Tech

Ön után is kémkedhetnek: így védekezhet

László Ferenc
László Ferenc

tech újságíró. 2014. 09. 02. 06:00

Két ártalmatlannak tűnő csatolmány megnyitásával azonnal meg is fertőzödhetünk - nem árt vigyázni!

2014-ben ünneplik a “NetTraveler művelet” nevű globális kiberkémkedési kampány tízéves fennállását az akció mögött álló hackerek. Bár úgy tűnik, az első mintákat 2005-ben állították össze, egyes jelek arra mutatnak, hogy a rosszindulatú aktivitás már 2004-ben elindult. Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Idén a Kaspersky Lab emelkedést tapasztalt az ujgurokat és a tibetieket támogatók ellen intézett támadások számában; az incidenseket az új titkosítási sémájú NetTraveler frissített változatával követték el. Vizsgálódásaik során a szakértők hét parancs és vezérlő (C&C) szervert fedeztek fel Hongkongban és egyet az Egyesült Államokban.

Újabban a kiberkémkedési aktivitás a diplomáciai képviseletek (32 százalék), a kormányzati intézmények (19 százalék), a magánszféra (11 százalék), a katonaság (9 százalék), az ipar és infrastruktúra (7 százalék), az űrkutatási szervezetek (6 százalék), a kutatóintézetek (4 százalék), az aktivisták (3 százalék), az IT szektor (3 százalék), az egészségügy (2 százalék) és a sajtó (1 százalék) ellen irányul. A NetTravel mögött álló hackercsoport a támadásokat hagyományosan a kiszemelt aktivistáknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word DOC fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot – ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült.

tn-cyberspy (technet, kémkedés, támadás, biztonság, védelem)

Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a “régebbi” NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját. A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat. A szakértők nyolc parancs és vezérlő szervert azonosított. Ezek közül hetet a Shanghai Meicheng Technology nevű szervezet jegyeztetett be, és a hozzájuk tartozó IP címek hongkongiak (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited és Hung Tai International Holdings). Egy szervert az egyesült államokbeli IP címmel (Integen Inc.) rendelkező Todaynic.com Inc. jegyeztetett be.

Így védekezhetünk a frissített NetTraveler malware ellen:

  • blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
  • frissítsük a Microsoft Windows-t és a Microsoft Office-t a legújabb változatra
  • tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
  • használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik.
vissza a címlapra

Legfrissebb videó mutasd mind

Kommentek

2871252 06/13/2016 US soldiers during a stop of the US armed forces in Riga in the course of the Dragoon Ride II of the Saber Strike-2016 international exercise. Taisija Voroncova/Sputnik
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.