Hlavní navigace

Falešný web bojovníků za svobodu internetu šířil malware, zřejmě z Ruska

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 3. 9. 2015

Více než tři týdny byl funkční web vydávající se za EFF a šířící malware velmi pravděpodobně ruského původu a mající jasný cíl.

EFF, tedy Electronic Frontier Foundation, najdete na www.eff.org a je to jedna z organizací, která velmi bedlivě sleduje a řeší svobody internetu a jeho uživatelů. Nejenom proto se stala cílem útočné kampaně, kterou ti, kteří ji objevili, spojují přímo s ruskou vládou a snahou nakazit malwarem počítače lidí, kteří by pro ně mohli být užitečným cílem. Samozřejmě malwarem, který bude získávat hesla, data a odposlouchávat.

Posloužit k tomu měl web na www.electronicfrontierfoundation.org, který se vydával za skutečnou EFF a cíleně napadal počítače návštěvníků. Podle Trend Micro se útočná kampaň pojmenovaná Pawn Storm rozeběhla už někdy v říjnu loňského roku. Cílem byla americká armáda, ambasády, dodavatelé pro obranu, ale také ruští disidenti a mezinárodní mediální organizace.

Ještě máte v počítači Javu? Divný nápad

Minulý měsíc kampaň nasadila těžší kalibr, 0day zranitelnost v Java pluginu od Oraclu (ještě stále máte v počítači zbytečnou Javu?) a podle informací od EFF bylo tímto způsobem možné napadnout Windows, MAC i Linux. 

Ve Windows případné napadení vede k instalaci keyloggeru a dalších modulů umožňujících získávat z počítače informace. K potenciální oběti se dostává e-mailem (klasický „spear-phishing“ mechanismus) s unikátní adresou, která vede k přesměrování na další unikátní adresu pokoušející se o zneužití zranitelnosti. Pokud se to povede, unikátní adresy přestávají fungovat, takže je obtížné později zjistit, co/kde se dělo.

Falešný web fungoval ještě minulý týden, než se podařilo ho zrušit a následně přesměrovat přímo na eff.org. 0day zranitelnost v Javě byla sice Oraclem opravena několik dní poté, co se na ni přišlo, ale jak víme, aktualizace něčeho jako Java je uživateli silně podceňovaná a zanedbávaná.

Pořád máte Flash?

Trend Micro uvádí, že Operation Pawn Storm původně používali spear-phishingové maily přímo s přílohami, využití webů se objevilo až v dalších fázích a electronicfrontierfoundation.org není jediným zneužitým webem, byla jich celá řada. Většinou ale útočníci využívali stejný mechanismus, buď překlep nebo nějakou variantu originálního webu. V jedné z dalších kampaní útočníci používali škodlivý kód přes IFRAME vsouvaný do, například, polských vládních webů.

MIF16

Instalovaný malware jménem Sednit je zajímavý i tím, že jeho autoři velmi rychle přidali do útočného arzenálu kód získaný z úniku po hacku Hacking Team. Jedním z dalších útočných mechanismů byla i 0day zranitelnost ve Flashi (CVE-2015–5119) opravená 8. července – nasaditelná a zneužitelná nejen ve většině prohlížečů, ale také prostřednictvím Microsoft Office dokumentů. 

Proto i zde, stejně jako u Javy, platí, že pokud zcela bezpodmínečně nutně nepotřebujete v počítači Flash, tak je nejlepší ho kompletně odstranit.

Našli jste v článku chybu?
Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi