Na tropie hakerskiej elity

[KopalniaWiedzy.pl 314]

Pracownicy Symanteka przygotowali analizę elitarnej grupy hakerów, która wyspecjalizowała się w atakowaniu mniejszych dostawców dla przemysłu obronnego. Wydaje się, że grupa ma nieograniczony dostęp do dziur zero-day - stwierdza Orla Cox z Symanteka. Luki zero-day to dziury w oprogramowaniu, które już zostały upublicznione, a dla których producent nie przygotował jeszcze łaty. Od drugiej połowy 2010 roku hakerzy wykorzystali co najmniej osiem tego typu dziur.

Nigdy nie widzieliśmy, by jakaś grupa używała tylu zero-day. Byliśmy zaskoczeni, że Stuxnet korzystał z czterech takich dziur, a ta grupa odkryła ich osiem. Nigdy wcześniej nie widzieliśmy też, by jakaś grupa była gotowa do przeprowadzenia ataku gdy tylko odkryje nową dziurą. Nikt nigdy nie działał tak szybko - mówi Cox.

Ataki przeprowadzana przez grupę nazwano „Elderwood Project“, od używanego przez nią kodu źródłowego.

Przeprowadzone przez analizy wskazują, że cyberprzestępcy sami znajdują wspomniane luki, nie kupują ich od innych grup.

Najbardziej znanym atakiem grupy był ten z wykorzystaniem trojana Aurora/Hydraq, którego ofiarami padło wiele zachodnich koncernów, w tym Google.

Jednak Elderwood specjalizują się w atakowaniu poddostawców dla przemysłu obronnego, którzy produkują podzespoły elektroniczne i mechaniczne na potrzeby większych firm. Jest je łatwiej atakować niż wielkie koncerny.

Z analizy Symanteka wynika, że Elderwood wyszukuje dziury zero-day przede wszystkim w Internet Explorerze i Flash Playerze. Celem ataków grupy jest platforma Windows.

O grupie wiadomo, że jest bardzo sprawna i dobrze zorganizowana. Działa niezwykle elastycznie, gdy tylko zorientują się, ze eksperci ds. bezpieczeństwa wpadli na trop ich dziury, zaczynają wykorzystywać kolejną. W tym roku w kwietniu użyli zero-day we Flashu, kilka tygodni później mieli już dziurę w IE, tydzień czy dwa później kolejną. Jedna po drugiej - przypomina Cox.

Analityczka uważa, że wysiłek, jaki grupa wkłada w wyszukiwanie dziur, tworzenie kodu i przeprowadzanie ataków wymaga od jej członków codziennej, wielogodzinnej pracy. To oznacza, że grupa jest przez kogoś finansowana. Ten ktoś wskazuje im też cele ataku. Analiza pokazała, że niektóre z organizacji są atakowane w różny sposób, a zatem ich zleceniodawca jest nimi szczególnie zainteresowany - stwierdza Cox.

Analizę Elderwood Project można pobrać ze strony Symanteka [PDF].