up_icon
Internet Misc

Moonlight Maze: Μία 20ετής επίθεση που παραμένει ακόμα επίκαιρη [Video]

04 Απριλίου 2017 Yannis Elpidis

Moonlight Maze: Μία 20ετής επίθεση που παραμένει ακόμα επίκαιρη [Video]

Οι Moonlight Maze επιθέσεις ψηφιακής κατασκοπείας ταρακούνησαν τις ΗΠΑ στα τέλη της δεκαετίας του 1990 - δύο δεκαετίες αργότερα, οι ερευνητές αποκαλύπτουν τα πρωτότυπα εργαλεία της επίθεσης και βρίσκουν σύνδεση με σύγχρονη επίθεση τύπου APT.

Οι ερευνητές της Kaspersky Lab και του Πανεπιστημίου King's College του Λονδίνου, αναζητώντας πώς συνδέεται ένας σύγχρονος απειλητικός φορέας με τις επιθέσεις Moonlight Maze που είχαν στόχο το Πεντάγωνο, τη NASA και άλλους οργανισμούς στα τέλη της δεκαετίας του ’90, έφεραν στο φως δείγματα, αρχεία καταγραφής και αντικείμενα που ανήκουν στην «αρχαία» επίθεση τύπου APT. Τα ευρήματα δείχνουν ότι ένα backdoor που χρησιμοποιούνταν το 1998 από το Moonlight Maze για τη διοχέτευση πληροφοριών εκτός του δικτύου των θυμάτων συνδέεται με ένα backdoor που χρησιμοποιήθηκε από τον Turla το 2011 και, ενδεχομένως, και μέχρι το 2017. Αν η σχέση μεταξύ Turla και Moonlight Maze αποδειχθεί, θα τοποθετήσει τον εξελιγμένο απειλητικό φορέα μαζί με τον φορέα Equation Group αναφορικά με τη μακροβιότητά του, καθώς μερικοί από τους command-and-control servers του Equation χρονολογούνται από το 1996.

Σύγχρονες εκθέσεις για το Moonlight Maze δείχνουν ότι, ξεκινώντας από το 1996, στρατιωτικά και κυβερνητικά δίκτυα των ΗΠΑ, καθώς και πανεπιστήμια, ερευνητικά ιδρύματα και ακόμη και το Υπουργείο Ενέργειας ξεκίνησαν να εντοπίζουν παραβιάσεις στα συστήματά τους. Το 1998, το FBI και το Υπουργείο Άμυνας ξεκίνησαν μια τεράστια έρευνα. Η ιστορία είδε το φως της δημοσιότητας το 1999, αλλά πολλά από τα στοιχεία παρέμειναν απόρρητα, διατηρώντας άκρα μυστικότητα και αφήνοντας τις λεπτομέρειες για το Moonlight Maze να αποτελούν μύθο.

Με την πάροδο των χρόνων, αρχικοί ερευνητές σε τρεις διαφορετικές χώρες έχουν δηλώσει ότι το Moonlight Maze εξελίχθηκε στον Turla, ένα ρωσόφωνο απειλητικό φορέα γνωστό και ως Snake, Uroburos, Venomous Bear, και Krypton. Ο Turla θεωρείται συμβατικά ότι είναι ενεργός από το 2007.

Τα «ξεχασμένα» δείγματα 

Το 2016, ο Thomas Rid από το Πανεπιστήμιο Kings College του Λονδίνου, ενώ βρισκόταν σε έρευνα για το βιβλίο του «Η Άνοδος των Μηχανών», εντόπισε έναν πρώην διαχειριστή συστήματος του οποίου ο υπηρεσιακός server είχε καταληφθεί ως proxy από τους επιτιθέμενους του Moonlight Maze. Αυτός ο server, με το όνομα «HRTest», είχε χρησιμοποιηθεί για να εξαπολύσει επιθέσεις στις ΗΠΑ. Ο πλέον συνταξιούχος επαγγελματίας του τομέα της Πληροφορικής είχε κρατήσει τον αρχικό server και αντίγραφα από οτιδήποτε αφορούσε τις επιθέσεις, τα οποία και έδωσε στο πανεπιστήμιο Kings College και στην Kaspersky Lab για περαιτέρω ανάλυση.

Οι ερευνητές της Kaspersky Lab, Juan Andres Guerrero-Saade και Costin Raiu, μαζί με τους Thomas Rid και Danny Moore από το πανεπιστήμιο Kings College, πέρασαν εννιά μήνες πραγματοποιώντας μια λεπτομερή τεχνική ανάλυση αυτών των δειγμάτων. Ανακατασκεύασαν τις λειτουργίες, τα εργαλεία και τις τεχνικές των επιτιθέμενων και διεξήγαγαν μια παράλληλη έρευνα για να δουν αν θα μπορούσαν να αποδείξουν τη σύνδεση που υποστηρίζεται ότι υπάρχει με τον Turla.

Το Moonlight Maze ήταν μία ανοικτού κώδικα, Unix-based επίθεση με στόχο τα συστήματα Solaris, με τα ευρήματα να δείχνουν ότι πιθανώς χρησιμοποιούσε ένα κενό ασφαλείας που υπήρχε στο LOKI2 (ένα πρόγραμμα που κυκλοφόρησε το 1996 και έδινε τη δυνατότητα στους χρήστες να εξάγουν δεδομένα από συγκαλυμμένα κανάλια). Αυτό οδήγησε τους ερευνητές στο να έχουν τη δυνατότητα για μία δεύτερη ματιά σε κάποια σπάνια δείγματα Linux που χρησιμοποιήθηκαν από τον Turla, τα οποία είχε ανακαλύψει η Kaspersky Lab το 2014. Με την ονομασία Penquin Turla, τα συγκεκριμένα δείγματα βασίζονται επίσης στο LOKI2. Ακόμη, η επανεξέταση έδειξε ότι όλοι τους χρησιμοποιούσαν κώδικα που δημιουργήθηκε μεταξύ 1999 και 2004.

Είναι αξιοσημείωτο ότι αυτός ο κώδικας χρησιμοποιείται ακόμα και σήμερα σε επιθέσεις. Εντοπίστηκε ελεύθερος στο Διαδίκτυο το 2011, όπου πραγματοποιούσε επίθεση στην ελβετική αμυντική εταιρεία Ruag, μία επίθεση που αποδίδεται στον Turla. Έπειτα, το Μάρτιο του 2017, οι ερευνητές της Kaspersky Lab ανακάλυψαν ένα νέο δείγμα του backdoor Penquin Turla σε ένα σύστημα στη Γερμανία. Είναι πιθανό ότι ο Turla χρησιμοποιεί τον παλιό κώδικα για επιθέσεις σε υψηλής ασφάλειας οργανισμούς, καθώς ενδέχεται να είναι δυσκολότερο να παραβιαστούν χρησιμοποιώντας τα περισσότερο τυπικά εργαλεία των Windows.

Όπως δήλωσε ο Juan Andres Guerrero-Saade, Ερευνητής Ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab,

"Στα τέλη της δεκαετίας του 1990, κανείς δεν προέβλεψε την εμβέλεια και την επιμονή μιας συντονισμένης εκστρατείας ψηφιακής κατασκοπείας. Πρέπει να αναρωτηθούμε γιατί οι επιτιθέμενοι είναι ακόμη σε θέση να αξιοποιούν με επιτυχία «αρχαίο» κώδικα για σύγχρονες επιθέσεις. Η ανάλυση των δειγμάτων του Moonlight Maze δεν είναι απλά μια συναρπαστική αρχαιολογική μελέτη. Είναι επίσης μια υπενθύμιση ότι οι αντίπαλοι με καλές πηγές δεν πρόκειται να πάνε πουθενά. Είναι στο χέρι μας να υπερασπιστούμε τα συστήματα αναπτύσσοντας τις κατάλληλες δεξιότητες"

Τα αρχεία του Moonlight Maze που ήρθαν πρόσφατα στο φως αποκαλύψαν πολλές συναρπαστικές λεπτομέρειες σχετικά με το πώς πραγματοποιήθηκαν οι επιθέσεις χρησιμοποιώντας ένα πολύπλοκο δίκτυο proxies, και το υψηλό επίπεδο των δεξιοτήτων και των εργαλείων που χρησιμοποιούνταν από τους επιτιθέμενους.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Από το iPod στο streaming: Συμβουλές για ασφαλή χρήση στη νέα εποχή

17 Μαΐου 2022 Techgear Team

Πρόσφατα η Apple ανακοίνωσε ότι σταμάτησε την κατασκευή του iPod. Η εταιρεία θα πουλήσει τα αποθέματα του iPod Touch, σηματοδοτώντας το τέλος εποχής για το iPod και την «προσωπική μουσική». Τα τελευταία χρόνια ...

