Duży atak przy pomocy Aurory w zeszłym miesiącu na między innymi na Google i aktywistów praw człowieka w Chinach, jest częścią dużo większego nieustannego wysiłku, który kradł dane od lat. Firma Mandiant powiązała zaawansowanie, metody, środki i agendę z innymi tego typu atakami na przestrzeni ostatnich 5 lat. Klasyczne zapobieganie i wykrywanie okazywało się bezskuteczne. Włamywacze bez wysiłków unikali antywirusów, systemów wykrywania włamań jak również umykali całkowitemu usunięciu ich z systemów w przypadku wykrycia.
Atak najwyraźniej odpalony z serwerów C&C w Taiwanie, mimo to nie sądzi się aby atak pochodził z Taiwanu. Publiczne informacje o ataku są skąpe podczas gdy firmy próbują ocenić straty.
Departament obrony USA odbył w zeszłym tygodniu konferencję z ekspertami do spraw bezpieczeństwa informatycznego w St. Louis aby dyskutować o problemie.
Jeden z uczestników, firma konsultingowa z zakresu bezpieczeństwa Manadiant opublikowała raport o swoich znaleziskach. Mimo ocenzurowania, usunięcia nazw firm i organizacji raport roztacza horyzont na zaawansowanie sprawców.
[quote]Skala, operatywność, logistyka przeprowadzenia tych ataków – przeciw rządowi, instytucją finansowym i sektorowi prywatnemu sugerują,że są sponsorowane przez rząd. Chiny mogły autoryzować tą działalność ale nie ma możliwości ocenić skali tego zaangażowania. Mimo to udało nam się skorelować prawie każde ATP (ATP – Advanced Persistent Threat -zaawansowane nieustajace zagrożenie) z wydarzeniami w Chinach[/quote]
Mandiant wyjaśnia, że ATP zinfiltrowało tysiące komputerów, a wiele wysiłków aby powstrzymać cybernetyczną penetrację pomogło włamywaczą ocenić poziom wykrywalności i zwiększyć strumień danych z niewykrytych infekcji. Włamywacze mieli cele długoterminowe, używali uśpionego kodu, który czeka w ukryciu, instalowali tylne drzwi, kradli dokumenty i e-maile. Używając standardowych portów i usług do przesyłania danych wtapiali się w normalny ruch.
Jedena średnia firma mająca kontrakt obronny na badania dla rządu USA miała 100 zainfekowanych komputerów i 20 stacji roboczych zainfekowanych od 2007 oprogramowaniem podobnym do Aurory, które nie zostały wykryte mimo wysiłków firmy przeciw intruzom.
U dużego dostawcy obronnego znaleziono 10 systemów z uśpionymi tylnymi drzwiami świadczącymi o długotrwałej naturze wtargnięcia. Drugie badanie wykryło 150 systemów, zainfekowanych przez pierwszy poziom wtargnięcia.
Inny duży kontraktor do spraw obrony również wykrył 150 komputerów, z których wyciekały dane przez lata. Jedna z maszyn miała 95 różnych poprawek oprogramowania malware, które hakerzy modyfikowali aby uniknąć wykrycia i programów antywirusowych. Hakerzy ATP byli w stanie dopasować oprogramowanie bardzo szybko, złamali szyfrowanie kodu i dostali się ponownie na wyleczony komputer w ciągu 24 godzin.
[quote]To wojna na wyczerpanie z przeciwnikiem mającym olbrzymi środki.
To długa wojna w której nigdy nie wygrasz,w której nigdy nie ogłosisz zwycięstwa.[/quote]
Źródło:
[i]www.mandiant.com
www.examiner.com[/i]