Artikel top billede

Java-hul og snedige mails udnyttes af spionage-netværk

Et sikkerhedshul i Java udnyttes i stort spionage-netværk. Desuden kan en helt særlig type e-mails lokke dig i fælden.

Læs også:

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java

Computerworld News Service: De hundredevis af statslige, militære og forskningsmæssige institutioner, der er mål for en it-spionagekampagne i stor skala ved navn Red October, angribes ikke alene via skadelige Excel- og Word-dokumenter, som tidligere antaget.

Det sker også via webbaserede Java-angreb.

Det oplyser det israelske it-sikkerhedsfirma Seculert.

Analytikere fra antivirusleverandøren Kaspersky Lab offentliggjorde tidligere på ugen resultaterne af en undersøgelse af Red October.

Målene angribes ifølge denne rapport via e-mail, der har vedhæftet skadelige dokumenter, der er designet til at udnytte kendte sårbarheder i Microsoft Excel og Word.

Costin Raiu, der er leder af Kasperskys team for global undersøgelse og analyse, udtalte dog, at det er meget muligt, at der også anvendes andre metoder til distribution af spionage-malwaren, men at de i så fald ikke er blevet identificeret endnu.

Java udnyttes også

I forbindelse med analyse af kampagnens kommando og kontrol-servere har sikkerhedsanalytikere fra Seculert dog opdaget en særlig mappe med en skadelig Java-applet - det vil sige en webbaseret Java-applikation - designet til at udnytte en sårbarhed i Java, der blev rettet i oktober 2011.

Denne exploit blev kompileret i februar 2012, hvilket underbygger den antagelse, at angriberne foretrækker at gå efter ældre, kendte sikkerhedshuller fremfor hidtil ukendte såkaldte 0-dagssårbarheder, argumenterer analytikerne fra Seculert i et blogindlæg.

Denne opdagelse var i det hele taget mulig, fordi angriberne på et tidspunkt er gået fra at bruge PHP som scripting-sprog på deres kommando og kontrol-servere til at bruge CGI.

Visse ældre PHP-baserede angrebssider lå dog stadig på serverne og ved at åbne dem i en browser kunne analytikerne fra Seculert kigge i kildekoden.

Sådan angriber de kriminelle

Det ser ud til, at den webbaserede angrebsmetode fortsat blev brugt efter skiftet til CGI, oplyser Aviv Raff, der er Seculerts teknologidirektør. 

Det står dog ikke klart, om Red October i de sidste få måneder efter skiftet har udnyttet nyere sårbarheder i Java eller andre browser-plugins, påpeger han.

Det er på nuværende tidspunkt ikke muligt at foretage yderligere undersøgelser, da de kendte kommando og kontrol-servere er blevet lukket ned, sandsynligvis af angriberne i et forsøg på at slette deres spor, fortæller Raff.

It-spionage-kampagnen er hovedsageligt blevet gennemført ved, at personer i de angrebne organisationer er blevet narret med målrettede e-mails til at besøge angrebssider, oplyser analytikerne fra Seculert.

Ordlyden af denne såkaldte spear phishing-mail kendes ikke, da ingen af disse e-mails er blevet fundet eller offentliggjort, men de har sandsynligvis et nyhedsorienteret tema, oplyser Raff.

Angrebssiderne, Java-exploiten og webadresserne til selve malwaren indeholder strenge med ordet nyheder, fortæller Raff.

Når angrebssiden har indlæst Java-exploiten, vil offerets browser endda blive omdirigeret til legitime nyhedswebsteder heriblandt et tyrkisk websted.

Hænger det sammen med Flame?

Det er interessant at bemærke, at de kommando og kontrol-servere, der blev brugt i it-spionage-kampagnen Flame, indeholdt strengen "NewsForYou", hvilket antyder, at der også her blev brugt et nyhedsorienteret tema i forbindelse med angrebene.

Det står indtil videre ikke klart, om dette blot er et tilfælde, eller om de to kampagner er relaterede, påpeger Raff.

Raff vurderer, at Red October er udført af en gruppe hackere, der indsamler værdifulde fortrolige oplysninger, som de senere kan sælge til interesserede parter, fremfor at være resultatet af en nationalstats it-spionage-aktiviteter.

Kaspersky Lab, som først opdagede dette nye omfattende it-spionagenetværk, oplyser ligeledes, at der indtil videre ikke er fundet nogen beviser, der peger på, at det skulle være statssponsoreret.                   

Oversat af Thomas Bøndergaard

Læs også: 

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere