Trojan Hydraq byl na webech pouze v čínštině

26. 1. 2010

Sdílet

Čínské úřady opětovně popřely, že by nedávný útok proti Googlu měl jejich jakoukoliv podporu. V celé kauze došlo v posledních dnech k několika novinkám...

Viz také: Analytik obvinil z podílu na útoku proti Googlu čínskou vládu

Zdroj blízký společnosti Googlu oznámil, že za průnik do firemní sítě čínského Googlu nemohla jen zranitelnost v Internet Exploreru 6, ale také vnitřní nepřítel – insider. Útočníci uspěli i díky pomoci zaměstnance čínské pobočky Googlu. Důležité je však ono „i“; ve stejné době byla z Číny napadena i celá řada dalších firem, např. Adobe, Microsoft, Yahoo a Juniper Networks a v tomto případě se žádná pomoc zevnitř nedá čekat. Primárním problémem byl tedy opravdu MSIE 6 (V Internet Exploreru je kritická chyba zero day). Čínská pobočka Googlu má několik set zaměstnanců.

Joe Stewart ze společnosti SecureWorks oznámil, že k při vlastní realizaci útoku byl po vzdáleném spuštění kódu použit trojský kůň Hydraq. Zdrojový kód tohoto webu byl k dispozici pouze na čínských serverech, často i bez anglické verze. Autoři kódu i ti, kdo ho použili, proto museli umět čínsky. SecureWorks má taktéž důkazy, že i k vlastnímu útoku byly použity čínské servery.

Zajímavé je, že útočný kód zvaný Aurora, jehož součástí je vlastní červ Hydraq, vznikl už v roce 2006 (poznámka: tehdy dávalo také větší smysl cílit na Internet Explorer 6 než dnes). Hydraq ovšem nebyl moc používán, proto ho nedokázaly detekovat například antivirové programy. Na infikovaném počítači fungoval Hydraq jako klasický trojan, sbíral data a posílal je na svůj řídicí server.

Společnost F-Secure, která upozornila na z Číny vycházející útoky proti dodavatelům americké armády (Útok směřoval na dodavatele americké armády), zase oznámila, že i tento útok je mnohem rozšířenější, než se původně zdálo. V tomto případě se nezneužívá zranitelnost v Internet Exploreru, ale v Adobe Acrobatu/Readeru. Adobe tuto chybu opravila už předminulý týden (Úterní záplaty: Nejprve Adobe, až poté Microsoft). F-Secure zaznamenala velké rozšíření např. útočného PDF dokumentu, který profesionálním způsobem jako svůj původ uvádí George Washington University.

bitcoin školení listopad 24

Čínská státní agentura Xinhua současně s popřením jakékoliv role čínské vlády v celé kauze také uvedla, že Čína neplánuje změnit způsob cenzury Internetu. Google sám prozatím v čínské verzi funguje podle pravidel stanovených místní vládou. Společnost je opatrná v definitivním rozhodnutí, zda opustí čínský trh, stejně tak pečlivě jsou volena i obvinění, že/zda útok opravdu proběhl s nějakou účastí čínských oficiálních míst.