Hlavní navigace

Falešný web bojovníků za svobodu internetu šířil malware, zřejmě z Ruska

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal

Více než tři týdny byl funkční web vydávající se za EFF a šířící malware velmi pravděpodobně ruského původu a mající jasný cíl.

EFF, tedy Electronic Frontier Foundation, najdete na www.eff.org a je to jedna z organizací, která velmi bedlivě sleduje a řeší svobody internetu a jeho uživatelů. Nejenom proto se stala cílem útočné kampaně, kterou ti, kteří ji objevili, spojují přímo s ruskou vládou a snahou nakazit malwarem počítače lidí, kteří by pro ně mohli být užitečným cílem. Samozřejmě malwarem, který bude získávat hesla, data a odposlouchávat.

Posloužit k tomu měl web na www.electronicfrontierfoundation.org, který se vydával za skutečnou EFF a cíleně napadal počítače návštěvníků. Podle Trend Micro se útočná kampaň pojmenovaná Pawn Storm rozeběhla už někdy v říjnu loňského roku. Cílem byla americká armáda, ambasády, dodavatelé pro obranu, ale také ruští disidenti a mezinárodní mediální organizace.

Ještě máte v počítači Javu? Divný nápad

Minulý měsíc kampaň nasadila těžší kalibr, 0day zranitelnost v Java pluginu od Oraclu (ještě stále máte v počítači zbytečnou Javu?) a podle informací od EFF bylo tímto způsobem možné napadnout Windows, MAC i Linux. 

Ve Windows případné napadení vede k instalaci keyloggeru a dalších modulů umožňujících získávat z počítače informace. K potenciální oběti se dostává e-mailem (klasický „spear-phishing“ mechanismus) s unikátní adresou, která vede k přesměrování na další unikátní adresu pokoušející se o zneužití zranitelnosti. Pokud se to povede, unikátní adresy přestávají fungovat, takže je obtížné později zjistit, co/kde se dělo.

Falešný web fungoval ještě minulý týden, než se podařilo ho zrušit a následně přesměrovat přímo na eff.org. 0day zranitelnost v Javě byla sice Oraclem opravena několik dní poté, co se na ni přišlo, ale jak víme, aktualizace něčeho jako Java je uživateli silně podceňovaná a zanedbávaná.

Pořád máte Flash?

Trend Micro uvádí, že Operation Pawn Storm původně používali spear-phishingové maily přímo s přílohami, využití webů se objevilo až v dalších fázích a electronicfrontierfoundation.org není jediným zneužitým webem, byla jich celá řada. Většinou ale útočníci využívali stejný mechanismus, buď překlep nebo nějakou variantu originálního webu. V jedné z dalších kampaní útočníci používali škodlivý kód přes IFRAME vsouvaný do, například, polských vládních webů.

Instalovaný malware jménem Sednit je zajímavý i tím, že jeho autoři velmi rychle přidali do útočného arzenálu kód získaný z úniku po hacku Hacking Team. Jedním z dalších útočných mechanismů byla i 0day zranitelnost ve Flashi (CVE-2015–5119) opravená 8. července – nasaditelná a zneužitelná nejen ve většině prohlížečů, ale také prostřednictvím Microsoft Office dokumentů. 

Proto i zde, stejně jako u Javy, platí, že pokud zcela bezpodmínečně nutně nepotřebujete v počítači Flash, tak je nejlepší ho kompletně odstranit.

Našli jste v článku chybu?

3. 9. 2015 22:13

lol (neregistrovaný)

z ruska nikdy nic dobre neprislo

3. 9. 2015 10:47

Tomas3 (neregistrovaný)

Na zaklade ceho je tato operace pricitana rusum?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Cena stejného léku se liší i o tisíce

Cena stejného léku se liší i o tisíce

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček