Politiske hackere stjæler krypteringsnøgler fra aktivister

Mens tidligere eksempler på politisk hacking hovedsageligt er mundet ud i denial-of-service-angreb, så er de seneste angreb blevet mere raffinerede.

Politiske aktivister har i høj grad taget en del af både deres kamp og organisationer på nettet. Det har imidlertid samtidig ført til angreb mod aktivistgrupper fra hackere med den modsatte overbevisning end aktivisterne.

I antivirusfirmaet F-Secures halvårsrapport fremhæver teknisk direktør Mikko Hyppönen således forårets stridigheder omkring Tibet.

Flere pro-tibetanske grupper blev udsat for målrettede angreb, der angiveligt havde til formål at opsnappe kommunikationen inden for organisationerne.

Tidligere eksempler på politisk motiveret hacking har hovedsageligt været i form af defacement, også kaldet webgraffiti, af websteder med politiske budskaber, og i form af denial-of-service-angreb mod webservere.

Under Tibet-stridighederne observerede F-Secure imidlertid eksempler på målrettede angreb, hvor medlemmer af de politiske organisationer via spoofede e-mails blev lokket til at åbne tilsyneladende harmløse vedhæftede dokumenter.

De vedhæftede filer indeholdt ud over et forfalsket dokument også et exploit til eksempelvis Microsofts tekstbehandlingsprogram Word, som blev brugt til at installere en trojansk bagdør på systemet.

Bagdøren var designet til specifikt at stjæle filer fra aktivisternes pc'er, heriblandt deres private og offentlige nøgler til PGP-kryptering og kodeord.

»Menneskerettighedsgrupperne ved, at de bliver overvåget, så de bruger PGP. Angriberne ved, at de ikke kan bryde PGP-krypteringen, så de prøver ikke en gang. I stedet stjæler de nøglerne,« siger Mikko Hypponen.

F-Secure oplyser, at antallet af virusvarianter, som selskabet har registreret, er vokset fra omkring 500.000 ved nytår til omkring 900.000 i slutningen af juni.

Tallet afspejler først og fremmest, at bagmændene konstant laver små ændringer i koden og ompakker de samme varianter for at skabe nye binære signaturer, som skal forsøge at slippe forbi antivirusprogrammerne.

Det betyder dog ikke, at der ikke er sket en udvikling i, hvor raffinerede de ondsindede programmer kan være. F-Secure fremhæver blandt andet rootkittet Mebroot, der inficerer Master Boot Record, MBR på en harddisk.

Mebroot er i stand til at camouflere sig for selv de anti-rootkit-programmer, der scanner MBR, fordi softwaren blot vil se en ren version af MBR uden rootkittet. Dermed kan Mebroot også bruges til at skjule andre ondsindede programmer på systemet.

»Det er et virkelig svært angreb at gennemføre. Jeg troede faktisk ikke, at virusprogrammørerne overhovedet var i stand til det. Men jeg tog fejl. Nu ser vi det blive brugt,« siger Mikko Hyppönen.

MBR-rootkits er en velkendt teknik, men den har ikke været anvendt i stor stil før nu, men i stedet hovedsageligt været beskrevet i form af eksempler. Problemet er, at det er vanskeligt at sammensætte en version, der fungerer på tilstrækkeligt mange forskellige pc'er, uden at de går ned, så programmet bliver brugbart.

»Vi vurderer, at hvis vores egne rootkit-eksperter skulle have skrevet et tilsvarende program, ville det have taget fire måneder,« siger Mikko Hyppönen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere