Pojdi na vsebino

Sykipot

Iz Wikipedije, proste enciklopedije

Sykipot je zlonamerni trojanski konj, ki se je začel pojavljati od leta 2006 dalje. Njegov namen je pridobiti podatke ter uničiti računalniški sistem in si tako pridobiti kontrolo nad njim. Središče te grožnje naj bi bilo glavno mesto Kitajske, Peking.

Sykipot naj bi nastal s pomočjo skupine strokovnjakov, ki so izrabljali pomanjkljivosti v različnih sistemih vladnih organizacij. Napadali so vladne institucije ter poskušali pridobiti tajne podatke, (npr. podatke o infrastrukturah, financah, informacije o podjetjih itd.) preko izbranih email naslovov. V elektronsko pošto so pripenjali povezave in okužene priponke.

Ranljivi programi so Microsoft Excel, Adobe reader, Internet explorer, Adobe Flash Player, na katerih se največkrat skriva zlonamerna programska oprema (ang. malware).[1][2]

Storilci in žrtve

[uredi | uredi kodo]

Storilci

[uredi | uredi kodo]

Avtorji Sykipota niso bili nikoli odkriti. Domneva se, da delujejo na Kitajskem, saj povezava z računalniškimi sistemi izhajala iz tam.[3]

Sykipot napadalci so v začetkih njihovih delovanj napadali tako ameriške kot tudi japonske baze. Za začetek samega delovanja lahko štejemo leto 2006, saj so se takrat začeli pojavljati redni napadi. Do leta 2011 je bilo obdobje mirovanja in grožnja v svetu ni bila prepoznana. Med leti 2011 ter 2013 je ponovno dosegla odmevnost. Strežnik bi naj imel center v Pekingu in opravlja delo internetnega dobavitelja za internetne storitve (ISP) na Kitajskem. Napadi se izvršujejo že več let, na podlagi česar se sklepa, da storilec ni samo eden ampak jih je več. Ti napadi so organizacijsko dovršeni in potrebujejo veliko finančno podporo iz ozadja.[4]

Sykipot je prisoten še danes, vendar pa je grožnja nekoliko manjša oz. se v svetu zazna redkeje.

Žrtve

[uredi | uredi kodo]

Napadi so ciljali različna ministrstva, sektorje telekomunikacij, vladne službe, ter kemijsko in energetsko industrijo. Redkeje so žrtve tudi podjetja in posamezniki.

Način delovanja

[uredi | uredi kodo]

Sykipot preko e-maila pošlje okužene priponke ali lažne hiperpovezave ki ob odprtju naredijo stranska vrata. podatke iz računalnika. Storilci oz. izvajalci priključijo Sykipot na e-mail ali preko zastarelih verzij outlooka, firefoxa ali Internet explorerja. Na računalnik se naloži program za beleženje pritiskov tipk. Tako zbirajo gesla, uporabniške račune, številke računov itd.

Sykipot je težko zaznati saj se prestavlja iz mape v mapo, da bi se izognil detekciji.

Ob prvem zagonu se sykipot prekopira v svojo mapo na disku kot »dmm.exe« in se znova zažene. Vstavljen DDL bo začel beležit pritiske tipk in kopiral vse v eno mesto oz. datoteko in zagnal stranska vrata (nelegalni dostop, torej oddaljeni dostop brez potrditve) do Command and Control (CnC) strežnika drugje.

S takšnim načinom lahko na daljavo opravlja z računalnikom s t. i. »smartcard« dostopom, da zagotovi varen pretok podatkov. Da se izogne prepoznavi, se ob zagonu postavi v »taskmost.exe« in se ob ugašanju računalnika znova prestaviti v svojo mapo.[5]

Okužba in zaščita

[uredi | uredi kodo]

Okužba s Sykipotom

[uredi | uredi kodo]

Okužbe s Sykipotom se lahko zgodijo preko razširitev brskalnika, fizičnih medijev, razširjenega omreža in prostih/zastojnskih distribucij programske opreme.

Razširitve brskalnika

[uredi | uredi kodo]

Razširitve brskalnika v obliki dodatnih orodnih vrstic lahko vsebujejo škodljivo programsko kodo, vključno s Sykipotom.

Fizični mediji

[uredi | uredi kodo]

Vstavljanje okuženih diskov ali USB ključev, lahko pripelje do okužbe z Sykipotom.

Razširjeno omrežje

[uredi | uredi kodo]

Pri razširjenemu omrežnemu sistemu, lahko trojanski konj (sykipot) razširi svoje napade ter tako poškoduje celotno povezavo v omrežju.

Prosta programska oprema in zastonj distribucija programske opreme

[uredi | uredi kodo]

Preko ilegalnih serverjev ali z namestitvijo prosto dostopne programske opreme na internetu lahko pride do okužbe z njim.

Zaščita pred Sykipotom

[uredi | uredi kodo]

Sykipot uporablja zastarele programe, ki jih lahko izkoristi in preko njih izvede kodo. Novejše verzije programov imajo nadgrajeno kodo, ki onemogoča delovanje trojanskega konja. Dodatno se lahko vdor prepreči z zaščitno programsko opremo.

Z preučevanjem izvora e-maila se pravočasno odkrije napaka v povezavi, priponki ali pošiljatelju.

Splošna zaščita pred Sykipotom je podobna tisti iz običajne prakse varovanja računalnika pred ostalimi vrstami zlonamerne programske opreme.

1. Uporaba Firewall-a kot zaščite pred dohodnimi povezavami na storitve, kjer se pregleda vse informacije, ki odhajajo in pregleda dohodne povezave ter jih zavrne razen, če jih uporabnik izrecno dovoli.

2. Kompleksna gesla imajo višjo stopnjo varnosti, saj jih je težje zlomiti. Kompleksna gesla so gesla, ki vsebujejo male in velike črke, številke in posebne, specialne znake.

3. Omejitev uporabnikov na samo nujno potrebna pooblastila.

4. Najnovejše različice programov nudijo več zaščite kot starejše verzije.

5. Avtomatsko gibanje podatkov (ang. AutoPlay) lahko povzroči tudi gibanje nezaželenih programov in preprečevanje dostopa določenim podatkom.

6. Računalniške storitve, ki niso potrebne, naj se izklopijo ali izbrišejo, saj njihov obstoj odpira nepooblaščenim uporabnikom več možnosti za dostop do računalnika in podatkov.

7. Nastavitev strežnika za elektronske pošte naj bo nastavljena tako, da vsa elektronska pošta, ki vsebuje priponke, znane kot nosilce groženj, zavrne in izbriše.

8. Pri sistemih, ki vsebujejo veliko število računalnikov in zaposlenih, se zmanjša tveganje, če se okuženi računalnik izklopi iz celotnega sistema.

9. Usposabljanje uporabnikov, da ugotovijo in preprečijo nevarnim programom in prilogam vstop v sistem.

10. Izklop bluetootha skrije napravo pred drugimi napravami in onemogoča nepooblaščenim osebam dostop do nje.

  1. »The Sykipot Campaign | Malware Blog | Trend Micro«. blog.trendmicro.com. Pridobljeno 11. decembra 2015.
  2. »Sykipot is back«. www.alienvault.com. Pridobljeno 11. decembra 2015.
  3. »New Sykipot developments«. www.alienvault.com. Pridobljeno 11. decembra 2015.
  4. »Are the Sykipot's authors obsessed with next generation US drones?«. www.alienvault.com. Pridobljeno 11. decembra 2015.
  5. »Analysis Of Sykipot Smartcard Proxy Variant«. Pridobljeno 17. decembra 2015.