Δευτέρα 8 Απριλίου 2013

Ιός στα Windows που στοχεύει Linux βρέθηκε σε κυβερνοεπίθεση (λένε)

cyber attacks
Σίγουρα οι διάφοροι ιοί και αντίστοιχα κακόβουλα προγράμματα ανθούν στα Windows, ενώ έχουμε δει και κάποιες περιπτώσεις και στο OSX με πολύ άσχημες συνέπειες. Ιοί βέβαια υπάρχουν και στο Linux, εκτός από τους γνωστούς καταγεγραμμένους και πλήρως ελέγξιμους πλέον.


Δεν πάνε πολλά χρόνια, από τότε που είχε πάρει δημοσιότητα μια υπόθεση με γνωστή εταιρεία antivirus η οποία κατασκεύαζε και διοχέτευε εξελιγμένους ιούς σε υπολογιστικά συστήματα και βέβαια στη συνέχεια πουλούσε την λύση. Είναι κοινό μυστικό άλλωστε, πως η συντριπτική πλειοψηφία αυτών των προγραμμάτων έρχεται από εταιρικά περιβάλλοντα, καθώς όπως είναι ευνόητο, αποκομεί οικονομικά και άλλα οφέλη και τέλος πάντων συντηρεί μια βιομηχανία του χώρου.

Τα τελευταία χρόνια μάλιστα, διάφορες τέτοιες εταιρείες, έχουν αρχίσει να απλώνουν και τα πλοκάμια τους στο Linux, προσπαθώντας να πείσουν τους χρήστες πως έχουν ανάγκη από τα (εμπορικά) αντιoτικά τους (παράδειγμα το ESET NOD32 anti-virus).

Θεωρητικά, σε ένα κλασσικό Linux desktop, το antivirus είναι πλεονασμός, όσο αφορά το ίδιο το σύστημα του Linux, μα ίσως αναγκαίο, καθώς πλέον ανταλλάσσουμε αρχεία με χρήστες κάθε λειτουργικού συστήματος και ακόμα και αν δεν μολύνεται το ίδιο το Linux, λειτουργεί ως ιός, μπορώντας με κάποια ανταλλαγή αρχείων να μεταφέρει κάτι επικίνδυνο στα Windows. Γι’ αυτό άλλωστε και όλοι οι Linux servers, τρέχουν και κάποιο σχετικό πρόγραμμα, προκειμένου να διαφυλάξουν τους χρήστες. Έτσι, υπάρχουν διάφορες λύσεις στο θέμα, όπως για παράδειγμα το: BitDefender, το Avast, το ClamAV και άλλα.
Φυσικά, οι κακόβουλοι υπαρχουν παντού και έτσι από την στιγμή που το Linux μας παρέχει κάποια ασφάλεια, καλό θα ήταν να μην την παρακάμπτουμε, δρώντας αυθαίρετα.

Το θέμα όμως, των ιών και αντιστοίχων προγραμμάτων, έχει εξελιχτεί τα μέγιστα τόσο για βιομηχανικό πόλεμο, όσο και από κυβερνήσεις, μέσω των ανάλογων υπηρεσιών. Και αυτά είναι πράγματα γνωστά που λίγο πολλοί όλοι ξέρουν η τέλος πάντων, κάτι σχετικό έχουν διαβάσει.

Πολύ πρόσφατα η Νότια Κορέα ήταν κάτω από μια τεράστια επίθεση στον κυβερνοχώρο και σύμφωνα με τη Symantec, ο κώδικας που χρησιμοποιήθηκε στην επίθεση είχε κρυμμένο μέσα σε ένα κακόβουλο λογισμικό των Windows, κάποιο malware για να στοχεύσει Linux υπολογιστές.
Αυτή είναι μια πολύ ενδιαφέρουσα περίπτωση και σύμφωνα με την εταιρεία ασφαλείας:
Δεν βλέπουμε συνήθως συστατικά που λειτουργούν σε πολλαπλά λειτουργικά συστήματα, οπότε είναι ενδιαφέρουσα η ανακάλυψη πως ότι οι επιτιθέμενοι, χρησιμοποίησαν και ένα στοιχείο για να κάνουν wipe σε Linux μηχανήματα, μέσα σε ένα Windows threat.
όπως δημοσιεύσανε στο blog τους.
shellscript-271x300Unix attack

