Dokázat dobře cílit útok je většinou k nezaplacení, zejména pokud chcete proniknout někam, kam je poměrně obtížné se dostat. Výrazně v tom může pomoci to, že dnes lidé zevnitř firem chodí „ven“ na internet. Takže pokud se útočníkům podaří získat přístup k nějakým webům navštěvovaným jejich kýženou cílovou skupinou, mohou být hodně spokojení.
Několik dní na rozmezí listopadu a prosince sloužil americký www.forbes.com k velmi dobře cíleným útokům – prostřednictvím 0day zranitelnosti ve Flashi a zneužitelné chyby v Internet Exploreru. Útočníkům se také podařilo web hacknout. Nic netušící návštěvníky pak testoval útočný skript. Podle analýz byl hlavním cílem útoků kdokoliv z kontraktorů v rámci amerického ministerstva obrany, ale také finanční instituce. Nakonec je to logické, právě takové návštěvníky můžete na Forbes.com očekávat.
Nejparadoxnější na celém útoku bylo, že hacknuta byla asi nejvíce kritizovaná (a také zcela zbytečná) funkčnost na webu – Myšlenka dne (Thought of the Day), která je nejenom pozůstatkem minulého století, ale také ukázkou toho, jak těžce se mění zvyky příliš zabydlené v něčích myslích.
Právě na tuto stránku totiž útočníci umístili kód testující Flash na výskyt chyby. Pokud byl test pozitivní, následoval další útočný skript, využívající 0day zranitelnost v Internet Exploreru. Ta právě pomocí Flashe umožnila zaútočit na počítač. Jak píší v analýzách, celé tohle trvalo okolo sedmi sekund.
Hackeři z Číny
Cílem měli být skutečně jenom návštěvníci umožňující proniknout do prostředí kontraktorů ministerstva obrany USA a servisních firem v oblasti finančnictví. Chyba ve Flashi (CVE-2014–9163) přitom byla opravená na začátku prosince, chyba v Internet Exploreru (CVE-2015–0071) ale mnohem později (10. února 2015). K samotnému zneužití Forbes.com došlo na konci listopadu a trvalo jenom několik dní.
Když útok uspěl, dostal se útočník do počítače oběti a odtamtud se pokoušel pokračovat dál – do interních sítí firmy, na kterou ve skutečnosti cílil. Předpokládá se, že samotný útok byl dílem čínské skupiny jménem Codoso (někde též Sunshop Group), známé i z řady předchozích útoků na americké vládní, vojenské i další cíle.
Na útočící Forbes.com přišly systémy pro detekci napadení – jak uvádí Invincea.com, šlo například i o jejich systém. Analytici poté odhalili, že hackeři napadli Thought of the Day na Forbes.com, což je nejenom otravná a zbytečná věc, ale z nepochopitelných důvodů je to také flashový widget.
Všechno, co jde zjistit
Podstatné pro útok bylo samozřejmě i využití již zmíněné 0day zranitelnosti v IE, kde je zajímavé to, že šlo o IE9+ a nižší verze jsou tímto způsobem napadnutelné přímo, bez nutnosti využít zranitelnost.
Už zmíněná Invincea.com v analýze uvádí poměrně dost detailů o tom, jak útok fungoval – po využití 0day zranitelnosti se na napadený počítač dostává potřebný škodlivý kód (v podobě dll souborů), který zjišťuje vše, co může zjistit o systému (využívá přitom zcela běžně dostupné systeminfo.exe), síťové konfiguraci (s využitím klasického ipconfig /all) i běžících programech (tasklist /v).
Vpašovaný software se pak stává součástí botnetové aktivity, ovládané řídícími počítači, a umožňuje vykonávat další činnosti. To celé prakticky bez jakékoliv šance, aby to napadený poznal. Pokud vás zajímají další informace k tomuto případu, zkuste ještě iSightPartners a článek na blogu.
