Hirdetés
. Hirdetés

Újrahasznosíthatók a régi kiberfegyverek

|

A 12 éves Bifrose trójai módosított változataival támadja egy kiberkémcsoport az ázsiai kormányokhoz közeli szervezeteket a Trend Micro szerint.

Hirdetés

Az IT-biztonsági cég kutatói által Shrouded Crossbow néven emlegetett csoport elsősorban a privatizált állami cégeket, a kormányzatok beszállítóit, valamint szórakoztatóelektronikai, informatikai vállalatokat, egészségügyi és pénzügyi szervezeteket vesz célba 2010 óta, és a támadásokhoz a 2004-ben felfedezett, hátsókaput nyitó Bifrose trójai program átdolgozott változatait használja.

Bizonyítja a csoport tevékenysége, hogy a sikeres kiberkémkedésnek nem elengedhetetlen előfeltétele a nagy költségvetés, a nulladik napi sérülékenységek raktárkészlete vagy a még soha nem látott szofisztikáltságú, rosszindulatú szoftverkód. A régi kiberfegyverek is megteszik, csak kicsit le kell porolni és feljavítani őket a hatékony támadáshoz.

A Shrouded Crossbow eszközkészletében olyan hátsókapukkal találkozunk, mint a Kivar és az Xbow, amelyek a feketepiacon annak idején mindössze 10 ezer dollárért beszerezhető Bifrose trójaira épülnek.

Véleményünk szerint a csoport megvásárolta a Bifrose forráskódját, majd miután tökéletesítette képességeit, új telepítőt és szoftverkiadást fejlesztettek, hogy egyedi loader-backdoor párokat hozzanak létre, fejtették ki a Trend Micro kutatói blogposztjukban. A Shrouded Crossbow így hatékony támadásokat indíthat, annak ellenére, hogy a Bifrose trójait nagyon jól ismeri a szakma, azt a biztonsági szoftverek könnyen felismerik.

További érdekesség a csoporttal kapcsolatban, hogy azt legalább kettő, de valószínűleg három vagy több csapat alkotja a Trend Micro szerint. Az egyik a legalább tízfős fejlesztőcsapat, amely a trójai új kiadásait fejleszti. A létszámra a kutatók a verziószálakban fellelhető, egyedi fejlesztői azonosítók alapján következtettek.

A második csoport a célpontot választja ki, és a trójait felparaméterezi, az adott áldozatra szabja, valamint elkészíti a rosszindulatú kódot hordozó, adathalász leveleket is, amelyeket általában hírügynökségi jelentésnek, szakmai önéletrajznak, kormányzati adatközlésnek vagy találkozóra szóló meghívónak álcáz.

Végül a harmadik csapat a Shrouded Crossbow kiterjedt irányító és ellenőrző infrastruktúráját tartja karban, például több mint száz szerver IP címét és tartománynevét frissíti folyamatosan, szervezett módon.

Hirdetés
Hirdetés
Ügyfélszolgálati változás!
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.