Hackerii din China au folosit vulnerabilitati Microsoft pentru a accesa conturile Google

Din momentul in care compania Google a scris despre faptul ca au avut probleme de securitate la sfarsitul lunii decembrie, foarte multe companii de solutii de antivirusi au luat aceasta problema in serios si au inceput diverse investigatii pentru a afla cauzele ce au dus la accesul neautorizat asupra conturilor de la Google.

Firma ce creaza solutii de securitate McAffee, a scos la iveala rezultatele investigatiei interne asupra acestei probleme raportata de Google. Rezultatele lor pot avea cateva raspunsuri la intrebarile noastre.

Se pare ca totul a inceput printr-o vulnerabilitate 0-day ce o are Internet Explorer si care pare a fi podul prin care au rulat aplicatiile malware pe conturile infectate. Microsoft a fost informata asupra exploitului si a raspuns printr-un mesaj in care afirma ca lucreaza la un patch pentru aceasta.

Ei afirma ca atacul a avut tinte clar specificate(a fost foarte bine targetat), cu acces la proprietati intelectuale uriase. Atacurile pareau ca vin dintr-o sursa de incredere si redirectionau victima catre o pagina cu fisiere malware, convingand persoana respectiva sa apese click pe fisiere. In acel moment se executa vulnerabilitatea Internet Explorer si deschidea un backdoor ce permitea atacatorilor sa obtina control total asupra sistemelor compromise.

“As with most targeted attacks, the intruders gained access to an organization by sending a tailored attack to one or a few targeted individuals. We suspect these individuals were targeted because they likely had access to valuable intellectual property. These attacks will look like they come from a trusted source, leading the target to fall for the trap and clicking a link or file. That’s when the exploitation takes place, using the vulnerability in Microsoft’s Internet Explorer.

Once the malware is downloaded and installed, it opens a back door that allows the attacker to perform reconnaissance and gain complete control over the compromised system. The attacker can now identify high value targets and start to siphon off valuable data from the company.”, explica McAffee.

O alta informatie interesanta ce am vazut-o in toate articolele de pe blogul McAffee este faptul ca ei considera ca numele atacului s-a numit „Aurora„.Ei explica acest lucru prin faptul ca au gasit filepath-ul fisierului malware unde a fost compilat.Acesta se numea „Aurora” si considera ca acest nume a fost dat si atacului.

“Based on our analysis, ‘Aurora’ was part of the filepath on the attacker’s machine that was included in two of the malware binaries that we have confirmed are associated with the attack. That filepath is typically inserted by code compilers to indicate where debug symbols and source code are located on the machine of the developer.”

De asemenea au aparut acuzatii aduse asupra guvernului chinez ca a stat in spatele acestui atac sofisticat iar ca fisierele Adobe PDF au avut si ele o parte din vina, desi compania Adobe respinge acuzatiile.

Putem trage o concluzie si sa afirmam ca o influenta mare asupra hotararilor companiei Google de a se retrage din China a fost data de aceste suspiciuni ale implicarii guvernului chinez.

Ramane sa vedem cum va evolua povestea. 😀

Daca acest articol contine o greseala, selecteaza cuvintele sau fraza gresita si tasteaza combinatia de taste Shift + Enter sau apasa click aici pentru a o raporta. Multumim!