Kínai kiberkémek a légiközlekedésben és az egészségügyben

forrás: Prím Online, 2015. augusztus 28. 15:35

Az év elején nagyszabású kibertámadás áldozatává vált Amerika második legnagyobb egészségbiztosítási szolgáltatója, amelynek során 80 millió ügyfél adatai kerültek illetéktelen kezekbe. A Symantec szakértői szerint a támadást egy komoly forrásokkal rendelkező kiberkémkedéssel foglalkozó csoport, a Black Vine követte el. A Symantec elemzése azt mutatja, hogy a feltehetően kínai háttérrel rendelkező Black Vine csoport már közel három éve támad egészségügyi, űripari és légi közlekedéssel foglalkozó vállalatokat világszerte.

A csoport leginkább zero-day típusú támadásokat alkalmaz a Symantec által azonosított – és más csoportok által is használt – Elderwood rendszeren keresztül. A Black Vine olyan legitim weboldalakat fertőz meg támadásai során, amelyek érdekesek lehetnek a célszemélyek számára, illetve watering-hole támadások keretében technológiai témájú adathalász e-mailek segítségével próbálják a feltört weboldalakra irányítani a felhasználókat. A sikeres támadások esetében a Black Vine egyedileg fejlesztett rosszindulatú programjai távoli hozzáférést biztosítanak a felhasználó számítógépéhez. A Hurix és a Sakurel (mindkettő Trojan.Sakurel néven ismerhető fel), valamint a Mivast (Backdoor.Mivast néven ismerhető fel) kártevők egy hátsó ajtó (backdoor) nyitásával segítik az értékes adatok ellopását az áldozatok számítógépeiről. A programok ezen kívül fájlok létrehozását és parancsok végrehajtását, illetve a regisztrációs kulcsok törlését, módosítását és létrehozását is lehetővé teszik.

 



Az IP-címek elemzése során a Symantec szakemberei számos országban azonosították a Black Vine csoport áldozatait. Ezek közül kiemelkedik az Egyesült Államok, amelyet Kína, Kanada és India követ. A csoport európai vállalatok ellen is intézett támadásokat, leginkább Olaszországban és Dániában.

A Black Vine által leginkább támadott iparágak:

·    Repülés
·    Egészségügy
·    Energiaipar (főként gáz és villamos turbinagyártók)
·    Katonai és védelmi ipar
·    Pénzügy
·    Mezőgazdaság
·    Technológia

A Black Vine egy félelmetes, komoly forrásokkal rendelkező csoport, amely minden szükséges felszereléssel rendelkezik a kibertámadások, ipari kémkedések sikeres végrehajtásához. Egy blogbejegyzés szerint az amerikai egészségbiztosító elleni támadáshoz használt infrastruktúra nagy valószínűséggel kínai eredetű. A támadások és a szabadon hozzáférhető adatok elemzése során a Symantec szakemberei kapcsolatot találtak a Black Vine és egy pekingi IT biztonsági szervezet, a Topsec között. A gyanút erősíti, hogy a csoport más kiberkémkedéssel összefüggésbe hozható szereplővel is kapcsolatban áll, erős anyagi háttérrel rendelkezik, jól szervezett, és legalább néhány tagjának volt vagy jelenleg is van valamilyen kapcsolata a Topsec szervezettel.