Kaspersky informuje na svém blogu o havěti, která útočí na vládní instituce v různých zemích a údajně i na vládní instituce v České republice a slouží ke kybernetické špionáži.

Jak už je zvykem, havěť hraje na „city“ a tak používá metodu sociálního inženýrství a snaží se příjemce přesvědčit o důležitosti PDF souboru v příloze podvodného e-mailu (například s tématikou „Ukraine’s NATO  Membership Action Plan Debates“). Příjemci jsou přitom právě vládní instituce. Pokud se jí to podaří a uživatel naletí a PDF soubor otevře, zneužije havěť „čerstvou“ bezpečnostní chyba v Adobe Acrobat Readeru (vedenou jako CVE-2013-0640). To pak vede k tomu, že se havěť v počítači spustí zcela automaticky bez jakéhokoliv zásahu uživatele.

V tomto případě dojde ke stažení pouhých 20 kB kódu, který byl napsán v assembleru. Přitom se jedná rovnou o komplexní backdoor, tedy aplikaci, díky které může útočník získat plnou kontrolu nad zavirovaným počítačem a vykrádat z něho citlivé informace (tj. kybernetická špionáž). Trochu více technická informace: backdoor neobsahuje žádné importy funkcí. Volá je dynamicky přímo z paměti, což je taktéž hodně netypické pro dnešní dobu.

Kdo by věřil, že kromě obrázku se v souboru "zašívá" i havěť?

Kdo by věřil, že kromě obrázku se v souboru „zašívá“ i havěť? Zdroj: Kaspersky.com

U backdooru došlo i na „hračičky“ typické hlavně v minulosti. Backdoor se totiž z Internetu stahuje v podobě grafického GIF souboru, který opravdu obrázek obsahuje, ale též je v něm navíc 20 kB nesouvisejícího kódu, ze kterého se vyklube právě zmiňovaná havěť typu backdoor.

Zajímavostí je využití služby Twitter jako komunikačního kanálu pro získávání dalších instrukcí/rozkazů pro jmenovanou havěť (alternativně výsledky z Google Search). Trochu to připomíná starší špionážní filmy, kdy byla zakódovaná zpráva součástí nějakého článku v novinách.

Kaspersky se na blogu dále zmiňuje o instrukci „dw 666“, přičemž se může jednat o stopu / vzpomínku na legendární skupinu 29A (=666 po převodu do hexadecimální soustavy), která sdružovala autory havěti z celého světa a patřil sem i „tuzemský“ Benny/29A či Prizzy/29A. Skupina činnost ukončila v roce 2008 a posledním členem byl Virusbuster.

Co říci na závěr. Kromě toho, že útok byl velice profesionální, technické vyhotovení bylo navíc jak ze staré školy. Aby v dnešní době měřila havěť jen 20 kB a byla psaná v assembleru, tak to je opravdu unikát! Pro zajímavost, nejkratší virus napadající soubory měl okolo 20 bajtů. A dnes? Dneska není nic divného, pokud má havěť několik megabajtů a přitom je nevalné kvality. Při pohledu do historie je to navíc úsměvné i z jiného pohledu: ta dnešní havěť by se totiž nevešla ani na několik disket a otázkou je, zda by se vůbec vešla na tehdejší pevný disk 🙂

Více informací: www.securelist.com


3 komentáře » for Nová havěť ze staré školy
  1. Natasya napsal:

    Ale přesto mi to nede1, abych se ještě jednou nevyje1dřil k augmrentům Jana Kome1rka:Cite1t:________“Navrhuji stejně tak odměňovat soudce. Pokud jejich rozsudek nezvre1ted nadředzenfd soud, dostanou odměnu 30.000 Kč ke sve9mu platu. Vyřešedme tedm proble9my nekvalitnedho rozhodove1ned soudů. Stejně tak můžeme soudce odměňovat za to, když předpad vyředded v rozumne9 době.“———A jak je tomu u rozhodčedho ředzened? V delšedm obdobed můžeme očeke1vat (při relativně volne9m vstupu do odvětved), že ekonomicky nejfaspěšnějšed budou ty rozhodčed instituce, ktere9 budou nabedzet nejkvalitnějšed službu „spotřebitelům“, tj. konkre9tně:1) budou schopni rozhodnout přiměřeně rychle, a ze1roveň2) jejich rozhodnuted nebudou te9měř nikdy rušena soudy pro ze1važne1 procesned a jine1 pochybened (srov. 31 ze1kona o rozhodčedm ředzened…).Takove9 rozhodčed instituce si vytvořed dobrou pověst, resp. reputaci coby instituce, ktere9 v přiměřene9 lhůtě vyde1vajed takove1 rozhodnuted, ktere1 lze považovat za spravedlive1. Tudedž k nim budou medt smluvned strany většed důvěru a budou ochotnějšed na ně smluvně přene9st rozhodove1ned o jejich budoucedch majetkovfdch sporech.Snižuje snad fakt, že je ve vlastnedm ekonomicke9m ze1jmů rozhodců rozhodovat pre1vned spory rychle a přiměřeně kvalitně, nějakfdm způsobem jejich more1lned status coby profese?(Zde mluvedm jen o rozhodčedm ředzened mezi podnikateli; obligatorned rozhodčed doložky ve všeobecnfdch smluvnedch podmednke1ch spotřebitelskfdch smluv považuji za velice spornou ze1ležitost (a navedc jsou dost možne1 v rozporu se směrniced o nepřiměřenfdch podmednke1ch ve spotřebitelskfdch smlouve1ch a tudedž by měly bfdt vůči spotřebiteli nefačinne9).Cite1t č. 2________________“Pokud ředke1te, že nepodve1děned v akademicke9 činnosti je jejed podstatou (…) a současně ale musedte akademiky extra platit, aby na dodržove1ned te9to fundamente1lned eticke9 normy dohledželi, zcela tedm podkope1ve1te jejed „fundamente1lnost“.——————-Uvědomte si, že tu nejsou jen dva pf3ly, totiž „zcela důsledně kontroluji původnost studentskfdch praced“ versus „vůbec nekontroluji plagie1torstved“.Je to take9 ote1zka většed či menšed intenzity a důslednosti kontroly. Teoreticky byste mohl veškerou svou pracovned dobu (i volnfd čas) věnovat tomu, že budete kontrolovat z veškerfdch myslitelnfdch zdrojů, zda ne1hodou dane1 pre1ce neobsahuje nějakou — třeba i zcela bezzvfdznamnou — pase1ž, ktere1 je nepřiznanou „vfdpůjčkou“. Troufe1m si ředci, že takove9 počedne1ned nened zrovna „optime1lned“ alokaced vašeho času – ani z vašeho hlediska, ani z hlediska vedened fakulty. Me1-li vedened fakulty pocit, že pedagogove9 sice věnujed jakous takous pozornost ote1zce, zda jde o původned pre1ci nebo o plagie1t, ale považujed za vhodne9, aby věnovali te9to ote1zce ještě většed fasiled, jake9 opatřened majed podle ve1s učinit? Tj. nened to jen ote1zka „plněned akademickfdch povinnosted“ versus „neplněned těchto povinnosted“, nfdbrž pedagogove9 samotned mohou medt zcela legitimně poněkud jinou představu o tom, jake9 fasiled je vhodne9 věnovat te9to kontrole (na fakor jinfdch bohulibfdch akademickfdch povinnosted), než vedened fakulty.

  2. I told my kids we’d play after I found what I needed. Damnit.

  3. Glad I’ve finally found something I agree with!

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.