Video: Red Army Choir - The Hunt For Red October (Noiembrie 2024)
Cu exploit-ul recent de zero zile pentru Java, bătăm tamburul „Actualizare Java acum” și jucăm fișa „Dezactivați Java cu totul” în parada SecurityWatch . Dacă acest lucru nu a fost suficient, știrile recente că campania de atacuri cibernetice din Red October a făcut uz de o exploatare Java este doar un motiv în plus pentru a păși la pas.
Vectorul de atac Java a fost descoperit de Seculert și anunțat marți pe blogul companiei. În timp ce mulți atacatori folosesc exploatările Java, acesta diferă de ceea ce se știa anterior despre Red October. În raportul inițial al campaniei de la Kaspersky Labs, Red October s-a caracterizat prin faptul că se bazează pe atacuri de e-mail cu spearphishing extrem de țintite cu fișiere infectate.
"În vector, atacatorii au trimis un e-mail cu un link încorporat către o pagină web PHP special concepută", scrie Seculert. "Această pagină web a exploatat o vulnerabilitate în Java (CVE-2011-3544), iar în fundal a descărcat și a executat automat malware-ul."
Nu este un nou exploat
Important de reținut este faptul că atacul Java folosit de Red October nu este exploatarea de zero zile pe care am acoperit-o. De fapt, Seculert scrie că această porțiune a atacului Red October a fost scrisă în jurul lunii februarie 2012, în timp ce exploit-ul pe care îl folosește a fost plasat în octombrie 2011. Acesta este motivul pentru care ar trebui să vă păstrați software-ul la zi.
După ce a fost publicată știrea despre aspectul Java din Red October, Kaspersky a postat o continuare cu mai multe informații. „Se pare că acest vector nu a fost foarte folosit de grup”, scrie Kaspersky. "Când am descărcat php-ul responsabil pentru servirea arhivei de cod malcode '.jar', a fost comentată linia de cod care livrează exploitarea java."
Încercând să caracterizeze acest aspect al atacului, Kaspersky nu crede că acest lucru indică o abordare diferită de Red October. În schimb, cred că este în concordanță cu atacurile metodice, bine cercetate, care constituie marcă comercială a lui Red October.
Ce înseamnă
"Am putea specula că grupul și-a livrat cu succes sarcina utilă malware la ținta (obiectivele) corespunzătoare timp de câteva zile, apoi nu mai avea nevoie de efort", a scris ieri Kaspersky. „Ceea ce ne poate spune, de asemenea, că acest grup, care și-a adaptat meticulos și și-a dezvoltat setul de instrumente de infiltrare și colectare în mediul victimelor lor, a avut nevoie să se deplaseze către Java din tehnicile lor obișnuite de pescuit la începutul lunii februarie 2012."
Kaspersky a continuat să scrie că mai multe aspecte tehnice ale acestui atac diferă de celelalte atacuri din luna octombrie, ceea ce face compania de securitate să creadă că această exploatare a fost dezvoltată pentru o țintă specifică.
Este o ușurare să auziți că aspectul Java al Roșu-Octombrie nu a fost folosit pentru a viza un ritm mai larg de victime. În timp ce această campanie de atac cibernetic este terifiantă în eficacitatea sa, creatorii săi s-au concentrat pe ținte guvernamentale și diplomatice de înaltă importanță și nu pe utilizatorii de zi cu zi. Cu toate acestea, demonstrează și faptul că multe exploatări software sunt bine cunoscute de atacatori, care vor profita de utilizatorii leneși care evită actualizările.
Pentru mai multe de la Max, urmați-l pe Twitter @wmaxeddy.