Китайские хакеры стоят за атаками на RSA Security
Китайские хакеры стоят за атаками на RSA Security
Alexander Antipov
Ошибка в программном обеспечении, которое использовалось хакерами для сокрытия источника атак, позволила специалистам из Dell SecureWorks выявить IP адреса, с которых производилась атака.
Обычное сообщение об ошибке, возвращаемое сервером, к которому пытался подключиться образец вредоносного ПО, позволило специалистам выявить источник атаки на компанию RSA Security. Об этом заявил Джо Стюарт (Joe Stewart), начальник отдела исследования вредоносного ПО в Dell SecureWorks. Напомним, что в марте этого года была осуществлена атака на сервера компании RSA Security. Неизвестные злоумышленники похитили секретную информацию, используя уязвимость нулевого дня в Adobe Flash Player. Среди похищенной информации, как признали в компании RSA Security, были сведения о новейших решениях для двухфакторной аутентификации.
Несмотря на то, что сообщение было урезано, экспертам получилось определить программное обеспечение, используемое хакерами для сокрытия своих IP адресов. Этим ПО оказалась "HTran" – очень старая утилита для обфускации адресов источника и назначения атак путем перенаправления TCP трафика на альтернативные хосты.
Само сообщение об ошибке возникает из-за ошибки программирования, которую допустил создатель утилиты – китайский хакер под псевдонимом "Lion".
Исследователям удалось выявить IP адреса, с которых происходила координация атаки с помощью образца вредоносного ПО, используемого в атаке на RSA. В этом конкретном случае получилось выявить доменные имена, которые получилось связать с различными троянскими приложениями. Практически все сервера находятся на территории Китая.
«Ничего удивительного, что хакеры, которые используют китайское хакерское ПО, могли осуществлять атаки с IP адресов в КНР», - сказал Стюарт - «Большинство китайских IP адресов назначения принадлежат крупных Интернет-провайдерам, что делает дальнейшее расследование хакерской атаки очень сложным или совсем невозможным без содействия со стороны китайских властей».
Полная версия исследования доступна по адресу: http://www.secureworks.com/research/threats/htran/
Несмотря на то, что сообщение было урезано, экспертам получилось определить программное обеспечение, используемое хакерами для сокрытия своих IP адресов. Этим ПО оказалась "HTran" – очень старая утилита для обфускации адресов источника и назначения атак путем перенаправления TCP трафика на альтернативные хосты.
Само сообщение об ошибке возникает из-за ошибки программирования, которую допустил создатель утилиты – китайский хакер под псевдонимом "Lion".
Исследователям удалось выявить IP адреса, с которых происходила координация атаки с помощью образца вредоносного ПО, используемого в атаке на RSA. В этом конкретном случае получилось выявить доменные имена, которые получилось связать с различными троянскими приложениями. Практически все сервера находятся на территории Китая.
«Ничего удивительного, что хакеры, которые используют китайское хакерское ПО, могли осуществлять атаки с IP адресов в КНР», - сказал Стюарт - «Большинство китайских IP адресов назначения принадлежат крупных Интернет-провайдерам, что делает дальнейшее расследование хакерской атаки очень сложным или совсем невозможным без содействия со стороны китайских властей».
Полная версия исследования доступна по адресу: http://www.secureworks.com/research/threats/htran/
Устали от того, что Интернет знает о вас все?