální router Brocade Vyatta vRouter

iStorage šifrované USB flash disky v distribuci COMGUARD

Autentizace vlastní cestou pomocí SecurEnvoy BYOT

Nové modely síťových McAfee IPS v distribuci COMGUARD

COMGUARD zahajuje distribuci síťových řešení Brocade Communications

Nové next-generation firewally McAfee

Investor OnyxCapital vstupuje do COMGUARD

COMGUARD detekuje, chrání a navrhne i optimální řešení

Implementace prvků síťové bezpečnosti během několika minut

COMGUARD ICT Security Training Center: školící program pro IT profesionály

Řešení McAfee pro bezpečný přístup k aplikacím v cloudu

Bezpečnostní řešení ve spolupráci Intel a McAfee

Nová řada Next Generation UTM Firewallů Cyberoam NG Series s gigabitovou propustností

Cyberoam NG Series: nejrychlejších UTM zařízení pro SOHO a SMB trh

Bezpečnostní řešení Barracuda v portfoliu COMGUARD

Novinky McAfee 2013 pro domácnosti a malé kanceláře

Bezpečnostní řešení WatchGuard v distribuci COMGUARD

Antivirové produkty McAfee dostaly jedničku od NSS Labs

UTM router: Cyberoam NetGenie vstupuje na český a slovenský trh

Mobilní bezpečnostní řešení Imation v disribuci COMGUARD

Děti tají své on-line aktivity před rodiči

Next-generation firewall Dell SonicWALL znovu certifikován ICSA Labs

Správný výběr ochrany webových aplikací

McAfee All Access 2012: bezpečnost pro všechna běžná zařízení v jednom balíku