WHBC-GR: Επικίνδυνος Δούρειος Ίππος σε εργαλείο για επιθέσεις Anonymous

Δευτέρα 5 Μαρτίου 2012

Επικίνδυνος Δούρειος Ίππος σε εργαλείο για επιθέσεις Anonymous


Στις 20 Ιανουαρίου 2012, την ημέρα που το FBI εισέβαλλε στο Megaupload, το φερόμενο και ως άνδρο πειρατών ταινιών, μουσικής και λογισμικού, δεν ήταν λίγοι εκείνοι που έσπευσαν να συμπαραταχθούν με τους χακτιβιστές Anoynmous στο #OpMegaupload για να αντεπιτεθούν...
Ωστόσο, η Symantec υποστηρίζει ότι εκείνη την ημέρα, το εργαλείο που κατέβασαν οι οποδοί τους για να συμβάλλουν στην κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών, λειτούργησε ως Δούρειος Ίππος. Περιείχε το malware Zeus που έκλεβε στοιχεία εισόδου σε υπηρεσίες e-banking, σε Webmail και cookies.

Σύμφωνα με την εταιρεία ασφάλειας πληροφοριακών συστημάτων, ο εισβολέας χρησιμοποίησε έναν δημοφιλή οδηγό που δημοσιευόταν στο αποθετήριο paste, PasteBin.com. 
O οδηγός χρησιμεύει σε οποιονδήποτε θέλει να συμπράξει σε επίθεση των Anonymous, όταν πρόκειται για τις λεγόμενες επιθέσεις άρνησης παροχής υπηρεσιών, όπου επιχειρούν τόσο πολλοί χρήστες να εισέλθουν σε έναν δικτυακό τόπο ώστε τελικά, καθίσταται απροσπέλαστος (σαν να μπλοκάρουν την πόρτα).

Σε αυτόν τον οδηγό, περιλαμβανόταν μια παραπομπή για το κατέβασμα του απαραίτητου εργαλείου άρνησης παροχής υπηρεσιών (DoS, Denial of Service)  που ονομάζεται Slowloris. Ο εισβολέας, τροποποίησε την παραπομπή και υπέδειξε μια «ενισχυμένη» έκδοση του Slowloris, μολυσμένη με το malware που, εκτός από επιθέσεις DoS, θα έκλεβε και πολύτιμα προσωπικά στοιχεία.

Στο δημοσίευμα της Symantec, δείχνει ότι η παραπομπή στο slowloris.exe (ένα αρχείο 58KB) είχε αρχικά εμφανιστεί στο pastebin.com την 1η Μάη 2011. Στις 20 Ιανουαρίου 2012 εμφανίστηκε νέο paste στο PasteBin.com με διαφορετική παραπομπή και το ίδιο όνομα αρχείου, αν και επρόκειτο για το μολυσμένο εργαλείο.

Η κατάσταση χειροτέρεψε όταν αργότερα την ίδια ημέρα, γράφει η Symantec στο επίσημο blog της, έγινε paste στο pastebin.com νεότερη έκδοση του οδηγού για τις επιθέσεις των Anonymous, στην οποία υπήρχε η «μολυσμένη» εκδοχή του Slowloris, το οποίο λειτουργούσε πλέον ως Δούρειος Ίππος.

Αυτός ο νεότερος οδηγός κατέστη εξαιρετικά δημοφιλής με 26000 προβολές και 400 tweet που παρέπεμπαν σε αυτόν -και συνεχίζουν να το κάνουν (στις αναφορές εμφανίζεται ως Tools of the DDoS trade ή Idiot's Guide to Be Anonymous.

Όπως εξηγεί η Symantec, όταν κατεβάσει κανείς το εργαλείο Slowloris και το τρέξει, εγκαθίσταται το Zeus, που μετατρέπει τον υπολογιστή του χρήστη σε «ζόμπι», μαριονέτα στα χέρια επίδοξων ληστών χωρίς να το έχει κανείς αντιληφθεί. Η μόλυνση δεν είναι ορατή, καθώς ο Zeus υποδύεται το εργαλείο για την επίθεση, Slowloris. Επίσης, δεν μπορεί να αφαιρεθεί με ευκολία.


Η Symantec υποστηρίζει ότι όποιος ελέγχει το Zeus το χρησιμοποιεί για να διατάξει την καταγραφή στοιχείων εισόδου σε υπηρεσίες e-banking, login και password σε υπηρεσίες ηλεκτρονικού ταχυδρομείου στον παγκόσμιο ιστό και να του στείλει αποκαλυπτικά cookies. Το δίκτυο των υπολογιστών που έχουν πλέον μετατραπεί σε μαριονέτες, πράγματι καταφέρουν επιθέσεις κατά των προβλεπόμενων στόχων των Anonymous.

Μάλιστα, στο σχετικό post, η Symantec μεταφέρει αποκωδικοποιημένα μηνύματα HTTP POST που στέλνουν στο κέντρο εντολών και ελέγχου του/των εισβολέων cookie, στοιχεία e-banking και στοιχεία εισόδου σε λογαριασμό Gmail από τον Internet Explorer.

Η ανάρτηση τελειώνει με το σχόλιο ότι «Oι υποστηρικτές των Anonymous όχι μόνο παρανομούν συμμετέχοντας σε επιθέσεις σε δικτυακούς τόπους, αλλά, ίσως, κινδυνεύουν και οι ίδιοι από την υποκλοπή στοιχείων εισόδου σε τραπεζικές υπηρεσίες online και Webmail. O συνδυασμός κακόβουλου λογισμικού που υποκλέπτει οικονομικά και προσωπικά στοιχεία, οι στόχοι των χακτιβιστών Anonymous και η εξαπάταση των υποστηρικτών τους αποτελεί μια επικίνδυνη εξέλιξη στον διαδικτυακό κόσμο. Θα συνεχίσουμε να παρακολουθούμε τις εξελίξεις».

Νωρίτερα, στις αρχές Φεβρουαρίου 2012 η Symantec δέχτηκε ένα σημαντικό πλήγμα, αφού έπεσε στα χέρια χάκερ ο κώδικας ενός δημοφιλούς προγράμματός της για τον έλεγχο υπολογιστών εξ αποστάσεως (pcAnywhere). Η Symantec απέδιδε την επίθεση σε μέλος των Anonymous, αφού ως τέτοιος «εμφανίστηκε», ο οποίος μάλιστα, ζητούσε λύτρα για να μην τον δημοσιοποιήσει στο Διαδίκτυο (απειλή την οποία τελικά πραγματοποίησε, έστω και μερικώς)


  

Δεν υπάρχουν σχόλια: