På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

The Elderwood Project", bruger Watering Hole metoder.

D. 11.september 2012

Termen "Elderwood" kommer fra den kommunikationsudnyttelse, der bruges I nogle af disse angreb. Angrebsplatformen muliggør at man hurtigt kan udrulle zero-day exploits. Angrebsmetoderne har altid anvendt spear phishing emails, men vi ser nu en stigning i "watering hole" angreb (Kompromittering af websider som virksomheden man ønsker at inficere, højst sandsynligt vil besøge).

Selvom der er andre hackere der anvender zero-day exploits (f.eks. Sykipot, Nitro, eller Stuxnet angreb), så har vi ikke tidligere set en gruppe anvende så mange som Elderwood Project gruppen gør det. Antallet af zero-day exploits der anvendes indikerer en bred tilgang til teknisk kapacitet. Her er blot  nogle af de seneste exploits gruppen har benyttet:

Adobe Flash Player Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779)
Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875)
Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
Adobe Flash Player Remote Code Execution Vulnerability (CVE-2012-1535)

For at kunne detektere disse sårbarheder, kræves der et stort arbejde af hackere for grundigt at kunne udføre ”reverse-engineering” på de specifikke applikationer. For gruppen vil der selvsagt være væsentligt med tid sparet, hvis man har adgang til source kode. Gruppen ser ud til at have ubegrænset adgang til zero-day sårbarheder.

De primære angrebsmål der identificeres er indenfor Forsvars leverandørkæden, og hvor leverandørerne ikke er indenfor Top 10 listen af leverandører til Forsvarets forskellige organisationer. Disse leverandører udvikler elektronik eller mekaniske komponenter, som sælges til Top 10 Forsvars organisationer/virksomheder.

“Watering hole” angreb, er et klart skifte I angrebsgruppernes metoder. Man kan sammenligne metoden efter et rovdyr der venter ved vandhullet i ørkenen. Før eller siden vil offeret skulle hen efter vand, så i stedet for at jage byttet i ørkenen, venter man til de kommer hen til vandhullet.

Angrebet sker ved at der injiceres et exploit på den offentligt tilgængelige hjemmeside, som højst sandsynligt vil blive besøgt af det mest optimale angrebsmål. Enhver besøgende der er modtagelig for sårbarheden og det kode der afvikles via sårbarheden, kompromitteres og en Back Door Trojan installeres på brugerens computer.

CVE-2012-0779, CVE-2012- 1875, og CVE-2012-1889 har alle været benyttet indenfor en 30 dages periode, for at understøtte Back Door Trojanere på kompromitterede websites.

Enhver leverandør I Forsvarets leverandørkæde, må være årvågne overfor angreb, som oprinder fra underleverandører, samarbejdspartnere og associerede virksomheder, eftersom de kan være kompromitteret og kan blive brugt som et springbræt til det angrebsmål, som de IT kriminelle i virkeligheden går efter. Virksomheder og private brugere, bør forberede sig på  en ny serie af angreb i 2013. Særligt de som tidligere har været kompromitteret skal være opmærksomme, men dem som klarede sig fri dengang bør heller ikke se let på denne trussel. Den viden som er høstet dengang af de IT kriminelle, kan hjælpe dem til nye mere effektive angreb.

Symantec har skrevet et Whitepaper om Elderwood projektet, læs mere i denne pdf.

Powered by wpsnet.com