Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Środa, 23 czerwca 2021
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (47862)
AGD (207)
Biznes (5025)
Budownictwo (2140)
Dom (1539)
Dziecko (1254)
Edukacja (1828)
Elektronika (982)
Film (121)
Finanse (1819)
Internet (3048)
Komputery (2525)
Książki (216)
Kulinaria (990)
Kultura i sztuka (1225)
Media (616)
Moda i Styl (1004)
Motoryzacja (1170)
Muzyka (269)
Nieruchomości (1011)
Ogród (147)
Oprogramowanie (2507)
Polityka (370)
Praca i kariera (990)
Prawo (938)
Reklama i PR (979)
RTV (196)
Sport (841)
Telekomunikacja (528)
Turystyka (1200)
Transport (515)
Uroda (513)
Wnętrze (818)
Zdrowie (1702)
Zwierzęta (83)
Życie (1421)
Inne (2676)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1624)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (101)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

Decydent


Forbes.pl


Vitalogy


TVN CNBC


IAR


 
KOMUNIKATY TEKSTOWE

Operacja TunnelSnake: nowy rootkit pozwala kontrolować firmy w Azji i Afryce
Dodano: 06.05.2021, godzina: 17:31
Operacja TunnelSnake: nowy rootkit pozwala kontrolować firmy w Azji i Afryce
Badacze z firmy Kaspersky wykryli TunnelSnake – aktywną kampanię APT prowadzoną od 2019 r., której celem były regionalne placówki dyplomatyczne w Azji oraz Afryce.
Atakujący zastosowali nieznanego wcześniej rootkita o nazwie Moriya. Szkodnik ten, posiadający niemal całkowitą kontrolę nad systemem operacyjnym, umożliwił atakującym przechwytywanie ruchu sieciowego oraz ukrywanie szkodliwych poleceń wydawanych zainfekowanym hostom. W efekcie przestępcy przez kilka miesięcy potajemnie kontrolowali sieci atakowanych organizacji.

Rootkity to szkodliwe programy lub zestawy narzędzi zapewniające atakującym niemal nieograniczony i dyskretny dostęp do zainfekowanego urządzenia. Rootkity znane są z ukradkowości i unikania wykrycia dzięki swym umiejętnościom „stapiania się” z systemem operacyjnym. Dzięki wysiłkom podejmowanym od wielu lat przez firmę Microsoft w celu zabezpieczenia systemów, zainstalowanie i wykonanie rootkita, zwłaszcza w przestrzeni jądra systemu, stanowi spore wyzwanie, dlatego większość rootkitów dla systemów Windows jest obecnie wykorzystywanych jedynie w najbardziej zaawansowanych atakach APT, takich jak TunnelSnake.

Dochodzenie w sprawie omawianej kampanii rozpoczęło się po otrzymaniu przez firmę Kaspersky alertów w związku z wykryciem unikatowego rootkita w atakowanych sieciach. Rootkit ten – któremu nadano nazwę Moriya – okazał się wyjątkowo nieuchwytny dzięki dwóm cechom. Po pierwsze, przechwytuje on i przegląda pakiety sieciowe przesyłane z przestrzeni adresowej jądra systemu Windows, czyli regionu pamięci, w którym uruchamiany jest zwykle jedynie uprzywilejowany i zaufany kod.

Z tego powodu ataki mogły pozostawać niewykryte przez mniej zaawansowane rozwiązania bezpieczeństwa. Po drugie, w przeciwieństwie do większości powszechnych backdoorów dających zdalny dostęp do zainfekowanych urządzeń, rootkit Moriya nie łączył się z żadnym serwerem w celu pobierania poleceń, ale otrzymywał je w specjalnie oznaczonych pakietach, wmieszanych w ruch sieciowy. Dzięki temu cyberprzestępcy nie musieli utrzymywać infrastruktury sterowania i kontroli, utrudniając tym samym analizę i śledzenie aktywności.

Rootkit Moriya instalowany był na urządzeniu w wyniku złamania zabezpieczeń podatnych na ataki serwerów WWW w atakowanych organizacjach. Ponadto wraz z rootkitem stosowano zestaw różnych innych narzędzi – dostosowanych do konkretnych potrzeb bądź wykorzystywanych wcześniej przez rozmaite chińskojęzyczne cybergangi – które pozwalały atakującym skanować urządzenia w sieci lokalnej, znajdować nowe cele, infekować je oraz wyprowadzać z nich pliki.

Chociaż nie byliśmy w stanie przypisać omawianej kampanii APT do konkretnego cyberugrupowania, jej cele oraz wykorzystywane narzędzia wskazują na związki ze znanymi chińskojęzycznymi gangami, dlatego sprawcy prawdopodobnie również pochodzą z tego kraju. Ponadto znaleźliśmy starszą wersję rootkita Moriya, wykorzystaną w osobnym ataku z 2018 r., co sugeruje, że ugrupowanie to jest aktywne od przynajmniej 2018 r. Na podstawie profilu celów oraz wykorzystywanego zestawu narzędzi można sądzić, że celem tej kampanii jest szpiegostwo, aczkolwiek nie mając wglądu w wyprowadzone dane, nie możemy stwierdzić tego z całkowitą pewnością — powiedział Giampaolo Dedola, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Podczas gdy my stajemy się coraz lepiej przygotowani na odpieranie ataków ukierunkowanych, cyberugrupowania zmieniają swoją strategię. Obserwujemy coraz więcej kampanii takich jak TunnelSnake, w których sprawcy podejmują dodatkowe wysiłki, aby możliwie jak najdłużej pozostać poza zasięgiem radaru, oraz inwestują w swoje zestawy narzędzi, w efekcie czego stają się one lepiej dostosowane do konkretnych potrzeb, bardziej złożone i trudniejsze do wykrycia. Trzeba jednak podkreślić, że zidentyfikowanie i powstrzymanie takich narzędzi jest możliwe, o czym świadczy opisywany przykład. Trwa nieustanny wyścig pomiędzy producentami rozwiązań bezpieczeństwa a cyberprzestępcami i aby go wygrać, społeczność związana z cyberbezpieczeństwem musi nadal ze sobą współpracować – dodał Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky.

Pełny raport dotyczący kampanii TunnelSnake jest dostępny na stronie https://r.kaspersky.pl/cCU6R.

Szczegółowe informacje dotyczące wskaźników infekcji związanych z tą operacją, w tym skrótów plików, można znaleźć w serwisie Kaspersky Threat Intelligence Portal.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.


KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 14 + 7:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Kaspersky odkrywa detale ataków ransomware na firmy w Korei Południowej Kaspersky odkrywa detale ataków ransomware na firmy w Korei Południowej
Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim WschodzieKaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim Wschodzie
Kaspersky przedstawia przemysłową grę symulacyjną w rzeczywistości wirtualnejKaspersky przedstawia przemysłową grę symulacyjną w rzeczywistości wirtualnej
Kaspersky wykrywa szkodliwe aplikacje podszywające się pod popularną gręKaspersky wykrywa szkodliwe aplikacje podszywające się pod popularną grę
Luki dnia zerowego w systemie Windows oraz przeglądarce ChromeLuki dnia zerowego w systemie Windows oraz przeglądarce Chrome
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Kaspersky odkrywa detale ataków ransomware na firmy w Korei Południowej
 
Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim Wschodzie
 
Kaspersky przedstawia przemysłową grę symulacyjną w rzeczywistości wirtualnej
 
Kaspersky wykrywa szkodliwe aplikacje podszywające się pod popularną grę
 
Luki dnia zerowego w systemie Windows oraz przeglądarce Chrome