Китайские хакеры стоят за атаками на RSA Security

image

Теги: RSA, взлом, SecureWorks, Китай

Ошибка в программном обеспечении, которое использовалось хакерами для сокрытия источника атак, позволила специалистам из Dell SecureWorks выявить IP адреса, с которых производилась атака.

Обычное сообщение об ошибке, возвращаемое сервером, к которому пытался подключиться образец вредоносного ПО, позволило специалистам выявить источник атаки на компанию RSA Security. Об этом заявил Джо Стюарт (Joe Stewart), начальник отдела исследования вредоносного ПО в Dell SecureWorks. Напомним, что в марте этого года была осуществлена атака на сервера компании RSA Security. Неизвестные злоумышленники похитили секретную информацию, используя уязвимость нулевого дня в Adobe Flash Player. Среди похищенной информации, как признали в компании RSA Security, были сведения о новейших решениях для двухфакторной аутентификации.

Несмотря на то, что сообщение было урезано, экспертам получилось определить программное обеспечение, используемое хакерами для сокрытия своих IP адресов. Этим ПО оказалась "HTran" – очень старая утилита для обфускации адресов источника и назначения атак путем перенаправления TCP трафика на альтернативные хосты.

Само сообщение об ошибке возникает из-за ошибки программирования, которую допустил создатель утилиты – китайский хакер под псевдонимом "Lion".

Исследователям удалось выявить IP адреса, с которых происходила координация атаки с помощью образца вредоносного ПО, используемого в атаке на RSA. В этом конкретном случае получилось выявить доменные имена, которые получилось связать с различными троянскими приложениями. Практически все сервера находятся на территории Китая.

«Ничего удивительного, что хакеры, которые используют китайское хакерское ПО, могли осуществлять атаки с IP адресов в КНР», - сказал Стюарт - «Большинство китайских IP адресов назначения принадлежат крупных Интернет-провайдерам, что делает дальнейшее расследование хакерской атаки очень сложным или совсем невозможным без содействия со стороны китайских властей».

Полная версия исследования доступна по адресу: http://www.secureworks.com/research/threats/htran/

или введите имя

CAPTCHA
прохожий
05-08-2011 09:23:48
все равно парадоксально улыбноло )
0 |