Arbeitsministerium Hacker komplexer als die meisten

2013-12-30  |  Comebuy News

Die Hacker, die eine US-Arbeitsministerium Website entführt wurden Asinterested bei der Erhebung von Daten für ihren nächsten Angriff, wie sie Instealing Informationen von ihren Opfern waren, sagen Sicherheitsexperten.

Comebuy Verwandte Artikel: Anti-Offshoring Bill Resultate 77 US-Haus co-SponsorsMicrosoft Versionen Regeln-es für Internet Explorer 8 VulnerabilityCyberattack zeigt Software Update Problem in großen organizationsU.S. Firmen sollten offen legen, Offshore-Einstellung, sagt, dass LawmakerSlow Gadget Verkäufe führen zu Glut-chip

Die Angriff, berichtete letzte Woche, begann mit kompromittierenden Theweb-Server, die die Website lief und eine Malware-Payloadthat einfügen würde decodiert werden, beim Browser des Besuchers Torender spezifische Web-Seiten versucht. Die Exploit-Targeteda bisher unbekannte Sicherheitslücke auf Microsofts InternetExplorer 8.

Experten glauben, dass die Employeesinvolved Regierung Angriff gezielt in die Entwicklung von Atomwaffen. Das ist da Thehijacked Seiten Informationen zur nuklearen und damit zusammenhängenden Illnesseslinked zu Energieministerium Einrichtungen, enthalten solche Mitarbeiter hätte arbeitete.

Nach der Analyse der Malware, Cisco Security Profis sagte Freitag Theattackers erschienen zwei Motive haben: Governmentnetworks zu infiltrieren und sammeln Sie Informationen aus der Computer-Compromisedinitially, um zukünftige Angriffe vorzubereiten.

Beispielsweise würde die Malware senden zurück zu Thecommand-und-Control (C & C) Serverinformationen über die Securitytechnology installiert, darunter die antivirus-Software, sowie Asclient Anwendungen bekannt, dass viele Schwachstellen.Beispiele für solche Software sind Adobe Flash oder Java.

"Was Angreifer hinter diesem Angriff war sie Probablyintended zurückkommen,", sagte Craig Williams, technische Leaderfor Cisco Security Intelligence Operations. "Waren diese Informationen zu sammeln und senden es zum Noreason nach Hause."

Sobald die Hacker diese Informationen hast, sie verwenden es, um Testfuture Malware um sicherzustellen, dass die Vulnerabilitieswithout erkannt wird, ausgenutzt werden könnten, sagte Williams. Diese Ebene Ofreconnaissance ist zwar nicht von ungehört, ungewöhnlich.

[Siehe auch: Microsoft-Patch-Dienstag richtet sich an Vielzahl von Internet Explorer-Fehler]

"Es ziemlich fortgeschritten ist, dass sie über [zurück] denken,", sagte Williams. "Vor Jahren, das vollständig von ungehört hätte."

Der Angriff auf der Website des Arbeitsministeriums war auch Highlytargeted. Die Angreifer Malware funktionierte nur auf IE8 laufenden OnWindows-XP-Computern, ein Hinweis darauf, dass sie ihre Targetsused diese Arten von Systemen wussten.

Microsoft Releaseda temporäre Verlegenheit am Mittwoch für NULL-Tag-Vulnerabilityexploited.

Was Cisco nicht weiß ist, wie die Angreifer Theweb Server von Anfang an gefährdet. Irgendwie musste die Angreifer Sicherheitsrolle notwendig, um das Skript auszuführen, das die Malware, die war eine Variante von einem remote-Administration-Programm-CalledPoison Ivy laden würde.

Im allgemeinen Angriffe, die Sicherheits-Software installiert auf dem Desktop oder Notebook zu umgehen sind Beispiele dafür, wie Unternehmen Needadditional-Technologie, um ihre Netzwerke zu schützen. Ein Beispiel-Issoftware Lage, Schmierblutungen abnormen Aktivität, der Indicaterunning Malware könnte.

Während niemand den Ursprung des Labor-Departmentattack, AlienVaultreported, die die Malware das gleiche Protokoll kommuniziert der C & C-Servern als diejenige, die von einer chinesischen Hacker Groupcalled Tiefe Panda verwendet verwendet identifiziert hat. Die Gruppe ist bekannt für eine Vielzahl ofU.S targeting. Einrichtungen, einschließlich der High-Tech und Verteidigung-Industrie-Andstate und Bundesbehörden.

Lesen Sie mehr über Malware/Cybercrime CSOonlines Malware/Cybercrime-Abschnitt.

« Back