Στις 20 Ιανουαρίου 2012, την ημέρα που το FBI εισέβαλλε στο Megaupload,
το φερόμενο και ως άνδρο πειρατών ταινιών, μουσικής και λογισμικού, δεν
ήταν λίγοι εκείνοι που έσπευσαν να συμπαραταχθούν με τους χακτιβιστές Anoynmous στο #OpMegaupload για να αντεπιτεθούν...
Σύμφωνα με την εταιρεία ασφάλειας πληροφοριακών συστημάτων, ο εισβολέας
χρησιμοποίησε έναν δημοφιλή οδηγό που δημοσιευόταν στο αποθετήριο paste,
PasteBin.com.
O οδηγός χρησιμεύει σε οποιονδήποτε θέλει να συμπράξει σε
επίθεση των Anonymous, όταν πρόκειται για τις λεγόμενες επιθέσεις
άρνησης παροχής υπηρεσιών, όπου επιχειρούν τόσο πολλοί χρήστες να
εισέλθουν σε έναν δικτυακό τόπο ώστε τελικά, καθίσταται απροσπέλαστος
(σαν να μπλοκάρουν την πόρτα).
Σε αυτόν τον οδηγό, περιλαμβανόταν μια παραπομπή για το κατέβασμα του
απαραίτητου εργαλείου άρνησης παροχής υπηρεσιών (DoS, Denial of
Service) που ονομάζεται Slowloris. Ο εισβολέας,
τροποποίησε την παραπομπή και υπέδειξε μια «ενισχυμένη» έκδοση του
Slowloris, μολυσμένη με το malware που, εκτός από επιθέσεις DoS, θα
έκλεβε και πολύτιμα προσωπικά στοιχεία.
Στο δημοσίευμα της Symantec,
δείχνει ότι η παραπομπή στο slowloris.exe (ένα αρχείο 58KB) είχε αρχικά
εμφανιστεί στο pastebin.com την 1η Μάη 2011. Στις 20 Ιανουαρίου 2012
εμφανίστηκε νέο paste στο PasteBin.com με διαφορετική παραπομπή και το
ίδιο όνομα αρχείου, αν και επρόκειτο για το μολυσμένο εργαλείο.
Η κατάσταση χειροτέρεψε όταν αργότερα την ίδια ημέρα, γράφει η Symantec
στο επίσημο blog της, έγινε paste στο pastebin.com νεότερη έκδοση του
οδηγού για τις επιθέσεις των Anonymous, στην οποία υπήρχε η «μολυσμένη»
εκδοχή του Slowloris, το οποίο λειτουργούσε πλέον ως Δούρειος Ίππος.
Αυτός ο νεότερος οδηγός κατέστη εξαιρετικά δημοφιλής με 26000 προβολές
και 400 tweet που παρέπεμπαν σε αυτόν -και συνεχίζουν να το κάνουν (στις
αναφορές εμφανίζεται ως Tools of the DDoS trade ή Idiot's Guide to Be Anonymous.
Όπως εξηγεί η Symantec, όταν κατεβάσει κανείς το εργαλείο Slowloris και το τρέξει, εγκαθίσταται το Zeus, που μετατρέπει τον υπολογιστή του χρήστη σε «ζόμπι»,
μαριονέτα στα χέρια επίδοξων ληστών χωρίς να το έχει κανείς αντιληφθεί.
Η μόλυνση δεν είναι ορατή, καθώς ο Zeus υποδύεται το εργαλείο για την
επίθεση, Slowloris. Επίσης, δεν μπορεί να αφαιρεθεί με ευκολία.
Η Symantec υποστηρίζει ότι όποιος ελέγχει το Zeus το
χρησιμοποιεί για να διατάξει την καταγραφή στοιχείων εισόδου σε
υπηρεσίες e-banking, login και password σε υπηρεσίες ηλεκτρονικού
ταχυδρομείου στον παγκόσμιο ιστό και να του στείλει αποκαλυπτικά
cookies. Το δίκτυο των υπολογιστών που έχουν πλέον μετατραπεί σε
μαριονέτες, πράγματι καταφέρουν επιθέσεις κατά των προβλεπόμενων στόχων
των Anonymous.
Μάλιστα, στο σχετικό post, η Symantec μεταφέρει αποκωδικοποιημένα
μηνύματα HTTP POST που στέλνουν στο κέντρο εντολών και ελέγχου του/των
εισβολέων cookie, στοιχεία e-banking και στοιχεία εισόδου σε λογαριασμό
Gmail από τον Internet Explorer.
Η ανάρτηση τελειώνει με το σχόλιο ότι «Oι υποστηρικτές των Anonymous όχι
μόνο παρανομούν συμμετέχοντας σε επιθέσεις σε δικτυακούς τόπους, αλλά, ίσως,
κινδυνεύουν και οι ίδιοι από την υποκλοπή στοιχείων εισόδου σε
τραπεζικές υπηρεσίες online και Webmail. O συνδυασμός κακόβουλου
λογισμικού που υποκλέπτει οικονομικά και προσωπικά στοιχεία, οι στόχοι
των χακτιβιστών Anonymous και η εξαπάταση των υποστηρικτών τους αποτελεί
μια επικίνδυνη εξέλιξη στον διαδικτυακό κόσμο. Θα συνεχίσουμε να
παρακολουθούμε τις εξελίξεις».
Νωρίτερα, στις αρχές Φεβρουαρίου 2012 η Symantec δέχτηκε ένα
σημαντικό πλήγμα, αφού έπεσε στα χέρια χάκερ ο κώδικας ενός δημοφιλούς
προγράμματός της για τον έλεγχο υπολογιστών εξ αποστάσεως (pcAnywhere). Η
Symantec απέδιδε την επίθεση σε μέλος των Anonymous, αφού ως τέτοιος
«εμφανίστηκε», ο οποίος μάλιστα, ζητούσε λύτρα για να μην τον
δημοσιοποιήσει στο Διαδίκτυο (απειλή την οποία τελικά πραγματοποίησε,
έστω και μερικώς)
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου