McAfee Labs работала сутки напролёт, изучая атаку, которую мы называем теперь «Aurora» — удар, нанесенный многим организациям и попавшим в СМИ во вторник благодаря Google. Мы работаем с пострадавшими организациями также как и правительственные и юридические структуры. Одним из этапов нашего расследования был анализ некоторого количества вредоносного кода, который, как мы убедились, был использован в попытках проникновения в сети атакованных организаций.
В ходе расследования мы установили, что один из экземпляров вредоносного кода, использованного для атаки, эксплуатирует неопубликованную уязвимость MS Internet Explorer. Мы сообщили Microsoft об этой уязвимости, и они опубликовали пояснения и сообщили об этом в своём блоге во вторник.
Как и при большинстве «направленных» (targeted) атак, нарушители получили доступ к сети организаций, совершив точечные нападения на одного или нескольких выбранных пользователей. Мы предполагаем, что пользователи выбирались исходя из их доступа к той или иной интеллектуальной собственности организации. Эти атаки выглядели так, будто они совершались из доверенного источника, что привело к снижению внимания и запуску вредоносного кода по ссылке или открытию файла. Вот тут и задействуется уязвимость Microsoft Internet Explorer.
Как только вредоносный код загружен и установлен, он открывает бэкдор, позволяющий злоумышленнику получить полный контроль над скомпрометированной системой. Теперь атакующий находился внутри сети компании и мог начать«сливать» важные для компании данные.
Наше расследование показало, что Internet Explorer содержит уязвимость во всех своих версиях, включая версию 8 из состава Windows 7. Тем не менее, злоумышленники в основном нацеливались на шестую версию браузера. Мы хотим поблагодарить Microsoft за сотрудничество с нами во время расследования.
Хотя мы и определили уязвимость Internet Explorer как основное направление атаки в этом происшествии, довольно большая часть нападений была произведена благодаря смеси из неопубликованных (zero-day) уязвимостей и качественных сценариев социального инжиниринга. Так что направления, по которым происходили атаки, могут расшириться. Иными словами, в противовес другим отчётам, мы не нашли подтверждения тому, что для атаки мог быть использован Adobe Reader.
Уверен, вы хотите знать, откуда взялось название “Aurora”. Судя по нашему анализу, слово “Aurora” было частью файлового пути на компьютере атакующего и было включено в два бинарных вредоносных файла, которые, как мы убедились, связаны с атакой. Этот файловый путь обычно включается компиляторами как указатель на место хранения исходного кода и отладочных символов на компьютере разработчика. Нам кажется, этим словом злоумышленник(и) называли операцию между собой.
Blaster, Code Red и прочие «червяки» широкого профиля — в прошлом. Нынешний урожай вредоносного кода узкоспециализирован, имеет свою цель и спроектирован для заражения, скрытого доступа, «слива» данных или, что ещё хуже, их незаметного изменения.
Эти гибко модифицированные атаки, известные как продвинутые постоянные угрозы (“advanced persistent threats”, APT) были впервые совершены на правительства, и одного упоминания о них достаточно, чтобы повергнуть в трепет любого кибервоина. Фактически, они эквивалентны дрону (drone) на поле битвы. С ювелирной точностью они доставляют свой опасный груз и обнаруживаются всегда слишком поздно.
Операция «Aurora» сменила ландшафт вокруг киберугроз. Эти атаки показали, что компаниии всех сфер — очень прибыльные цели. Большинство сильно уязвимо к этим направленным атакам, что даёт очень значимую добычу: интеллектуальную собственность.
Схожая с грабежом банкоматов 2009 года, операция «Aurora» выглядит скоординированной атакой на выдающиеся компании и нацеленной на их интеллектуальную собственность. Подобно армии зомби, вытягивающих деньги из банкоматов, этот вредоносный код позволил злоумышленникам стащить сокровища компаний пока люди отдыхали на Рождественских каникулах. Однозначно, атака была проведена в это время чтобы скрыть следы.
Все, что я могу сказать: «Wow!» Мир изменился. Модель всеобщей уязвимости теперь должна быть адаптирована к новым реалиям этих APT. В дополнение к восточноевропейским киберпреступникам, пытабщимся стащить базы данных кредитных карт, нужно заботиться об основной интеллектуальной собственности, частной нефинансовой информации о клиентах и прочих нематериальных ценностей.
Мы будем продолжать информировать вас по мере развития событий. Как я писал в предыдущем сообщении — это лишь верхушка айсберга.
George Kurtz, специалист по информационной безопасности, Компания McAfee.
UPD: Видео, демонстрирующее работу сплойта:
The «Aurora» IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.
UPD2: Опубликован сам эксплойт. Ссылка на Praetorian Project.
Ссылки на сплойт от хабрачеловека matrosov www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb — На Ruby для Metasploit
ahmed.obied.net/software/code/exploits/ie_aurora.py — на Python.
Свежая уязвимость Internet Explorer
В ходе расследования мы установили, что один из экземпляров вредоносного кода, использованного для атаки, эксплуатирует неопубликованную уязвимость MS Internet Explorer. Мы сообщили Microsoft об этой уязвимости, и они опубликовали пояснения и сообщили об этом в своём блоге во вторник.
Как и при большинстве «направленных» (targeted) атак, нарушители получили доступ к сети организаций, совершив точечные нападения на одного или нескольких выбранных пользователей. Мы предполагаем, что пользователи выбирались исходя из их доступа к той или иной интеллектуальной собственности организации. Эти атаки выглядели так, будто они совершались из доверенного источника, что привело к снижению внимания и запуску вредоносного кода по ссылке или открытию файла. Вот тут и задействуется уязвимость Microsoft Internet Explorer.
Как только вредоносный код загружен и установлен, он открывает бэкдор, позволяющий злоумышленнику получить полный контроль над скомпрометированной системой. Теперь атакующий находился внутри сети компании и мог начать«сливать» важные для компании данные.
Наше расследование показало, что Internet Explorer содержит уязвимость во всех своих версиях, включая версию 8 из состава Windows 7. Тем не менее, злоумышленники в основном нацеливались на шестую версию браузера. Мы хотим поблагодарить Microsoft за сотрудничество с нами во время расследования.
Хотя мы и определили уязвимость Internet Explorer как основное направление атаки в этом происшествии, довольно большая часть нападений была произведена благодаря смеси из неопубликованных (zero-day) уязвимостей и качественных сценариев социального инжиниринга. Так что направления, по которым происходили атаки, могут расшириться. Иными словами, в противовес другим отчётам, мы не нашли подтверждения тому, что для атаки мог быть использован Adobe Reader.
Операция «Aurora»
Уверен, вы хотите знать, откуда взялось название “Aurora”. Судя по нашему анализу, слово “Aurora” было частью файлового пути на компьютере атакующего и было включено в два бинарных вредоносных файла, которые, как мы убедились, связаны с атакой. Этот файловый путь обычно включается компиляторами как указатель на место хранения исходного кода и отладочных символов на компьютере разработчика. Нам кажется, этим словом злоумышленник(и) называли операцию между собой.
Смена ландшафта
Blaster, Code Red и прочие «червяки» широкого профиля — в прошлом. Нынешний урожай вредоносного кода узкоспециализирован, имеет свою цель и спроектирован для заражения, скрытого доступа, «слива» данных или, что ещё хуже, их незаметного изменения.
Эти гибко модифицированные атаки, известные как продвинутые постоянные угрозы (“advanced persistent threats”, APT) были впервые совершены на правительства, и одного упоминания о них достаточно, чтобы повергнуть в трепет любого кибервоина. Фактически, они эквивалентны дрону (drone) на поле битвы. С ювелирной точностью они доставляют свой опасный груз и обнаруживаются всегда слишком поздно.
Операция «Aurora» сменила ландшафт вокруг киберугроз. Эти атаки показали, что компаниии всех сфер — очень прибыльные цели. Большинство сильно уязвимо к этим направленным атакам, что даёт очень значимую добычу: интеллектуальную собственность.
Схожая с грабежом банкоматов 2009 года, операция «Aurora» выглядит скоординированной атакой на выдающиеся компании и нацеленной на их интеллектуальную собственность. Подобно армии зомби, вытягивающих деньги из банкоматов, этот вредоносный код позволил злоумышленникам стащить сокровища компаний пока люди отдыхали на Рождественских каникулах. Однозначно, атака была проведена в это время чтобы скрыть следы.
Все, что я могу сказать: «Wow!» Мир изменился. Модель всеобщей уязвимости теперь должна быть адаптирована к новым реалиям этих APT. В дополнение к восточноевропейским киберпреступникам, пытабщимся стащить базы данных кредитных карт, нужно заботиться об основной интеллектуальной собственности, частной нефинансовой информации о клиентах и прочих нематериальных ценностей.
Мы будем продолжать информировать вас по мере развития событий. Как я писал в предыдущем сообщении — это лишь верхушка айсберга.
George Kurtz, специалист по информационной безопасности, Компания McAfee.
UPD: Видео, демонстрирующее работу сплойта:
The «Aurora» IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.
UPD2: Опубликован сам эксплойт. Ссылка на Praetorian Project.
Ссылки на сплойт от хабрачеловека matrosov www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb — На Ruby для Metasploit
ahmed.obied.net/software/code/exploits/ie_aurora.py — на Python.