Strona główna

Altair Technologies zaatakowane przez Chińczyków

Siedziba Altair Technologies w Michigan / altair.com
Siedziba Altair Technologies w Michigan / altair.com

Podczas konferencji RSA, jednej z większych na świecie imprez związanych z bezpieczeństwem, eksperci udostępnili raport dotyczący kampanii Kingslayer z 2015 roku, która dotknęła amerykańskiego kontrahenta zbrojeniowego Altair Technologies z Kanady. Odpowiedzialnymi za przeprowadzenie ataku są grupy Shell Crew, Panda i Codoso pracujące na zlecenie chińskiego rządu.

Schemat działania hakerów polegał na modyfikowaniu oprogramowania dostępnego w sieci, a następnie prezentowaniu go jako oryginalnej wersji.  Taki rodzaj ataku jest nazywany przez ekspertów software supply-chain i wymaga od hakerów znajomości systemów w jakich działa aplikacja i ich  funkcji. Samo przygotowanie rozwiązania może zająć przestępcom wiele czasu, jednak pozwala na uniknięcie wykrycia przez większość antywirusów.

Większość skanerów plików, przy dobrze sfałszowanym oprogramowaniu, nie jest w stanie znaleźć backdoora zaimplementowanego przez hakerów. W ten sposób złośliwe oprogramowanie jest trudne do wykrycia i niekiedy działa z uprawnieniami administratora.

W przypadku Altair Technologies, chińscy hakerzy wykorzystali aplikacje Evlog, która pozwala na przeglądanie zapisanych logów w systemie Windows. Umożliwia ona także odszukanie błędów spowodowanych przez oprogramowanie zarządzające np. procesem produkcji. Evlog wykorzystywany jest w Ameryce Północnej przez firmy należące do 500 najbogatszych korporacji.

Czytaj też: Administracja Trumpa szuka "kreta"

Głównym odbiorcą rozwiązania są firmy informatyczne, organizacje rządowe, banki i uniwersytety. W czasie kiedy oficjalna strona aplikacji eventid.net rozpowszechniała oprogramowanie z backdoorem Evlog, zostało ono pobrane także przez organizacje wojskowe i dostawców telekomunikacyjnych. Altair Technologies o ataku poinformowała swoich użytkowników dopiero w czerwcu 2016 roku. Jak ustaliło RSA, złośliwa wersja oprogramowania była dostępna na stronie eventid.net od maja do lipca 2015 roku.

Co więcej, jak napisał na swoim blogu Brian Krebs, amerykański dziennikarz i reporter śledczy, korporacja nie przeprowadziła wystarczającej kampanii informującej użytkowników o posiadaniu złośliwego oprogramowania na swoich urządzeniach. Tym samym Altair ma być częściowo odpowiedzialny za szkody wyrządzone przez Kingslayera.

RSA powiązało kampanie przeprowadzoną przez Shell Crew i Codoso z incydentem Monju z 2014 roku, który miał miejsce w elektrowni jądrowej w Japonii. W obu atakach wykorzystano podobne rozwiązania technologiczne - stąd pewność, że za atakiem na Altair Technologies stoją grupy pracujące dla chińskiej administracji. 

Komentarze