Egy biztonsági kutató szerint nem volt annyira kifinomult a tavalyi akció eszköztára, hogy az nyugatról származzon. A Sentinel Labs szakértője inkább az ellenkező égtáj felé fordulna az elkövetőket kutatva.

A távközlési szolgáltató Rostelecom és az orosz titkosszolgálat (FSB) kibervédelemre szakosodott egysége idén májusban közösen hozott nyilvánosságra részleteket egy még 2020-ben felfedezett, nagyszabású hekkelési akcióról. Ennek keretében több kormányzati szervezetet, köztük magát az FSB-t is internetes támadás ért.

A jelentés szerint az elkövetők a Mail-O elnevezésű malware-t használták, amely orosz cloud szolgáltatók (Yandex, Mail.ru) megbízható menedzsment alkalmazásainak álcázva magát volt képes fertőzni. A sikeres behatolást követően a malware elkezd kívülről fájlokat letölteni, amelyek segítségével levelezési fiókokat tud manipulálni, illetve dokumentumokat, információkat kinyerni a megfertőzött rendszerből.

Nem mindig a kertész a gyilkos

Az esettel kapcsolatban a SentinelOne biztonsági cég szakértője a héten érdekes kiegészítéseket tett. Juan Andrés Guerrero-Saade blogbejegyzését azzal kezdi, hogy a célpontok ismeretében a legtöbben azonnal valamelyik nyugati államra, vagy konkrétan az Egyesült Államokra tippeltek mint lehetséges elkövető. A biztonsági kutató vizsgálatai alapján viszont több olyan eleme is van az ügynek, ami miatt ez a feltételezés minden bizonnyal téves.

Ez már csak azért sem valószínű, állítja Guerrero-Saade, mivel a használt eszköztár nem közelíti meg azt a minőségi színvonalat, amit "megszokhattunk" a világ nyugati felén ezen a vonalon tevékenykedő szereplőktől. Ennél ugyanakkor konkrétabb nyomokat is említ a bejegyzés.

A Mail-O közelebbi vizsgálatai alapján a malware egy relatív ismert másik kártevő variánsa lehet. A PhantomNet és SManager névvel illetett malware-t pedig a TA428 elnevezésű hekkercsoport használja előszeretettel, akiket pedig a korábbi akciók során rendre Kínához kötöttek. A közös kapcsot egyébként többek között egy elírás adja, ugyanis mindegyik malware-ben található egy Entery funkció, ami vélhetően az angol Entry szó elgépeléséből jött.

A kínai vonalat erősíti az is, hogy a TA428 a múltban többször hajtott végre akciókat dél-kelet-ázsiai célpontok mellett orosz rendszerek ellen is, így a tavalyi támadás beleillik a működési mintájukba. Ugyanakkor azt sem lehet kizárni, hogy a TA428-nak tulajdonított esetek mögött nem is egy konkrét csoport, hanem több külön egység áll, akik egymást között megosztják az erőforrásaikat és eszköztárukat.

Biztonság

Tíz perc alatt töltöttek fel egy nagy energiasűrűségű akkut

A kísérletnek az ad plusz nyomatékot, hogy ott van mögötte Rachid Yazami, akinek a lítium-ion akkuk egyik kulcsösszetevőjét köszönhetjük.
 
A vállalati IT-biztonságra is igaz: a pokolba vezető út jó szándékkal van kikövezve. Hogyan viselkednek az alkalmazottak a kibertérben?

a melléklet támogatója az Invitech

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.