Lurer nøkkelfolk med tilpassede trojanere

En ukjent liga prøver å lure nøkkelfolk i privat og offentlig virksomhet med skreddersydde trojanere.

Et offentlig britisk sikkerhetsorgan, National Infrastructure Security Coordination Center (NISCC), advarer at en eller flere ukjente ligaer prøver å lure folk i nøkkelstillinger med skreddersydde trojanere. Rapporten Targeted Trojan Email Attacks dreier seg om angrep mot britisk offentlig og privat virksomhet. Ifølge Wall Street Journal bekrefter offentlige sikkerhetsorganer i USA og Canada at de har registrert tilsvarende angrep, at dette er skjedd over flere år, og at de har tiltatt i det siste.

Ifølge NISCC-rapporten går virksomheten ut på at man sender e-post til spesielt utvalgte personer. E-posten ser ut til å komme fra avsendere som det er naturlig for disse personene å motta meldinger fra. Innholdet er ofte lenker til nyheter eller nye nettjenester som mottakeren kan tenkes å være interessert i, eller består av et vedlegg med interessante nye dokumenter, databaser eller til og med eksekverbare filer. Lenkene går ikke til nyhetenes eller nettjenestenes opprinnelige nettsteder, men til forfalskede kopier utstyrt med en spesielt tilpasset trojaner. Tilsvarende trojanere er også knyttet til vedleggene. Trojanerne utnytter kurante sikkerhetshull i utbredt programvare. De er spesielt tilpasset også i den forstand at de er nye varianter som antivirusprogramvare ikke kjenner igjen.

Ved å klikke på lenkene eller vedleggene, installerer ofrene bakdører på sine PC-er. Disse kommuniserer over port 80, standardporten for webtrafikk, slik at de ikke sperres av brannmurer. De er i stand til å motta ny programvare som innebærer at ukjente kan overta kontrollen over ofrets PC, og bruke den til å hente ut intern informasjon som vedkommende har tilgang til i kraft av sin rolle.

Ifølge rapporten er e-postene spesielt utformet med tanke på å virke tillitvekkende. Lokkemidlene som brukes er helt ferske nyheter og dokumenter. Det er registrert at ligaen(e) er i stand til å «trojanisere» et dokument og sende det av gårde mindre enn to timer etter at originalen ble publisert.

IP-adressene som de installerte bakdørene kommuniserer med, tilhører datamaskiner i Kina. Rapporten advarer at dette ikke sier noe om hvem de egentlige skyldige er, eller hvor de opererer fra. NISCC opplyser at de samarbeider med det amerikanske sikkerhetsorganet CERT for å sette disse IP-adressene ut av spill.

NISCC anbefaler at man i tillegg til vanlige forholdsregler – oppdatert antivirus hos alle, skepsis overfor e-post med vedlegg, sjekking av URL-er i lenker oversendt per e-post og så videre – tar rapporter fra brukere som klager over trege maskiner svært alvorlig, siden det kan være et tegn på at PC-en er belastet med en aktiv bakdør. Andre tiltak er å undersøkelse brannmurlogger for å oppdage omfattende trafikk til uvanlige IP-adresser, eventuelt også å opprette ordninger som bare tillater brukerkontakt med bestemte IP-adresser.

Det anbefales videre spesielt å oppdatere Microsoft Office, siden svært mange av sårbarhetene som brukes i angrepene, rettes mot kjente sikkerhetshull i denne programpakken.

Christophe Birkeland, avdelingsdirektør for VDI (varslingssystem for digital infrastruktur) i Nasjonal sikkerhetsmyndighet, sier til digi.no at man der er godt kjent met problemstillingen som reises i rapporten fra NISCC, men at han kan verken bekrefte eller avkrefte at det har vært rettet slike angrep i Norge. Han presiserer at denne typen angrep utgjør en reell utfordring.

Det kan antas at denne typen angrep i første omgang vil rettes mot organisasjoner der engelsk, ikke norsk, er arbeidsspråk.

    Les også:

Til toppen