Cyber espionage is the greatest threat to global corporates
Innholdsfortegnelse:
Sikkerhetsforskere fra Trend Micro har avdekket en aktiv nettverksoperasjon som hittil har kompromittert datamaskiner som tilhører statlige departementer, teknologivirksomheter, medier, akademiske institutter forskningsinstitusjoner og ikke-statlige organisasjoner fra mer enn 100 land.
Operasjonen, som Trend Micro har kalt Safe, retter seg mot potensielle ofre ved hjelp av spyd-phishing-e-poster med ondsinnede vedlegg. Selskapets forskere har undersøkt operasjonen og publisert et forskningspapir med sine funn fredag.
To taktikker oppdaget
Undersøkelsen avdekket to sett med kommandoer og kontroll (C & C) servere som ble brukt for det som synes å være to separate Safe angrepskampanjer som har forskjellige mål, men bruk samme skadelig programvare.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]En kampanje bruker spion phishing-e-post med innhold relatert til Tibet og Mongolia. Disse e-postadressene har.doc vedlegg som utnytter et Microsoft Word-sårbarhet patched av Microsoft i april 2012.
Tilgangslogger samlet fra kampanjens C & C-servere avslørte totalt 243 unike offer IP-adresser (Internet Protocol) fra 11 forskjellige land. Forskerne fant imidlertid bare tre ofre som fortsatt var aktive på undersøkelsestidspunktet, med IP-adresser fra Mongolia og Sør-Sudan.
C & C-serverne som svarer til den andre angrepskampanjen, loggte 11 563 unike offer IP-adresser fra 116 forskjellige land, men det faktiske antallet offer er sannsynligvis mye lavere, sa forskerne. I gjennomsnitt har 71 ofre aktivt kommunisert med dette settet av C & C-servere til enhver tid under undersøkelsen, sa de.
Angrepsemailene som ble brukt i den andre angrepskampanjen, er ikke identifisert, men kampanjen ser ut til å være større i omfang og ofrene mer spredt geografisk. De fem største landene av offerets IP-adresse teller er India, USA, Kina, Pakistan, Filippinene og Russland.
Malware på oppdrag
Malware installert på infiserte datamaskiner er primært designet for å stjele informasjon, men dets funksjonalitet kan forbedres med tilleggsmoduler. Forskerne fant spesialtilpassede plug-in-komponenter på kommando- og kontrollservere, samt hylleprogrammer som kan brukes til å trekke ut lagrede passord fra Internet Explorer og Mozilla Firefox, samt protokollene for eksternt skrivebordsprotokoll lagret i Windows.
"Selv om det er vanskelig å fastslå hensikten og identiteten til angriperne, er det vanskelig å fastslå at vi har bestemt at Safe-kampanjen er målrettet og bruker skadelig programvare utviklet av en profesjonell programvareingeniør som kan være koblet til den cybercriminal underjordiske i Kina. Trend Micro forskerne sa i deres papir. "Denne personen studerte på et fremtredende teknisk universitet i samme land og ser ut til å ha tilgang til et Internett-tjenesteselskaps kildekodelager."
Operatørene av C & C-serverne har tilgang til dem fra IP-adresser i flere land, men oftest fra Kina og Hong Kong, sa Trend Micro-forskerne. "Vi så også bruken av VPN og proxy-verktøy, inkludert Tor, som bidro til det geografiske mangfoldet av operatørens IP-adresser."
Artikkel oppdatert klokken 09:36 PT for å gjenspeile at Trend Micro har endret navnet på den cyberespionage operasjonen som var gjenstand for historien, og lenken til sin forskningsrapport.
Den nye varianten, kalt Conficker B ++, ble oppdaget for tre dager siden av SRI International forskere, som publiserte detaljer om den nye koden på Torsdag. Til det uopplærte øynet ser den nye varianten nesten ut som den tidligere versjonen av ormen Conficker B. Men B ++-varianten bruker nye teknikker for å laste ned programvare, noe som gir sine skapere mer fleksibilitet i hva de kan gjøre med infiserte maskiner.
Conficker-infiserte maskiner kan brukes til ekkel ting - sende spam, logging tastetrykk eller lansere avslag på tjenesten (DoS), men en ad hoc-gruppe som kaller seg Conficker Cabal, har i stor grad forhindret at dette skjer. De har holdt Conficker under kontroll ved å knekke algoritmen som programvaren bruker til å finne en av tusenvis av rendezvous poeng på Internett der den kan lete etter ny kode. Disse rendezvous-poengene bruker unike domenenavn, for eksempel pwulrrog.org, at Conficker Cabal
Forskere har funnet en måte å gjøre farger mer levende på en e-leser skjerm, noe som kan lede Forskere ved University of Michigan på Ann Arbor var i stand til å fange smale lysstråler på forskjellige lengder, noe som til slutt reflekterer som farge på en enhet. Fargene forblev på plass fra forskjellige synsvinkler, og teknologien kunne brukes til e-lesere i fremtiden, sa forskerne i en uttalelse.
Det kan føre til en ny generasjon av farge-e-lesere der sollys kunne bli brukt som en omgivende lyskilde for å vise fargebilder, akkurat som eksisterende e-blekkdisplayer, sa forskerne. Teknologien kan også eliminere behovet for bakgrunnsbelysning som vanligvis finnes i LCD-skjermer. Det kan forbedre batterilevetiden til en enhet, da et LCD-skjerm betraktes som den mest kraftige sulten i en e-leser eller nettbrett.
Forskere avdekker stor nettverksoperasjon som målretter mot australske bankkunder
Sikkerhetsforskere fra russisk nettkriminalitetsundersøkelser, Group IB, har avdekket en nettverksoperasjon som bruker spesialisert økonomisk skadelig programvare for å målrette kundene til flere store australske banker.