Lue uutinen mobiilisivustolla

Tuntematonta Word-aukkoa käytetty täsmähyökkäyksissä

19.5.2006 14:07 Kohdennetut hyökkäykset ovat useiden asiantuntijoiden mukaan yleistymään päin, mutta yksityiskohtia yksittäisistä tapauksista päätyy harvoin julkisuuteen. Internet Storm Center julkaisi perjantaina poikkeuksellisen tarkan kuvauksen juuri havaitusta kohdennetusta murtoyrityksestä.

Kuvauksen julkaisseen päivystäjän Swa Frantzenin mukaan ISC analysoi parhaillaan haittaohjelmia, joilla yrityksen järjestelmiin yritettiin murtautua. Hän ei paljastanut kohteena olleen yrityksen nimeä.

Hyökkääjät lähettivät sähköpostiviestejä vain kohdeyrityksen tietyille työntekijöille. Sähköpostit oli naamioitu yrityksen sisäisiksi viesteiksi allekirjoitusta myöten ja osoitettu henkilökohtaisesti kullekin vastaanottajalle.

Exploit siivoaa jälkensä

Viestien liitteenä olleeseen dokumenttiin oli upotettu hyödyntämismenetelmä Wordin tuntemattomalle aukolle. ISC:n mukaan Microsoft on saanut tiedon tapahtuneesta.

Hyökkääjien lähettämän liitetiedoston avaaminen aktivoi exploitin, joka asensi koneeseen haittaohjelman ja korvasi haitallisen dokumentin puhtaalla versiolla.

- Hyödyntämismenetelmä kaataa Wordin, joka ilmoittaa virheestä ja kysyy käyttäjältä, avataanko tiedosto uudestaan. Jos käyttäjä vastaa kyllä, Word avaa puhtaan tiedoston, eikä virheilmoituksia enää tule, kohteena ollut yritys kertoo ISC:lle lähettämässään ilmoituksessa.

Botti urkkii tietoja

ISC:n päivystäjien analyysin perusteella yksi koneeseen asennettava haittaohjelma saattaa olla Rbot-bottiohjelman muunnelma.

Aktivoiduttuaan se yrittää kerätä tietoa muun muassa järjestelmän tietoturvapäivityksistä, virustorjuntaohjelmista ja My Documents -kansion sisällöstä.

ISC:n mukaan yhdenkään virustorjuntayhtiön viruskuvaukset eivät perjantaina aamulla tunnistaneet liitetiedostoa.

- [Kohdennettujen] hyökkäysten havaitseminen on erittäin vaikeaa. Tässä tapauksessa nähtävästi valpas käyttäjä huomasi, että sähköpostissa ollut verkkotunnus ei ollut täysin kunnossa, Franzen kirjoittaa.

Tapausta selvittäneet työntekijät kertovat löytäneensä useita viitteitä siitä, että hyökkäys on lähtöisin kauko-idästä, mahdollisesti Kiinasta tai Taiwanista.

Päivystäjät lupaavat lisätietoa tapauksesta pikaisesti.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Nuori mies hyppäsi mereen Naantalissa ja katosi