Computerworld News Service: Efterforskningen af hackerangrebet på Google for to måneder siden er i løbet af den sidste måned kommet tættere på de endnu uidentificerede kriminelle, der står bag.
Sikkerhedseksperterne har indtil videre fundet yderligere 68 såkaldte command-and-control-servere, der bruges til at kontrollere hackede maskiner.
Efterforskerne havde allerede identificeret 34 hackede virksomheder efter at have undersøgt den ene command-and-control-server, der blev brugt i angrebet mod Google. Opdagelsen af yderligere 68 servere kan betyde, at mange flere virksomheder er blevet kompromitteret end tidligere antaget.
"Der er langt over 100 virksomheder," siger Alex Stamos, som er partner i Isec Partners.
I ugerne efter, at Google offentliggjorde detaljer om hackerangrebet, er der opstået uformelle diskussionsgrupper, hvor sikkerhedseksperter og ansatte fra de kompromitterede virksomheder deltager. I disse diskussioner "er listen af kontrol-maskiner blevet længere og længere," siger Stamos.
Koden, der blev brugt i angrebet, er kendt i sikkerhedskredse som Aurora, og har været brugt i mindst 18 måneder, oplyser Stamos. Men sikkerhedsbranchen kendte ikke til Aurora, før Google opdagede den ulovlige dataindtrængning i december. Det gjorde det muligt for hackerne uopdaget at trænge ind i virksomhedernes netværk.
Følsomme data flyttes ud af landet
Også andre it-virksomheder som Intel, Adobe og Symantec er blevet ramt af dette angreb, som efterforskere har sporet tilbage til Kina.
Som en del af angrebet sendte hackerne omhyggeligt målrettede e-mail eller instant messaging-beskeder til ofrene for at narre dem til at besøge websider eller åbne skadelige dokumenter, der derefter kunne angribe deres computere.
Det værste ved angrebet er, hvad der sker, når det første offer er blevet kompromitteret. Hackerne bruger derefter en vifte af teknikker til at få fat i yderligere brugernavne og kodeord, og angrebet spreder sig på den måde på tværs af den angrebne virksomheds netværk, hvor det stjæler følsomme data, der med det samme flyttes ud af landet.
Denne type af målrettede angreb er ikke noget nyt, men er farlig, fordi metoden er så god til at undgå traditionelle sikkerhedsforanstaltninger, siger Rob Lee, der er instruktør i computer forensics hos SANS Intitute.
"Vi har håndteret disse angreb i fem år," siger han.
"De går kort fortalt uden om samtlige sikkerhedsforanstaltninger via e-mail."
Tekniske anbefalinger
Ikke alle disse angreb er blevet sat i forbindelse til Aurora, men Lee siger, at "hundredvis af virksomheder er blevet infiltreret".
Alex Stamos fra Isec Partners er enig i, at traditionelle sikkerhedsprodukter såsom antivirus og såkaldte intrusion detection-systemer ikke er nok til at stoppe et sådant angreb.
"Det interessante ved disse hackere er for mig at se, at de er meget tålmodige. De bruger en masse tid på at skrive specialtilpasset malware for at kunne undgå folks antivirus," påpeger han
"De bruger sociale netværkssites for at lære detaljer at kende om en udvalgt person i virksomheden og sender derefter e-mail eller chat-beskeder, som udgiver sig for at være fra den persons venner," forklarer Stamos.
ISec Partners har udgivet nogle tekniske anbefalinger [pdf], som virksomheder kan bruge til at nedsætte risikoen for sårbarhed overfor denne type angreb.
Oversat af Thomas Bøndergaard