Μια άλλη εταιρεία ασφαλείας, η McAfee, δημοσίευσε επίσης μια ανάλυση του κώδικα επίθεσης, που έγραφε πάνω στο master boot record ενός υπολογιστή, ο οποίος είναι ο πρώτος τομέας του σκληρού δίσκου του υπολογιστή και ο πρώτος έλεγχος πριν ξεκινήσει να τρέχει το λειτουργικό σύστημα.
A computer’s MBR is overwritten with either one of two similar strings: “PRINCPES” or “PR!NCPES.” The damage can be permanent…
ανέφερε συν των άλλων η McAfee. Κοινώς, η ζημιά μπορεί να είναι μόνιμη. Αν το MBR έχει καταστραφεί, ο υπολογιστής δεν θα ξεκινήσει.
Η επίθεση διέγραφε επίσης τυχαία μέρη του συστήματος αρχείων με αντίστοιχα strings, καθιστώντας πολλά αρχεία ανεπανόρθωτα, έτσι ώστε ακόμη και αν το MBR ανακτούνταν, τα αρχεία στο δίσκο, θα πρέπει να είχαν εκτεθεί ανεπανόρθωτα.
συμπληρώνουν στο σχετικό blog post τους.
Δυο προϊόντα antivirus, προέλευσης Νότιας Κορέας, ήταν επίσης οι στόχοι του κακόβουλου λογισμικού. Ένα Bash shell script, επιχειρούσε να προσπάθησε να διαγράψει συστήματα Unix, όπως το Linux και το HP-UX. Η επίθεση προήλθε από μια IP στην Κίνα, αλλά πιστεύεται ότι ήταν δουλειά από τον στρατό και τις υπηρεσίες ασφαλείας, της Βόρειας Κορέας.

Σύμφωνα με την Avast, οι επιθέσεις εναντίον των Νοτιο-Κορεάτικων τραπεζών, προήλθαν από την ιστοσελίδα Korean Software Property Right Council. Το site, είχε παραβιαστεί και ένα iframe που είχε ανέβει, ώστε να πραγματοποιεί επιθέσεις. Ο δε κώδικας της επίθεσης εκμεταλλεύεται μια ευπάθεια στον Internet Explorer που χρονολογείται από τον Ιούλιο του 2012, ο οποίος ωστόσο έχει επιδιορθωθεί (με patch) από τη Microsoft:

attackChinese attack

Ψάχνοντας καλύτερα την είδηση, βλέπουμε πως η επίθεση αφορούσε αποκλειστικά και μόνο το τραπεζικό κατεστημένο της χώρας, ενώ όχι λίγοι αναλυτές και ιστοσελίδες, αμφισβητούν για το αν ήταν μια πραγματικά εξωτερική επίθεση (από την Β. Κορέα) η όχι κάτι προκατασκευασμένο για όλους λόγους συμφέροντος και σκοπιμότητας. Άλλοι πάλι, υποστηρίζουν πως πρόκειται για ένα γενικότερο κύμα επίθεσης στο τραπεζικό κατεστημένο και πως αυτό έχει συμβεί και συνεχίζει και σε άλλα τραπεζικά κατεστημένα διαφόρων χωρών.

Το πρόβλημα, δηλαδή, είναι αυτό ακριβώς που δημιουργεί το πρόβλημα στον παγκόσμιο πληθυσμό (στο 99% αυτού). Στις τράπεζες και το καπιταλιστικό σύστημα. Και σίγουρα μέσα σε όλα αυτά, θα εκμεταλλευτούν τα πάντα ώστε να αποκομίσουν οφέλη και κέρδη προς πάσα κατεύθυνση.

Και όπως έχουμε ήδη αναφέρει, μη σας φαίνονται παράξενες οι διάφορες “ειδήσεις” για κυβερνοεπιθέσεις οι οποίες αυτό το διάστημα θα πυκνώσουν. Και όχι, μην περιμένετε αυτές τις “επιθέσεις” να φανούν στο Honeynet Project.



πηγη