Erikoinen Myfip-mato varastaa tiedostoja
0
F-Secure kertoo internetissä leviävän varsin erikoisen Myfip-madon, joka on suunniteltu varastamaan tiedostoja saastuneista koneista. Mato oli ilmeisesti osa Kiinasta käsin toimivaa korkeakoulukokeiden myyntipalvelua, jonka ylläpitäjät ovat ehkä sittemmin siirtyneet rahakkaampiin tietovarkauksiin.
Myfip-madosta kertoo tietoturvaan erikoistunut Lurhq Threat Intelligence Group -yritys. Mato löydettiin jo vuosi sitten, mutta se ei herättänyt suurta mielenkiintoa johtuen vähäisistä tartunnoista. Nyt kun madon taustoja on saatu selvitetty, vaikuttaa siltä, että asiakirjoja varastavasta madosta voi olla suurta vahinkoa uhreille, varsinkin yrityksille.
Koevarkauksista suurempiin saaliisiin?
Myfip-mato leviää sähköpostin välityksellä, ja siitä on löytynyt jo toistakymmentä erilaista versiota. Jos jokin madoista pääsee koneelle käyttäjän töppäilyn tai turva-aukon kautta, se alkaa etsimään pääasiassa pdf-tiedostoja sekä Autocad-suunnitelmia ja Word-tekstidokumentteja.
Tiedostot lähetettiin alun perin kiinalaisille palvelimille. Pääasiallinen hyökkäyksessä käytetty web-palvelin on nyt alhaalla, mutta Lurhq:n onnistui selvittää sen aikaisempi sisältö. Yhtiön mukaan englanninkielisillä sivuilla myytiin luvattomasti hankittua koemateriaalia opiskelijoille. Myfip-mato tehtiin ilmeisesti tällaisen materiaalin hankkimiseen, koemateriaalithan ovat yleensä pdf-muodossa.
Sittemmin sivusto on suljettu. Lurhq-yhtiö epäilee, että kyseessä saattaa olla siirtyminen tuottoisimmille vesille. Myfip-madon avulla pystyy keräämään luottamuksellista aineistoa, jota voisi esimerkiksi kaupitella kovempaan hintaan takaisin uhreille.
Erikoinen rootkit-tekniikka
F-Securen mukaan Myfip on erikoinen myös rakenteeltaan. Mato salaa itsensä käyttäen niin sanottua rootkit-tekniikkaa, jolloin se ei näy edes Windowsin ytimen prosessilistassa. Mato tekee tämän käyttämättä hyväkseen jotain laiteohjainta, kuten tämän tyyppiset madot tavallisesti tekevät.
Myfip ei ole suinkaan yksin, vaan virustehtailijat ovat luoneet muitakin tietovarkauksiin tarkoitettuja hyökkäysvälineitä. Vahingot uhreille voivat olla paljon suurempia kuin vaikkapa laajoissa matoepidemioissa, koska verkosta voi hävitä liiketoiminnan kannalta hyvinkin tärkeää tietoa.
