211service.com
Världsomspännande cyberspionage avslöjat
Attackerna är bevis på en växande politisk motivation bland hackare. 4 augusti 2011
Detaljer om en mycket organiserad, ihållande kampanj av datoriserade attacker mot företag och regeringar i 14 länder avslöjades i går av säkerhetsföretaget McAfee.
Attackerna sträcker sig nästan fem år tillbaka i tiden och sträckte sig från en månad till 28 månader. De påverkade 32 typer av organisationer, inklusive statliga myndigheter och försvars-, bygg-, informationsteknologi- och revisionsbyråer.
McAfee tror att attackerna orkestrerades av en nationalstat, men den har inte namngett det landet. Angriparna stal information och immateriell egendom som kunde användas för både politisk och militär vinning. Med majoriteten av data vet vi inte helt vad de används till, Dmitri Alperovitch , vice vd för hotforskning för McAfee, sade under en presskonferens på onsdagen.
Företagshackning har blivit en framträdande fråga de senaste månaderna. En mängd attacker har riktats mot företag som RSA, Lockheed Martin och Sony. Men Alperovitch säger att attackerna som tillkännagavs den här veckan – McAfee kallar dem tillsammans Operation Shady RAT (för fjärråtkomstverktyg) – har varit mindre väl omtalade, men är mer betydande. I många fall använde angripare sofistikerade, noggrant skräddarsydda tekniker för att slå företagens försvar över en tidsperiod – en typ av attack som kallas ett avancerat ihållande hot.
McAfee's Rapportera säger att operationen involverade omfattande infiltration av 72 identifierbara offer – och några andra som säkerhetsföretaget inte kunde identifiera. En del av informationen som stulits genom attackerna var tillräckligt känslig för att ha en betydande inverkan på ett lands hela ekonomi, enligt Alperovitch. Det här är verkligen den kritiska frågan vi behöver oroa oss för, sa han.
McAfee har inte kunnat diskutera detaljer om operationen offentligt förrän nu på grund av sekretessavtal med sina kunder. Detta förändrades när företaget självständigt upptäckte en kommando-och-kontrollserver som var inblandad i attackerna. Alperovitch sa att företaget ville visa hur utbredda och genomgripande avancerade ihållande hot är. Till och med vi blev förvånade över den enorma mångfalden av offerorganisationerna och blev häpna över förövarnas fräckhet, skrev Alperovitch i ett blogginlägg.
Den här veckan släppte Cisco en Rapportera som bekräftar McAfee's, vilket tyder på att avancerade ihållande hot är utbredda och allvarliga. Om du är i en känslig sektor kommer du att bli ett offer för ett avancerat ihållande hot, om du inte redan är det, säger Cisco senior säkerhetsforskare Mary Landesman .
Landesman ser ökningen av denna typ av hot som en del av en förändring av angriparnas fokus. Politiska motiv driver alltmer på attacker.
För att få till stånd attacker som är väldigt smygande, väldigt tysta och långvariga, säger Landesman, använder angripare en kombination av automatisering och artisteri. De börjar vanligtvis med att infektera så många datorer som möjligt med skadlig programvara. När en dator väl är infekterad undersöker angriparna dess IP-adress och informationen som lagras på den för att avgöra om maskinen är på en önskvärd geografisk plats eller tillhör ett viktigt företag.
Datorer som anses intressanta placeras under ledning av en speciell kommando-och-kontrollserver inriktad på särskilt viktiga operationer. Datan på datorn kan sedan granskas mer i detalj, eller så kan den användas för att sätta igång en bredare attack – från en receptionists dator till en maskin på VD:ns kontor, till exempel.
Både McAfee och Cisco är överens om att det är svårt att försvara sig mot avancerade ihållande hot. Försvaret måste vara lika riktat och specialiserat som attackerna, säger Landesman. Att utrota ett avancerat ihållande hot kan inte göras med ett passivt verktyg, säger hon. Organisationer måste kartlägga normal trafik och beteende inom sina system, och utföra pågående kriminalundersökningar för att känna igen förändringar som kan vara varningssignaler.
Alperovitch tillade att även om många av företagen som påverkas av Operation Shady RAT har täppt till hålen som läckte information, kanske vissa fortfarande inte vet omfattningen av skadan. Och det kommer inte att vara klart förrän angriparna börjar använda informationen de har stulit.