A Moonlight Maze nevŇĪ kiberk√©mkedŇĎ t√°mad√°s √ļjra t√°mad√°sba lend√ľlt

A Kaspersky Lab és a Kings College London kutatói miközben a Moonlight Maze nevŇĪ támadás – amely többek között érintette a NASA-t és a Pentagont – és a modern kibercsapdák közötti összefüggéseket vizsgálták, olyan mintákat és eseménynaplókat találtak, amelyek valószínŇĪleg az ŇĎsi APT-hez, fejlett, célzott támadásokhoz köthetŇĎk. 

Úgy tŇĪnik, hogy egy 1998-as támadás során használt kiskapu, amelyet az áldozatok adatainak kicsempészésére használtak, összeköthetŇĎ a 2011-ben és talán az idei Turla által is használt kiskapuval. Ha bizonyítható a kapcsolat a Turla és a Moonlight Maze között, akkor az Equation Group hackercsoporttal együtt az egyik legrégebbi kibercsapdává válhat, hiszen az Equation C&C szerverei 1996-ban indultak. 

 

A friss jelentések a Moonlight Maze-rŇĎl azt mutatják, hogy már 1996-tól kezdŇĎdŇĎen észleltek biztonsági réseket az amerikai katonai- és kormányzati, az egyetemek, a kutatóintézetek, valamint a Department of Energy (DoE) rendszereiben. 1998-ban az FBI és a Department of Defense (DoD) elindította a vizsgálatot, amely 1999-ben kapott publicitást, de sok bizonyítékot titkosítottak, így a Moonlight Maze-t és annak részleteit mindeddig óriási homály és mítosz övezi.

 

Az elmúlt évek során a korábbi nyomozók gyanítják, hogy a Moonlight Maze fejlŇĎdött Turla-vá, egy 2007 óta aktív orosz nyelvŇĪ kibercsapdává, amelynek ismert nevei a Snake, az Uroburos, a Venomous Bear, és a Krypton. 

 

 

A „Szekrény-minták”

Thomas Rid tavaly – a londoni Kings College-tól, miközben kutatásokat végzett a Rise of the Machines címŇĪ könyvéhez – találkozott egy olyan egykori rendszergazdával, akinek szerverét feltörték a Moonlight Maze támadó proxy szerverei. Ezt a szervert („HRTest”) használták volna az Egyesült Államok elleni támadások indítására. A mára visszavonult informatikai szakember megtartotta az eredeti szervert valamint másolatokat és minden adatot a támadásokról és nagyvonalúan a Kings College és a Kaspersky Lab rendelkezésére bocsátotta további elemzések céljából.

 

A Kaspersky Lab kutatói, Juan Andres Guerrero-Saade és Costin Raiu közösen Thomas Rid és Danny Moore szakemberekkel a Kings College-tól kilenc hónapon keresztül részletesen elemezték ezeket a mintákat. Rekonstruálták a támadók mŇĪveleteit, a támadás során használt eszközöket és technikákat, és ezzel párhuzamosan vizsgálták a Turla-t, hogy bizonyítani tudják a kapcsolódást.

 

A Moonlight Maze egy nyílt forráskódú Unix-alapú támadás célzottan Solaris-rendszerek ellen. A vizsgálat eredményei azt mutatják, hogy egy LOKI2 programon (1996-ban megjelent program, amely lehetŇĎvé tette a felhasználók számára az adatok kicsomagolását rejtett csatornákon keresztül) alapuló backdoor-t használt. Ez sarkallta a kutatókat arra, hogy összevessék a Turla által használt néhány ritka Linux-mintákkal, amelyeket 2014-ben detektált a Kaspersky Lab. Ezeknek a mintáknak a gyŇĪjtŇĎneve Penquin Turla és szintén LOKI2 programon alapulnak, továbbá, mindegyik használt kódot 1999-2004 között hozták létre.

 

Figyelemre méltó, hogy ezt a kódot még mindig használják támadások folyamán. 2011-ben észlelték az azonosságot, amikor a svájci RUAG cég elleni támadás során olyan kártékony programot használtak, amely a Turla-családhoz tartozik. Idén márciusban a Kaspersky Lab kutatói egy új mintát felfedeztek fel a Penquin Turla backdoor-jában egy németországi rendszerben.  Lehetséges, hogy a Turla a régi kódot használja az olyan kiemelt biztonsággal rendelkezŇĎ rendszerek ellen, amelyeket nehezebb feltörni, mivel több alapértelmezett Windows eszközkészletet használnak.

 

„A ’90-es évek végén senki sem látta elŇĎre egy szervezett kiberkémkedŇĎ kampány hatását és következményeit. Meg kell értenünk, hogy miért képesek a támadók sikeresen használni ŇĎsi kódokat modern rendszerek ellen. A Moonlight Maze-minták elemzése nemcsak izgalmas régészeti tanulmány, hanem egy lecke is, amely emlékeztet, hogy megfelelŇĎ forrásokkal a kiberbŇĪnözŇĎk nyomon követhetŇĎek, és rajtunk múlik, hogy megvédjük a rendszereinket.” - mondta Juan Andres Guerrero-Saade, a Kaspersky Lab „Global Research and Analysis” részleg senior biztonsági kutatója.  

 

A most elŇĎkerült Moonlight Maze fájlok számos érdekes részletet mutatnak arról, hogyan végezték a támadásokat komplex proxy-hálózattal, valamint a támadók magas szintŇĪ szakmai tudását és eszközeit.  BŇĎvebb információt a támadás-sorozatról és egyéb technikai részleteket ezen a linken talál. 

  

A Kaspersky Lab termékei eredményesen észlelték és blokkolták a Moonlight Maze és a Penquin Turla által használt rosszindulatú programokat. 

 

BŇĎvebb információ a legújabb kibercsapdákról a Kaspersky Lab APT Intelligence ügyfelei számára ezen a linken érhetŇĎ el. 

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció