Chciałoby się powiedzieć “A teraz coś z zupełnie innej beczki”… ale fakty pokazują co innego. Odpowiedzialność w IT – to temat, który zdominował dzisiejsze zestawienie “prasówkowe”. Zaczynamy od karygodnego zaniedbania i wycieku ponad 20 milionów rekordów nt. obywateli Ekwadoru. Kolejny przykład bezmyślności to ponowny atak Smominru na wcześniej oczyszczone już z niego urządzenia. Ten ponury ciąg IT-tragedii przerywa na szczęście odpowiedzialna postawa AMD, które wydało ważną aktualizację swoich sterowników – warto przeczytać więcej na ten temat poniżej. Nasze zestawienie zamykają news’y o fałszywych wtyczkach Adblock, które mogły poszczycić się aż pięcioma gwiazdkami (jak więc ich nie instalować…) oraz nową (bardzo udaną) kampanią malsmap, która targetuje obywateli naszego kraju.
1. Dane i odpowiedzialność IT muszą iść w parze, czyli case Ekwador
Największa IT-wpadka tygodnia. Bo jak inaczej nazwać to do czego doszło w Ekwadorze? Dane nt. prawie całej populacji tego niespełna 17 mln kraju były dostępne online… Przez jak długi czas? Tego jeszcze nie wiadomo.
Specjaliści z vpnMentor niespełna trzy tygodnie temu natrafili na coś niebywałego – bazę Elasticsearch zawierającą 20.8 mln danych nt. obywateli Ekwadoru. Nie, nie mamy do czynienia z błędem matematycznym. Rekordów było więcej niż obywateli kraju. Niektóre z nich zostały zduplikowane… Baza zawierała również informacje o osobach już nieżyjących.
Analiza odkrytych zasobów pokazała, że pochodziły one z różnych źródeł. Wiadomo, że baza zawierała informacje takie jak imiona i nazwiska obywateli, płeć, datę i miejsce urodzenia, informacje o członkach rodziny, stan cywilny, odpowiednik naszego numeru PESEL, adresy zamieszkania, numery telefonu, informacje nt. zatrudnienia, wykształcenie.
To jeszcze nie koniec
Specjaliści natrafili również na index z rekordami zaciągniętymi z BIESS, czyli Banco del Instituto Ecuatoriano de Seguridad Social. Do już i tak obszernej liczby informacji jaki wyciekły należy więc dodać dane finansowe: stausy kont, saldo, typy kredytów, informacje nt. posiadacza konta – w tym informacje o zatrudnieniu.
Na tym również nie koniec
Jest jeszcze indeks z rekordami należącymi do AEADE – Asociación de Empresas Automotrices del Ecuador. Tutaj wyciekły tylko dane właścicieli samochodów. Co dokładnie? Modele oraz numery rejestracyjne.
Podsumowując: 7 mln rekordów finansowych i 2.5 mln rekordów zawierających dane o samochodach i ich właścicielach.
Ekwador ma nie lada problem. 1) Ogromna liczba ludzi jest narażona na wszelkiego typu oszustwa. 2) Przestępcy mogą obrać sobie za cel bogatych obywateli. Dzięki danym wiedzą gdzie mieszkają, jakie posiadają samochody, czy mają dzieci. Kradzież, porwania, wyłudzenia – łatwe jak nigdy wcześniej.
Odpowiedzialność w IT i gdzie szukać winnych…
Źródłem wycieku okazała się… lokalna firma świadcząca usług z zakresu szeroko pojętej analizy rynku. Właściciel Novaestrat został aresztowany w zeszłą środę. Nie zmieni to jednak faktu, że do sieci trafiło 18 GB danych, które w niepowołanych rękach, wyrządzą ogromne szkody wielu ludziom.
2. Wada sterownika AMD Radeon umożliwia ucieczkę z VM
Eksperci z grupy Cisco Talos odkryli podatność w sterowniku AMD ATI Radeon, która mogłaby posłużyć do ucieczki z maszyny wirtualnej i wykonywania kodu bezpośrednio na hoście.
Podatność dotyczy sterownika kart graficznych AMD Radeon RX 550 i serii 550 Dokładnie chodzi o ATIDXX64.DLL w dwóch wersjach – 25.20.15031.5004 oraz 25.20.15031.9002.
Na szczęście może ona zostać wykorzystana tylko w przypadku VMware Workstation 15 i Windows 10 x64 jako guestVM.
Co nam grozi? Jeśli złośliwy skrypt zostanie wykonany wewnątrz maszyny VMware może on popsuć pamięć i w ten sposób umożliwić atakującemu zdalne wykonanie kodu na maszynie hostującej maszynę wirtualną.
Zespół specjalistów z Talos zgłosił swoje odkrycie firmie AMD na początku maja. W tym tygodniu vendor udostępnił aktualizację sterownika. Eksperci wydali również regułę SNORT, która umożliwia ustalenie czy ma miejsce opisany wyżej atak: 49978, 49979.
…tak, to był ten pozytywny przykład ukazujący odpowiedzialność w IT.
3. Czy Twój ad blocker to aby na pewno prawdziwy “AdBlock”?
Nie przepadamy za reklamami. Ponad 600 mln użytkowników przegląda sieć z włączonym ad blocker’em. Nie da się ukryć, że takie wtyczki chronią nas również przed niektórymi z cyberzagrożeń. Złośliwe i niebezpieczne reklamy przekierowujące na równie złośliwe i niebezpieczne strony? Zablokowane!
Ale 600 mln to spora suma… tzn. liczba. Wiedzą o tym oszuści, dlatego często wykorzystują programy typu ad blocker do zbierania dodatkowych profitów. Tym razem oszuści obrali sobie za cel użytkowników Chrome.
Początkowo tak spreparowana wtyczka robi to, na co wskazuje jej nazwa – blokuje reklamy. Nic w tym dziwnego. Mamy w końcu do czynienia z kopią opartą na kodzie oryginalnego “AdBlock’a”. Jednak 55 godzin po instalacji zaczyna ona robić coś jeszcze.
Trafiasz na stronę produkt-a.com – okazuje się, że jest ona częścią programu afiliacyjnego producenta A. W odpowiedzi Twoja przeglądarka otrzymuje specjalny “afiliacyjny” plik cookie. Jeśli dokonasz zakupu poprzez właśnie tę witrynę, twórca wtyczki otrzyma prowizję od wspomnianego producenta.
Znamy winnych
Korzystasz z ad blockera? Zainstalowałeś/aś jeden z najpopularniejszych dodatków, z szeregiem pozytywnych opinii i oceną 4,5-5 gwiazdek? Mówią Ci coś nazwy “AdBlock” dodany przez “AdBlock, Inc” oraz “uBlock” autorstwa “Charlie Lee”? To Twoja wtyczka? W takim razie lepiej jak najprędzej ją odinstaluj.
18 sierpnia obie wtyczki usunięto z centrum dodatków Chrome.
4. Botnet Emotet wycelował swój spam w Polskę
Po tym jak w sierpniu serwery C&C Emotet ponownie się uaktywniły, wszyscy czekaliśmy na moment, gdy botnet zacznie rozsyłać kolejny spam. Tak też się stało. Specjaliści natrafili na pierwsze maile w zeszły poniedziałek. Wiadomości phishingowe rozesłano dotąd w czterech językach: niemieckim, polskim, włoskim oraz angielskim (ale te ostatnie znacznie później).
Twórcy Emotet posługują się interesującymi metodami. Przyjrzyjmy się kilku z nich. Jedną z nich jest wykorzystywanie starych wątków wiadomości mail. Ponieważ mail zawiera cytowaną treść innej wiadomości, na którą nadawca ma w teorii odpowiedzieć, są dużo szanse na to, że filtry antyspamowe ją przepuszczą. W ten sposób atakujący unikają także wykrycia przez tzw. spam traps. Wyłapanie rozesłanej kampanii przez takie pułapki szybko skutkuje jej zablokowaniem. Dlatego wiele z obecnie aktywnych kampanii spamerskich jest rozsyłana w dużo mniejszych ilościach. Złośliwe kampanie spamowe mają znacznie wyższe współczynniki dostarczania niż zwykły spam. Czasem nawet dziesięć procent maili przenika przez pierwszą warstwę obrony.
Atakujący wykorzystują też socjotechniki – zwracają się do odbiorcy po imieniu, włączają do treści zwroty takie jak “W załączniku przesyłam zedytowaną wersję dokumentu” itp.
Emotet rozsyła wiadomości poprzez przejęte ale nadal posiadające pozytywną opinię serwery pocztowe. Takie adresy IP nie będą więc prawdopodobnie ujęte na żadnych oficjalnych listach.
W momencie gdy ofiara klika w załącznik, malware atakuje. Uruchomione makro pobiera następnie Emotet z jednej z zainfekowanych stron, często działających w oparciu o WordPress. Wykryto także alternatywną technikę pobierania programu – poprzez skrypt downloader’a.
Po drugiej stronie… monitora
Po tym jak Emotet zainstaluje się na endpoincie, sprawnie rozprzestrzenia się na pozostałe urządzenia działające w tej samej sieci. Kradnie dane uwierzytelniające z zainstalowanych aplikacji i rozsyła spam do kontaktów zapisanych w skrzynce mailowej. Co gorsze służy za kanał zarażenia dla dużo bardziej niebezpiecznych zagrożeń jak TrickBot czy ransomware Ryuk.
5. Botnet Smominru dziennie infekuje blisko 4700 nowych hostów
Równie dobrze moglibyśmy nadać jednak inny tytuł – o tym jak zostać ponownie złapanym. Jak już się domyślacie, tag “odpowiedzialność w IT” stosuje się także do tego artykułu.
Botnet aktywny od 2017 r. w swojej szczytowej fazie rozwoju liczył ponad pół miliona maszyn. Po zainfekowaniu malware wykradał dane uwierzytelniające użytkownika oraz wpuszczał na urządzenie trojana. Smominru wyszukiwał maszyny z systemem Windows podatne na atak EternalBlue (exploit!). Za pomocą brute-force dostawał się również na serwery MS SQL, RDP i Telnet.
Specjaliści z Guardicore Labs analizując obecną aktywność botnet’a zauważyli, że część maszyn została tak naprawdę ponownie przejęta przez Smominru. Czytaj: nikt nie zaprzątał sobie głowy załataniem istniejących w nich podatności. Mowa o 1/4 wszystkich infekcji. Zespołowi udało się dostać do jednego z serwerów C&C. Dzięki temu wiemy, jakie informacje atakujący logowali na każdym zainfekowanym hoście, w tym zewnętrzne i wewnętrzne adresy IP, informacje o systemie operacyjnym, obciążenie procesora i uruchomione procesy. Logi ujawniły również próby kradzieży danych uwierzytelniających za pomocą Mimikatz.
Dane. W sierpniu Smominru miał już pod swoją kontrolą 90,000 urządzeń. Dziennie botner powiększa się o kolejne 4700. Najwięcej infekcji miało miejsce w Chinach, na Tajwanie, Rosji, Brazylii oraz USA. Na liście zainfekowanych podmiotów znajdują się uniwersytety, firmy medyczne oraz firmy świadczące usługi z zakresu cyberbezpieczeństwa.
Większość zainfekowanych maszyn posiada system Windows 7 oraz Windows Server 2008 – mówimy aż o 85% wszystkich infekcji. W dalszej kolejności atak dotknął także urządzenia z Windows Server 2012, Windows XP i Windows Server 2003.
6. Malware Skidmap ukrywa się wewnątrz kernel’a aby ukryć crypto-mining
Nowo wykryty malware wykorzystuje rootkit’y do ukrycia się w systemie Linux… aby móc bezpiecznie kopać swoim twórcom kryptomonety.
Skidmap uruchamia się wraz z działającymi w trybie jądra rootkitami. Ich główne zadanie polega na zaciemnianiu jego obecności na zainfekowanym systemie. Zapewnieniają także atakującym nieograniczony dostęp do zasobów komputera.
Skrypt instalacyjny pobiera głównego trojana, który przełącza moduł Security-Enhanced Linux (SELinux) w stan 'permissive’. Poziom zabezpieczeń maszyny staje się więc niski. W kolejnym kroku atakujący tworzą backdoor’a – do znajdującego się w systemie Linux pliku authorized_keys zostaje dopisany klucz publiczny atakującego. Kolejny moduł wykorzystywany do uwierzytelniania Unix zostaje zastąpiony przez złośliwy odpowiednik, który umożliwia logowanie do dowolnego konta użytkownika za pomocą master password.
Ale to co jest najbardziej interesujące w przypadku tego marware’a to sposób w jaki wykorzystuje kernel. Wiele procedur Skidmap’a wymaga dostępu do roota. Za to odpowiadają właśnie rootkity w trybie jądra – gwarantują atakującym wymagany poziom dostępu. Jeden z rootkit’ów jest w stanie zafałszowywać ruch sieciowy oraz statystyki wykorzystywania CPU – porty, adresy IP, obciążenia procesora i aktywne procesy. Pomimo kopania kryptowalut, wykorzystanie CPU zawsze “jest” więc stosunkowo niskie.