AVISO

OS COMENTÁRIOS, E AS PUBLICAÇÕES DE OUTROS
NÃO REFLETEM NECESSARIAMENTE A OPINIÃO DO ADMINISTRADOR DO "Pó do tempo"

Este blogue está aberto à participação de todos.


Não haverá censura aos textos mas carecerá
obviamente, da minha aprovação que depende
da actualidade do artigo, do tema abordado, da minha disponibilidade, e desde que não
contrarie a matriz do blogue.

Os comentários são inseridos automaticamente
com a excepção dos que o sistema considere como
SPAM, sem moderação e sem censura.

Serão excluídos os comentários que façam
a apologia do racismo, xenofobia, homofobia
ou do fascismo/nazismo.

quinta-feira, 14 de março de 2013


Computadores do Governo Português alvo de intrusões…



…através do Adobe Reader
Os computadores do Governo Português foram alvo de intrusão. O alerta foi dado pela Kaspersky Lab que, em conjunto com o laboratório húngaro de Criptografia e Sistemas de Segurança (CrySyS),  detectaram intrusões em computadores de entidades governamentais de vários países, entre os quais se destacam Portugal, Ucrânia, Bélgica, Irlanda, Roménia e República Checa. O ataque foi feito recorrendo à vulnerabilidade do Adobe Reader.
governo


Segundo informações, os atacantes exploraram a vulnerabilidade (que publicamos aqui)  no software Adobe Reader. Como referido, a investigação foi levada a cabo pela Kaspersky Lab e pelo  grupo CrySyS, pertencente à Universidade de Budapeste, na Hungria, que também publicou informações sobre este assunto – ver aqui.
A estratégia do ataque consistiu em enviar documentos falsos, em formato PDF, que incluíam o software malicioso MiniDuke. Os documentos, alguns deles pertencentes à NATO  e daí serem “aparentemente” fidedignos, faziam na prática parte do ataque. Depois de abrir os documento,estes davam ordem de execução do malware que por sua vez possibilitava o controlo do computador, remotamente entre outras acções.
pdf_00
Além do acesso remoto, o malware recorria a contas do Twitter, criadas para dar suporte a todo o ataque. No exemplo seguinte, podemos ver um URL, onde os comandos estão cifrados. Na prática, o código apresentado no tweet permitia transferir malware para o sistema, via ficheiros de imagem .gif.
twitter
Se por algum motivo o recurso ao Twitter não fosse possível ou as contas já estivessem desactivas, o malware recorria ao Google Search para obter os próximos passos para acções de C2 (Command and Control).
A Adobe disponibilizou uma atualização de segurança que tinha como objectivo a correção da vulnerabilidade, mas a Kaspersky Lab garante que os responsáveis pelo miniDuke ainda estavam em acção, tendo em conta que na passada Quarta-feira, dia 20 de Fevereiro, havia registo de actividade do malware.
By -

Sem comentários:

Enviar um comentário

Subscrever: Enviar feedback (Atom)