Η "Operation Cleaver" παίρνει σχεδόν τον πλήρη έλεγχο αεροπορικών εταιρειών, παραγωγών φυσικού αερίου και οργανισμών άμυνας.
Για περισσότερο από δύο χρόνια, φιλο-ιρανοί χάκερς έχουν διεισδύσει σε μερικά από τα πιο ευαίσθητα δίκτυα υπολογιστών στον κόσμο, συμπεριλαμβανομένων εκείνων που τρέχουν από αεροπορικές εταιρείες με έδρα τις ΗΠΑ, κατασκευαστές αυτοκινήτων, παραγωγούς φυσικού αερίου, ανάδοχες εταιρίες άμυνας και στρατιωτικών εγκαταστάσεων, δηλώνουν ερευνητές ασφάλειας.
Σε πολλές περιπτώσεις, η "Operation Cleaver"[1], όπως έχει βαφτιστεί αυτή η εντατική εκστρατεία hacking, έχει καταφέρει να διεισδύσει στα υψηλότερα επίπεδα πρόσβασης σε συστήματα στόχων που βρίσκονται σε 16 χώρες συνολικά, σύμφωνα με μια έκθεση που δημοσιεύθηκε την Τρίτη από την εταιρεία ασφαλείας Cylance[2].
[1] OPERATION CLEAVER report από την Cylance Facebook .com/l.php?u=http%3A%2F%2Fwww.cylance.com%2Fassets%2FCleaver%2FCylance_Operation_Cleaver_Report.pdf&h=6AQE0xJQR&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Fwww.cylance.comu00252Fassetsu00252FCleaveru00252FCylance_Operation_Cleaver_Report.pdf&h=6AQE0xJQR&s=1");">http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf
[2] Facebook .com/l.php?u=http%3A%2F%2Fwww.cylance.com%2F&h=HAQG4D-PJ&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://www.cylance.com/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Fwww.cylance.comu00252F&h=HAQG4D-PJ&s=1");">http://www.cylance.com/
Τα συστήματα που έχουν παραβιαστεί από τις συνεχιζόμενες επιθέσεις περιλαμβάνουν, Active Directory domain controllers όπου αποθηκεύονται τα διαπιστευτήρια σύνδεσης εργαζομένων, servers που τρέχουν Microsoft Windows και Linux, δρομολογητές (routers), switches και εικονικά ιδιωτικά δίκτυα (virtual private networks, VPNs). Με περισσότερα από 50 συστήματα-θύματα που περιλαμβάνουν αεροδρόμια, νοσοκομεία, τηλεπικοινωνιακούς παρόχους, χημικές εταιρείες και κυβερνήσεις, οι υποστηριζόμενοι από το Ιράν χάκερς φέρεται να έχουν αποκτήσει εξαιρετικά ευρύ έλεγχο πάνω στο μεγαλύτερο μέρος της κρίσιμης υποδομής παγκοσμίως.
Οι ερευνητές της Cylance έγραψαν:
Ίσως τα πιο ανατριχιαστικά τεκμήρια που συλλέγονται σε αυτή την εκστρατεία ήταν η στόχευση και ο συμβιβασμός/παραβίαση των δικτύων μεταφοράς και συστημάτων, όπως αεροπορικές εταιρείες και αεροδρόμια σε Νότια Κορέα, Σαουδική Αραβία και Πακιστάν. Το επίπεδο πρόσβασης δείχνει να είναι εξαιρετικά εύστοχο: Active Directory domains είναι πλήρως σε κίνδυνο, μαζί με ολόκληρη την εσωτερική υποδομή δικτύωσης, switches και routers της σειράς Cisco Edge. Πλήρως αποκαλυμμένα διαπιστευτήρια VPN που σημαίνει ότι, ολόκληρη η αλυσίδα απομακρυσμένης πρόσβασης στις υποδομές και στον εφοδιασμό τους ήταν υπό τον έλεγχο της ομάδας Cleaver, με σκοπό την μόνιμη διαμονή τους εκεί με κλεμμένα διαπιστευτήρια. Πέτυχαν πλήρη πρόσβαση σε πύλες αεροδρομίων και στα συστήματα ελέγχου της ασφάλειας τους, δυνητικά τους επιτρέπει να ξεγελούν τα διαπιστευτήρια εισόδου στις πύλες. Απέκτησαν πρόσβαση σε PayPal και Go Daddy διαπιστευτήρια που τους επιτρέπουν να πραγματοποιήσουν παράνομες αγορές και τους επιτρέπουν να αποκτήσουν απρόσκοπτη πρόσβαση σε domains του θύματος. Ήμασταν μάρτυρες [sic] μιας συγκλονιστικής ποσότητας πρόσβασης στα βαθύτερα μέρη των εν λόγω εταιρειών και των αεροδρομίων στα οποία λειτουργούν τα συστήματα.
Η έκθεση 86 σελίδων της Τρίτης, βασίζεται σε στοιχεία για να καταλήξει στο συμπέρασμα ότι, οι 20 ή περισσότεροι hackers που συμμετέχουν στην επιχείρηση Cleaver υποστηρίζονται από την κυβέρνηση του Ιράν. Μέλη λαμβάνουν Περσικά ονόματα όπως Salman Ghazikhani και Bahman Mohebbi, εργάζονται από πολλούς τομείς του διαδικτύου, διευθύνσεις IP και με αυτόνομο σύστημα αριθμών (autonomous system numbers[3]) που βρίσκονται ή ανήκουν στο Ιράν και πολλά από τα ειδικά διαμορφωμένα εργαλεία hacking που χρησιμοποιούν εκδίδουν προειδοποιήσεις όταν εξωτερικές διευθύνσεις IP ιχνηλατούν πίσω στη χώρα της Μέσης Ανατολής. Η υποδομή που υποστηρίζει τη μεγάλη εκστρατεία είναι πολύ εκτενής για να είναι το έργο ενός μεμονωμένου ατόμου ή μιας μικρής ομάδας, θα μπορούσε να υφίσταται μόνο αν έχει χορηγό ένα κράτος-έθνος.
[3] Facebook .com/l.php?u=https%3A%2F%2Fen.wikipedia.org%2Fwiki%2FAutonomous_System_%2528Internet%2529&h=KAQF0CjSC&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "https://en.wikipedia.org/wiki/Autonomous_System_u002528Internetu002529");" onclick="LinkshimAsyncLink.swap(this, "https://www.Facebook .com/l.php?u=httpsu00253Au00252Fu00252Fen.wikipedia.orgu00252Fwikiu00252FAutonomous_System_u00252528Internetu00252529&h=KAQF0CjSC&s=1");">https://en.wikipedia.org/wiki/Autonomous_System_%28Internet%29
Εκδίκηση για τον Stuxnet[4]
[4] Facebook .com/l.php?u=https%3A%2F%2Fen.wikipedia.org%2Fwiki%2FStuxnet&h=uAQHW9o2N&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "https://en.wikipedia.org/wiki/Stuxnet");" onclick="LinkshimAsyncLink.swap(this, "https://www.Facebook .com/l.php?u=httpsu00253Au00252Fu00252Fen.wikipedia.orgu00252Fwikiu00252FStuxnet&h=uAQHW9o2N&s=1");">https://en.wikipedia.org/wiki/Stuxnet
Η αποκάλυψη της "Operation Cleaver" έρχεται 28 μήνες μετά που το άκρως καταστροφικό κακόβουλο λογισμικό γνωστό ως Shamoon[5] κατέστρεψε οριστικά στοιχεία σε περισσότερους από 30.000 υπολογιστές που ανήκουν στην Saudi Aramco και την RasGas, δύο μεγάλους παραγωγούς φυσικού αερίου που βρίσκονται στη Σαουδική Αραβία και το Κατάρ, αντίστοιχα. Και την ίδια στιγμή, μια σειρά από εξαιρετικά διασπαστικές denial-of-service επιθέσεις έριξαν νοκ άουτ την πρόσβαση στις μεγάλες τράπεζες των ΗΠΑ[6].
[5] Facebook .com/l.php?u=http%3A%2F%2Farstechnica.com%2Fsecurity%2F2012%2F08%2Fshamoon-malware-attack%2F&h=UAQGsD5xG&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://arstechnica.com/security/2012/08/shamoon-malware-attack/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Farstechnica.comu00252Fsecurityu00252F2012u00252F08u00252Fshamoon-malware-attacku00252F&h=UAQGsD5xG&s=1");">http://arstechnica.com/security/2012/08/shamoon-malware-attack/
[6] Facebook .com/l.php?u=http%3A%2F%2Farstechnica.com%2Fsecurity%2F2012%2F10%2Fddos-attacks-against-major-us-banks-no-stuxnet%2F&h=eAQHoC5Ek&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://arstechnica.com/security/2012/10/ddos-attacks-against-major-us-banks-no-stuxnet/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Farstechnica.comu00252Fsecurityu00252F2012u00252F10u00252Fddos-attacks-against-major-us-banks-no-stuxnetu00252F&h=eAQHoC5Ek&s=1");">http://arstechnica.com/security/2012/10/ddos-attacks-against-major-us-banks-no-stuxnet/
Ένα χρόνο νωρίτερα, τον Αύγουστο του 2011, χάκερ διείσδυσαν στην ολλανδική αρχή πιστοποίησης, την DigiNotar και έκλεισαν τα ψηφιακά πιστοποιητικά για το Gmail και για άλλους χώρους υψηλού προφίλ[7]. Μερικοί ερευνητές ασφάλειας έχουν πει ότι το Ιράν ήταν πίσω από όλες αυτές τις τρεις επιθέσεις ως μέρος μιας προσπάθειας να προβούν σε αντίποινα για τον Stuxnet[8], τον Duqu[9] και τον Flame[10], εκστρατείες με malware που ευρέως πιστεύεται ότι έχουν ενορχηστρωθεί από τις ΗΠΑ και το Ισραήλ για να κατασκοπεύσουν και να διαταράξουν τα πυρηνικά προγράμματα του Ιράν.
[7] Facebook .com/l.php?u=http%3A%2F%2Fwww.theregister.co.uk%2F2011%2F08%2F29%2Ffraudulent_google_ssl_certificate%2F&h=2AQHwOqLb&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://www.theregister.co.uk/2011/08/29/fraudulent_google_ssl_certificate/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Fwww.theregister.co.uku00252F2011u00252F08u00252F29u00252Ffraudulent_google_ssl_certificateu00252F&h=2AQHwOqLb&s=1");">http://www.theregister.co.uk/2011/08/29/fraudulent_google_ssl_certificate/
[8] Facebook .com/l.php?u=http%3A%2F%2Farstechnica.com%2Fsecurity%2F2013%2F02%2Fnew-version-of-stuxnet-sheds-light-on-iran-targeting-cyberweapon%2F&h=ZAQFjV3Pl&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://arstechnica.com/security/2013/02/new-version-of-stuxnet-sheds-light-on-iran-targeting-cyberweapon/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Farstechnica.comu00252Fsecurityu00252F2013u00252F02u00252Fnew-version-of-stuxnet-sheds-light-on-iran-targeting-cyberweaponu00252F&h=ZAQFjV3Pl&s=1");">http://arstechnica.com/security/2013/02/new-version-of-stuxnet-sheds-light-on-iran-targeting-cyberweapon/
[9] Facebook .com/l.php?u=http%3A%2F%2Fwww.theregister.co.uk%2F2011%2F10%2F18%2Fson_of_stuxnet_disclovered%2F&h=jAQFf6w_R&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://www.theregister.co.uk/2011/10/18/son_of_stuxnet_disclovered/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Fwww.theregister.co.uku00252F2011u00252F10u00252F18u00252Fson_of_stuxnet_discloveredu00252F&h=jAQFf6w_R&s=1");">http://www.theregister.co.uk/2011/10/18/son_of_stuxnet_disclovered/
[10] Facebook .com/l.php?u=http%3A%2F%2Farstechnica.com%2Fseries%2Fflame-malware-eruption%2F&h=mAQFOx3Wn&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://arstechnica.com/series/flame-malware-eruption/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Farstechnica.comu00252Fseriesu00252Fflame-malware-eruptionu00252F&h=mAQFOx3Wn&s=1");">http://arstechnica.com/series/flame-malware-eruption/
"Η κυβερνο-συνειδητοποίηση του Ιράν έχει αυξηθεί ραγδαία από την τις μέρες του Stuxnet και έχουν χρησιμοποιηθεί πολλά δολάρια σε συνδυασμό με την εθνική υπερηφάνεια για να βοηθήσουν στην οικοδόμηση ενός στρατού στον κυβερνοχώρο", αναφέρει η έκθεση της Cylance. "Λίγοι αμφιβάλλουν για τη δέσμευσή τους ως κυβέρνηση και ως έθνος κράτος στη χρηματοδότηση και την πρόσληψη πολεμιστών του κυβερνοχώρου για να διεισδύσουν και να καταστρέψουν τους εχθρούς τους. Και έχει γίνει ευρέως παραδεκτό ότι σχεδόν όλες οι δραστηριότητες, από το 2010, που προέρχονται από το Ιράν, συνδέονται με αντίποινα για τους Stuxnet / Duqu / Flame, κάτι που φαίνεται πολύ φυσικό να κάνουν, δεδομένης της σοβαρότητας των επιπτώσεων που είχαν αυτά".
Οι περισσότερες από τις επιθέσεις της "Operation Cleaver" που ανιχνεύτηκαν από την Cylance ξεκίνησαν με μικρές επιδρομές σε ένα σύστημα-στόχο, χρησιμοποιώντας τεχνικές όπως SQL injection exploits για να ρίξουν pipe commands μέσα σε έναν back-end server ή ένα website. Από εκεί, οι hackers αύξαναν την πρόσβαση τους με τη στόχευση unpatched τρωτών σημείων, όπως το MS08-067[11]. Οι επιτιθέμενοι εγκαθιστούσαν στη συνέχεια μια σειρά από εξατομικευμένα εργαλεία για τους διακομιστές που έδιναν στους εισβολείς μια ποικιλία από δυνατότητες. Σε μία τουλάχιστον περίπτωση, private signing certificates στον στόχο αποκαλύφθηκαν, επιτρέποντας στην ομάδα να θέσει σε κίνδυνο και όλη την υπόλοιπη υποδομή του στόχου. Σε αντίθεση με τον Stuxnet, δεν υπάρχει απόδειξη για τυχόν τρωτά σημεία zero-day να έχουν αξιοποιηθεί.
[11] Facebook .com/l.php?u=https%3A%2F%2Ftechnet.microsoft.com%2Fen-us%2Flibrary%2Fsecurity%2Fms08-067.aspx&h=IAQHuEuKv&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "https://technet.microsoft.com/en-us/library/security/ms08-067.aspx");" onclick="LinkshimAsyncLink.swap(this, "https://www.Facebook .com/l.php?u=httpsu00253Au00252Fu00252Ftechnet.microsoft.comu00252Fen-usu00252Flibraryu00252Fsecurityu00252Fms08-067.aspx&h=IAQHuEuKv&s=1");">https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
Κατά τα τελευταία δύο χρόνια, η Cylance έχει συγκεντρώσει περισσότερα από οκτώ gigabytes δεδομένων που συνδέονται με αυτήν την εκστρατεία, συμπεριλαμβανομένων και 80.000 αρχείων από παραβιασμένα δεδομένα, εργαλείων χάκερ, logs που έπεσαν θύματα και εξαιρετικά ευαίσθητα δεδομένα αναγνωρίσεων. Οι ερευνητές συγκέντρωσαν τα δεδομένα με τη χρήση του συστήματος domain name του διαδικτύου για να εκτρέψουν την κυκλοφορία που ταξιδεύει μεταξύ των συστημάτων που βρέθηκαν σε κίνδυνο και στους χειριστές ελέγχου των διακομιστών της επίθεσης, μια διαδικασία γνωστή ως "sink holing".
Μόνο μικρό μέρος ανιχνεύθηκε
Συνολικά, 50 στόχοι σε 16 χώρες είναι γνωστό ότι έχουν παραβιαστεί. Η αντιστοιχία περιλαμβάνει, 10 θύματα στις ΗΠΑ, τέσσερα στο Ισραήλ και πέντε στο Πακιστάν. Ομάδες στο Ηνωμένο Βασίλειο, τη Γαλλία, τη Γερμανία και σε πολλές χώρες της Μέσης Ανατολής επλήγησαν επίσης. Η έκθεση της Cylance περιλαμβάνει σε βάθος τεχνικές λεπτομέρειες για να βοηθήσει τους διαχειριστές συστημάτων για να καθορίσουν εάν τα συστήματα τους έχουν παραβιαστεί.
Οι ερευνητές της Cylance είπαν ότι πιστεύουν πως έχουν ανιχνεύσει μόνο ένα μικρό μέρος των στόχων στους οποίους έγινε επίθεση από την "Operation Cleaver". Με περισσότερα από δύο χρόνια δραστηριότητας της εν λόγω επιχείρησης, μπορεί ο χρόνος να μετρά αντίστροφα.
"Πιστεύουμε ότι αν η επιχείρηση αφεθεί να συνεχιστεί με την ίδια αμείωτη ένταση, είναι μόνο θέμα χρόνου πριν να αρχίσει να επηρεάζεται και η φυσική ασφάλεια του κόσμου από αυτό", έγραψαν. "Ενώ η αποκάλυψη των πληροφοριών αυτών θα είναι επιζήμια για την ικανότητά μας να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας, αυτό θα επιτρέψει στον κλάδο της ασφάλειας στο σύνολό του να οργανωθεί στην υπεράσπιση ενάντια στην απειλή αυτή. Ως εκ τούτου, αποκαλύπτουμε αυτήν την εκστρατεία στον κυβερνοχώρο νωρίς, σε μια προσπάθεια να ελαχιστοποιηθούν οι επιπλέον επιπτώσεις και ο αντίκτυπος στον πραγματικό κόσμο και να προλάβουμε τις όποιες περιπτώσεις για περαιτέρω παραβίαση συστημάτων".
Εικόνα: Γεωγραφική κατανομή των θυμάτων, όπως καθορίζεται από την παγκόσμια έδρα της μητρικής εταιρείας ή του οργανισμού που έχει παραβιαστεί
από την Cylance Facebook .com/l.php?u=http%3A%2F%2Fwww.cylance.com%2Foperation-cleaver%2F&h=qAQEkrjor&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://www.cylance.com/operation-cleaver/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Fwww.cylance.comu00252Foperation-cleaveru00252F&h=qAQEkrjor&s=1");">http://www.cylance.com/operation-cleaver/
-----
Από: arstechnica, "Critical networks in US, 15 other nations, completely owned, possibly by Iran", by Dan Goodin - Dec 3 2014, 12:30am GTB
Facebook .com/l.php?u=http%3A%2F%2Farstechnica.com%2Fsecurity%2F2014%2F12%2Fcritical-networks-in-us-15-nations-completely-owned-by-iran-backed-hackers%2F&h=yAQH6maxI&s=1" rel="nofollow nofollow" onmouseover="LinkshimAsyncLink.swap(this, "http://arstechnica.com/security/2014/12/critical-networks-in-us-15-nations-completely-owned-by-iran-backed-hackers/");" onclick="LinkshimAsyncLink.swap(this, "http://l.Facebook .com/l.php?u=httpu00253Au00252Fu00252Farstechnica.comu00252Fsecurityu00252F2014u00252F12u00252Fcritical-networks-in-us-15-nations-completely-owned-by-iran-backed-hackersu00252F&h=yAQH6maxI&s=1");">http://arstechnica.com/security/2014/12/critical-networks-in-us-15-nations-completely-owned-by-iran-backed-hackers/
Facebook .com/PiratePartyGR/photos/a.116856355087930.21821.116345831805649/694361127337447/?type=1&relevant_count=1" id="" title="" onclick="" style="">