logo KASPERSKY LAB CZECH REPUBLIC
Pierre Delcher

Pierre Delcher

Bezpečnostní výzkumník společnosti Kaspersky

LinkedIn

Nebezpečnost modulu Owowa spočívá zejména v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. Je to mnohem skrytější způsob získání vzdáleného přístupu než rozesílání phishingových e-mailů.

K odhalení takových hrozeb lze sice využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže bezpečnostní nástroje mohou Owowa snadno přehlédnout. Owowa je modulem IIS, což také znamená, že zůstává přítomný v systému, i když se Microsoft Exchange Server aktualizuje.

Naštěstí se zdá, že si útočníci nepočínají příliš rafinovaně. Firmy by měly servery Exchange pečlivě sledovat, protože jsou pro jejich fungování mimořádně důležité a obsahují všechny jejich e-maily. Všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně se kontrolovat.

Žádná z těchto podobností sama o sobě nestačí k tomu, aby bylo možné s dostatečnou jistotou spojovat Tomiris se Sunshuttle. Otevřeně připouštíme, že řada společných rysů může být náhodná, ale přesto se domníváme, že dohromady přinejmenším naznačují možnost stejného autora nebo stejných vývojových postupů.

Pokud je naše domněnka o propojení Tomiris a Sunshuttle správná, vrhlo by to nové světlo na způsob, jakým aktéři hrozeb obnovují svoje kapacity poté, co byli odhaleni.

Rádi bychom proto vyzvali komunitu bezpečnostních služeb, aby tento výzkum reprodukovala a přišla s dalšími názory na podobnosti, které jsme mezi Sunshuttle a Tomirisem objevili.