Per Hellqvist om IT-säkerhet och sånt

Operation Hangover

7 Nov 2013

Igår pratades det om en ny nolldagars-sårbarhet (CVE-2013-3906, information här, här och här) som upptäckts i “sydasien”. Idag har det visat sig att den kan länkas till en tidigare, och fortfarande pågående, operation som namngetts till “Operation Hangover” och som verkar skötas av en grupp som finns i Indien. Gruppen har tidigare använt exploits i sina attacker, men detta är första gången vi sett att de använt en zero day exploit.

Mer information här:

http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/the-dual-use-exploit-cve-2013-3906-used-in-both-targeted-attacks-and-crimeware-campaigns.html

http://www.symantec.com/connect/blogs/operation-hangover-qa-attacks

http://www.symantec.com/connect/blogs/new-zero-day-vulnerability-used-operation-hangover-attacks

http://www.welivesecurity.com/2013/05/16/targeted-threat-pakistan-india/

http://technet.microsoft.com/en-us/security/advisory/2896666

http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2

https://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx

http://www.alienvault.com/open-threat-exchange/blog/microsoft-office-zeroday-used-to-attack-pakistani-targets

Försiktiga gissningar är att gruppens huvudmål är underrättelseorganisationer och framförallt i Pakistan, men som vi sett i tidigare liknande attacker så försöker man ibland komma åt slutmålen genom att attackera delmål (slarvigt namngett till “supply chain attacks”), dvs företag och organisationer som samarbetar eller på olika sätt interagerar med det verkliga slutmålet. I flera tidigare fall har även grupper av denna typ tagit andra uppdrag som avvikit från vad som verkar vara deras huvuduppdrag.

I en mycket bra rapport från Norman ser vi att gruppen tidigare bland annat attackerat Telenor i Norge

Syftet med attackerna är att installera trojaner och därefter stjäla information.

Från Symantecs “heatmap” kan vi se att vi vid tidigare attacker fått in rapporter från många länder i världen och åtminstone en rapport från Sverige.

Den här attacken och den här gruppen är ytterligare ett exempel på hur dagens antagonister arbetar. Andra grupper och attacker som går till på liknande sätt är Elderwood-gruppen (mest kända för “Aurora”-attacken, Nitro, Red October, Stuxnet, Sykipot med flera.

Denna typ av attack kallas för “Advanced Persistant Threat” eller APT och är en undergrupp till det som kallas för “Riktade Attacker”. Skillnaden mellan en APT och en riktad attack är att APTn är mer specifikt inriktad mot en viss organisation/företag eller typ av information. Attackerarna har större plånbok, bättre utrustning och bättre tillgång till nolldagarssårbarheter. De arbetar dessutom under längre tidsramar, vilket gör att de kan lägga upp attacken på ett bättre sätt än de som arbetar med riktade attacker (som mer liknar en smash’n’grab-kupp).

Fördelen är att om ni läser på om hur APT fungerar och hur dessa attackerare arbetar och bygger upp skydd mot dem så står ni bättre rustade emot de mer “ordinära” attacker som sker dagligen. Återigen – lager på lager med olika säkerhetsmekanismer (brandväggar, antivirus, IDS, IPS, kryptering, två-faktorautenticering etc) som samarbetar och täcker upp för varandra, samt ett väl fungerande patch-hanteringssystem är det som visat sig ge det bästa skyddet.

Trots att vi inte har några indikationer på att Sverige skulle vara specifikt utpekat som måltavla för just denna grupp kan det vara läge att ta tillfället i akt att “uppa” säkerheten lite och att hålla ögonen öppna. Ofta “ärvs” attacker från “de stora pojkarna” av de mer vanliga internetbrottslingarna i senare attacker.

Det kan också vara läge att skicka ut ett mejl i organisationen och varna för hur social engineering-attacker brukar gå till och att man alltid bör vara uppmärksam på oväntade mejl som kommer in med bilagor eller länkar.

Symantecs produkter är uppdaterade mot denna och tidigare upptäckta attacker. Larmen är till exempel: Web Attack: Microsoft Office RCE CVE-2013-3906_2, Web Attack: Microsoft Office RCE CVE-2013-3906, Trojan.Smackdown.B, Trojan.Hangove.B, Trojan.Hantiff, Bloodhound.Exploit.525 med flera. Just denna exploit verkar enbart fungera på Windows XP och Windows Server 2003, men det kan ändras.

Taggar: Allmänt, Autenticering, Hackers, Intrång, Intressant, Kryptering, Riktade attacker, Säkerhetshål, Trojaner

Kommentarer

3 kommentarer to “Operation Hangover”

  1. online on December 13th, 2014 21:09

    online

    Operation Hangover | Säkerhet & Sånt

  2. Big bank lanforum on March 7th, 2015 14:25

    Big bank lanforum

    Operation Hangover | Säkerhet & Sånt

  3. Hack Facebook Account Without Software on July 25th, 2015 05:45

    Hack Facebook Account Without Software

    Operation Hangover | Säkerhet & Sånt

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.