Netistä löytyi kavala kiinalainen pdf-hyökkäys
0
Kuva: F-Secure
F-Secure kertoo erikoisesta hyökkäyksestä, jolla uhrikone saadaan haltuun tavallisen pdf-lomakkeen avulla. Kiinnostavaa on se, että hyökkäyksessä viitataan Yhdysvaltojen sisäisen turvallisuuden virastoon, ja hyökkäyksestä löytyy jopa vinkkejä Kiinan armeijaan.
F-Secure kertoo hyökkäyksestä blogissaan . Tutkimusjohtaja Mikko Hyppönen sanoo, että kyseessä on pdf-tiedosto, joka avautuessaan näyttää vaihtavan nimeä.
Todellisuudessa pdf-tiedosto hyödyntää Adobe Acrobat -ohjelman tunnettua haavoittuvuutta, ja avaakin kaksi tiedostoa. Toinen on uusi ja viaton pdf-tiedosto. Taustalla avautuu myös d50e.tmp.exe-niminen vaarallinen haittaohjelma, joka osaa piilottaa itsensä rootkit-tekniikalla.
Kohdistettu hyökkäys Yhdysvaltoihin?
Hyppösen mukaan haittaohjelmanäyte saatiin Virustotal-nettiskannerista, eli hyökkäys on ollut levityksessä netissä. Muuta tietoa hyökkäyksestä ei ole, ja kyseessä on ilmeisesti kohdistettu hyökkäys, jota ei ole levitetty kuin harvoille.
Avautuva pdf-tiedosto on Yhdysvaltojen sisäisen turvallisuuden viraston kaavake, joka liittyy kansalaisuus- ja maahanmuuttoasioihin.
Tuttu kiinalainen palvelin
Hyökkääjän päässä haittaohjelma ottaa yhteyttä nbsstt.3322.org-palvelimeen. Hyppösen mukaan kyseessä on kiinalainen osoite, joka nähdään usein nettihyökkäysten yhteydessä. Palvelin on Kiinassa ja tälläkin hetkellä toiminnassa.
Nbsstt-nimen merkitys ei ole selvillä, mutta samaa nettinimeä käyttävä henkilö on kirjoittanut useita viestejä Kiinan armeijaan liittyviin web-palveluihin.
