Læs også:
Firma afslører stort it-spionagenetværk
Så voldsomt blev vi ramt af sikkerhedshullet i Java
Computerworld News Service: De hundredevis af statslige, militære og forskningsmæssige institutioner, der er mål for en it-spionagekampagne i stor skala ved navn Red October, angribes ikke alene via skadelige Excel- og Word-dokumenter, som tidligere antaget.
Det sker også via webbaserede Java-angreb.
Det oplyser det israelske it-sikkerhedsfirma Seculert.
Analytikere fra antivirusleverandøren Kaspersky Lab offentliggjorde tidligere på ugen resultaterne af en undersøgelse af Red October.
Målene angribes ifølge denne rapport via e-mail, der har vedhæftet skadelige dokumenter, der er designet til at udnytte kendte sårbarheder i Microsoft Excel og Word.
Costin Raiu, der er leder af Kasperskys team for global undersøgelse og analyse, udtalte dog, at det er meget muligt, at der også anvendes andre metoder til distribution af spionage-malwaren, men at de i så fald ikke er blevet identificeret endnu.
Java udnyttes også
I forbindelse med analyse af kampagnens kommando og kontrol-servere har sikkerhedsanalytikere fra Seculert dog opdaget en særlig mappe med en skadelig Java-applet - det vil sige en webbaseret Java-applikation - designet til at udnytte en sårbarhed i Java, der blev rettet i oktober 2011.
Denne exploit blev kompileret i februar 2012, hvilket underbygger den antagelse, at angriberne foretrækker at gå efter ældre, kendte sikkerhedshuller fremfor hidtil ukendte såkaldte 0-dagssårbarheder, argumenterer analytikerne fra Seculert i et blogindlæg.
Denne opdagelse var i det hele taget mulig, fordi angriberne på et tidspunkt er gået fra at bruge PHP som scripting-sprog på deres kommando og kontrol-servere til at bruge CGI.
Visse ældre PHP-baserede angrebssider lå dog stadig på serverne og ved at åbne dem i en browser kunne analytikerne fra Seculert kigge i kildekoden.
Sådan angriber de kriminelle
Det ser ud til, at den webbaserede angrebsmetode fortsat blev brugt efter skiftet til CGI, oplyser Aviv Raff, der er Seculerts teknologidirektør.
Det står dog ikke klart, om Red October i de sidste få måneder efter skiftet har udnyttet nyere sårbarheder i Java eller andre browser-plugins, påpeger han.
Det er på nuværende tidspunkt ikke muligt at foretage yderligere undersøgelser, da de kendte kommando og kontrol-servere er blevet lukket ned, sandsynligvis af angriberne i et forsøg på at slette deres spor, fortæller Raff.
It-spionage-kampagnen er hovedsageligt blevet gennemført ved, at personer i de angrebne organisationer er blevet narret med målrettede e-mails til at besøge angrebssider, oplyser analytikerne fra Seculert.
Ordlyden af denne såkaldte spear phishing-mail kendes ikke, da ingen af disse e-mails er blevet fundet eller offentliggjort, men de har sandsynligvis et nyhedsorienteret tema, oplyser Raff.
Angrebssiderne, Java-exploiten og webadresserne til selve malwaren indeholder strenge med ordet nyheder, fortæller Raff.
Når angrebssiden har indlæst Java-exploiten, vil offerets browser endda blive omdirigeret til legitime nyhedswebsteder heriblandt et tyrkisk websted.
Hænger det sammen med Flame?
Det er interessant at bemærke, at de kommando og kontrol-servere, der blev brugt i it-spionage-kampagnen Flame, indeholdt strengen "NewsForYou", hvilket antyder, at der også her blev brugt et nyhedsorienteret tema i forbindelse med angrebene.
Det står indtil videre ikke klart, om dette blot er et tilfælde, eller om de to kampagner er relaterede, påpeger Raff.
Raff vurderer, at Red October er udført af en gruppe hackere, der indsamler værdifulde fortrolige oplysninger, som de senere kan sælge til interesserede parter, fremfor at være resultatet af en nationalstats it-spionage-aktiviteter.
Kaspersky Lab, som først opdagede dette nye omfattende it-spionagenetværk, oplyser ligeledes, at der indtil videre ikke er fundet nogen beviser, der peger på, at det skulle være statssponsoreret.
Oversat af Thomas Bøndergaard
Læs også:
