Kitajci znajo okužiti računalnike, ki niso povezani z internetom

Ena izmed kitajskih hekerskih skupin je med prvimi na svetu, ki je uspešno pridobila dostop do računalnikov, ki niso povezani v nobeno omrežje. Strokovnjaki za računalniško varnosti FireEye so izdali 69-stransko poročilo, v katerem so opisali kitajski dosežek.

V današnji dobi luknjičaste programske opreme na eni strani ter namernega vstavljanja ranljivosti v programsko in strojno opremo je praktično nemogoče povsem zaščiti računalniške sisteme. Najboljši način je računalnik fizično odklopiti z mreže (postopku pravimo air-gapping), kar se uporablja v sistemih, ki nadzorujejo kritične procese. Recimo, centrifuge v iranskih obratih za bogatenje urana so bile takšne.

Žal niti to ni dovolj. Včasih so virusi skakali naokoli z disketami, danes pa so posvojili USB-ključe. Ti so večji in hitrejši disket, pa še firmware imajo, ki ga je možno preprogramirati. Stuxnet se je v iranske centrale razširil prav prek USB-ključev, če navedemo zgolj najbolj razvpit primer.

FireEye je opisal delovanje skupine APT30, ki deluje iz Kitajske, ni pa še povsem jasno, ali po vladnem ali zasebnem mandatu. Aktivni so že deset let. Čeprav APT30 ne piše najbolj dovršene zlonamerne programske opreme, jim je uspelo priti v računalnike brez povezave z internetom. Izdelali so črva, ki se skrije na izmenljivih medijih (USB-ključih in prenosnih diskih), ter se prekopira v računalnik. Tam čepi in zbira podatke, potem pa se prekopira nazaj na izmenljiv medij in počaka, da ga vtaknemo v nek z internetom povezan računalnik.

APT30 je napadala zlasti računalniške sisteme v jugovzhodni Aziji, nanjo pa so v FireEyeju postali pozorni, ko se je okužilo tudi nekaj njihovih ameriških strank.

Ker APT30 ni najbolj sofisticirana hekerska skupina na svetu, lahko upravičeno predvidevamo, da so podobnih taktik sposobne tudi druge (vladne) skupine. Zaskrbljujoče je dejstvo, da je APT30 to znal že leta 2006, medtem ko so doslej za pionirje veljali Rusi iz leta 2008.

V prihajajoči številki Monitorja bomo tudi objavili članek, ki bo obravnaval skrivanje virusov v firmware in skrita servisna področja na disku, kar jih napravi odporne tudi na formatiranje. 

https://www2.fireeye.com/WEB-2015RPTAPT30.html