Google: Απαγορεύει τα downloads και τις αναβαθμίσεις των επί πληρωμή εφαρμογών στη Ρωσία

10 Μαΐου 2022 Christos Elpidis

Δυσκολεύει ακόμη περισσότερο η «ψηφιακή» καθημερινότητα για εκατομμύρια χρήστες που ζουν στη Ρωσία, καθώς η Google ανακοίνωσε νέα μέτρα σχετικά με τη διανομή των εφαρμογών και των αναβαθμίσεων τους μέσα από το ...

Twitter Article: Δοκιμές για δημοσίευση long-form κειμένων στο Twitter

09 Μαΐου 2022 Christos Elpidis

Εν μέσω των υποσχέσεων που ξεκίνησε να μοιράζει ο Elon Musk στους υπόλοιπους μετόχους της Twitter (σ.σ. κάνει λόγο για τετραπλασιασμό του αριθμού των χρηστών μέσα στα επόμενα χρόνια), η γνωστή ερευνήτρια Jane ...

Apple, Google και Microsoft υπόσχονται ένα μέλλον χωρίς passwords από το 2023

06 Μαΐου 2022 Christos Elpidis

Με αφορμή την Παγκόσμιο Ημέρα Password (World Password Day), οι Google, Apple και Microsoft ανακοίνωσαν από κοινού ότι συμπράττουν για ένα μέλλον χωρίς passwords στις πλατφόρμες τους. Αυτό σημαίνει πως σχετικά ...

TikTok Pulse: Το νέο πρόγραμμα ανταμοιβής των δημιουργών περιεχομένου

05 Μαΐου 2022 Christos Elpidis

Η ByteDance δημιουργεί νέους τρόπους εξοικονόμησης χρημάτων για τους δημιουργούς περιεχομένου στην δημοφιλή πλατφόρμα TikTok, με την εταιρεία να ανακοινώνει πως σκοπεύει να μοιράσει τα κέρδη των διαφημίσεων που...

Google: Αφαίρεσε πάνω από 3.4 δισ. κακόβουλων διαφημίσεων το 2021

05 Μαΐου 2022 Techgear Team

Όταν λαμβάνουμε αποφάσεις που αφορούν σε διαφημίσεις και πληρωμένο περιεχόμενο στις πλατφόρμες μας, η ασφάλεια των χρηστών αποτελεί κορυφαία προτεραιότητά για εμάς. Στην πραγματικότητα, χιλιάδες άνθρωποι της ...

Samsung Internet 17.0: Διαθέσιμη η νέα έκδοση του mobile web browser

04 Μαΐου 2022 Techgear Team

Η Samsung κυκλοφόρησε επίσημα σήμερα το Samsung Internet 17.0, μια νέα αναβάθμιση του προγράμματος περιήγησης της Samsung που εισάγει λειτουργίες απορρήτου και ασφάλειας με επίκεντρο τον χρήστη. Η τελευταία ...

Mozilla Firefox 100: Διαθέσιμη η επετειακή έκδοση με νέα χαρακτηριστικά

03 Μαΐου 2022 Christos Elpidis

Έφτασε και η ώρα για τη Mozilla να λανσάρει την τελική επετειακή έκδοση του Firefox browser, καθώς εδώ και λίγη ώρα είναι διαθέσιμος ο Firefox 100 για όλες τις πλατφόρμες και φέρνει ορισμένα χρήσιμα νέα ...

Microsoft Edge: Ενσωμάτωση υπηρεσίας VPN στον web browser

28 Απριλίου 2022 Christos Elpidis

Η Microsoft συνεχίζει τις προσπάθειες βελτίωσης του Edge browser με την προσθήκη νέων λειτουργιών που θα τον διαφοροποιήσουν από τον μεγάλο αντίπαλο, το Google Chrome, παρά το γεγονός ότι βασίζεται στην ίδια ...

Google: Αφαίρεση προσωπικών δεδομένων χρηστών από τη μηχανή αναζήτησης

28 Απριλίου 2022 Christos Elpidis

Το περίφημο «δικαίωμα στη λήθη» που προσφέρει η Google στους χρήστες σχετικά με την εμφάνιση τους στα αποτελέσματα αναζήτησης επεκτείνεται πλέον σε περισσότερους τομείς. Η εταιρεία ανακοίνωσε μέσω της ...

Loader
techgear_icon