Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Vörös Október

2013.01.21. 10:33 | buherator | 2 komment

Az Index egész jó összefoglalót közölt a legfrissebben felfedezett nagyszabású kémakcióról, a Vörös októberről. Idő közben a Kaspersky további részleteket is közölt az esettel kapcsolatban - akit mélyen érdekel a téma, ezekből tájékozódhat. Technikai szempontból a kampány legérdekesebb része véleményem szerint a multiplatform működés: A kémkedéshez használt kártevő modulok nem csak hagyományos munkaállomások adataira utaztak, de igyekeztek adatot nyerni különböző okostelefon platformokról (iPhone, Windows, Nokia) illetve Cisco hálózati eszközökről is. Ez egy viszonylag kézenfekvő fejlesztési iránynak tűnik, nem lepődnék meg rajta, ha hasonló technikák terjednének el (elsősorban a mobil eszközökkel kapcsolatban) a "kommersz" kártevők között is. Illúziódöntögető tény továbbá, hogy ismereteink szerint a célintézményekhez - diplomáciai intézmények, energetikai, hadászati vállalatok, stb. - történő bejutáshoz nem volt szükség 0-day exploitra, a frissítetlen rendszereket már ismert, javított sérülékenységeken keresztül is be lehetett venni.

A Kaspersky által felderített kártevők közös jellemzője, hogy egy sor orosz szleng kifejezést tartalmaznak. Ezek a kifejezések általában nem ismertek egy nem anyanyelvű személy számára, ezen kívül több C&C kiszolgáló is Oroszország területén található, a kártevők pedig néhány esetben bekapcsolják a crill karakterkészletet a fertőzött gépeken. Mindez tehát az oroszok irányába mutat, de vannak kételkedők: a felhasznált exploitok és a célpontok többek szerint ismét kínai szereplőket sejtetnek. 

Címkék: malware kaspersky red october

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii10 2013.01.23. 13:46:30

Az indexes összefoglalóban elég sok apró pontatlanság van. Itt egy mintapélda:

Mintapélda: A Kaspersy specialistái 250 ip-címen összesen 55 ezer fertőzött számítógépet találtak tavaly november óta, a két szám aránya azt mutatja, hogy jellemzően nagy belső hálózattal rendelkező szervezeteket támadott meg a vírus.

... we registered over 55,000 connections ...
The number of different IPs connecting to the sinkhole was 250...

Tehát a valóság, hogy a korlátozott sinkhole-ozás során 250 gépről jött be a három hónap alatt 55 000 kapcsolat, de nem 55 000 unique gépről van szó. A következő félmondat meg ebből származó téves következtetés, hogy nagy hálózatokat támadtak volna. Gondoljátok meg, egy követség tipikusan azért nem egy óriási hálózat...

Ez csak egy kiragadott mintapélda, sok helyen lehetne még belekötni a nyelvezetbe, az Origo frissebb cikke a riporttal sokkal érdekesebb.

boldii10 2013.01.23. 13:48:04

@boldii10: na én is elrontottam egy szót. tehát 250 ip-ről, nem 250 gépről :)