Ostatni tydzień zaskoczył wielu informacjami o powrocie botnetu Mirai, reaktywacji grupy FIN7, a także kolejnej “wpadce” Facebooka. Więcej tematów znajdziecie – jak co tydzień – w naszej prasówce.
1.Nowy wariant Mirai – kolejna armia botnetu złożona z urządzeń IoT dla przedsiębiorstw
Ten rozdział, zdawałoby się zamknięty wraz z aresztowaniem i osadzeniem w więzieniu jego twórców, ponownie się otwiera…
Do tej pory Mirai słynął z infekowania różnego rodzaju inteligentnych czujników, rejestratorów, kamer bezpieczeństwa czy routerów, które korzystały z domyślnych danych uwierzytelniających lub posiadały przestarzałe wersje oprogramowania. Po zainfekowaniu urządzeń złośliwy program tworzył z nich swoją armię botnetu i wykorzystywał w przeprowadzanych atakach DDoS. Ataki tego typu “sparaliżowały” funkcjonowanie takich witryn jak: Twitter, Netflix, Amazon czy Spotify.
Nowy wariant Mirai wycelowany został w urządzenia IoT przeznaczone dla biznesu. Wśród ofiar wskazać należy: systemy bezprzewodowej prezentacji WiPG-1000, telewizory LG Supersign, routery (Linksys, ZTE, DLink), sieciowe systemy pamięci masowej, kamery IP czy sieciowe rejestratory NVR. Poszerzył się również “arsenał” eksploitów – przybyło ich aż 11 i łącznie daje sumę 27.
Jak uchronić się przed zagrożeniem? Pamiętajmy by po zakupie zmienić domyślne parametry konta każdego urządzenia. Nowe hasła powinny składać się z co najmniej 8 znaków i zawierać cyfry, wielkie litery oraz znaki specjalne. Nie zapominajmy o aktualizacjach oprogramowania – eliminujących odkryte luki bezpieczeństwa. Innym sposobem ochrony może być zablokowanie wszystkich potencjalnych punktów wejścia do systemu operacyjnego urządzeń (telnet/SSH/panel sieciowy itd.), tak aby nie można było uzyskać do nich dostępu za pośrednictwem internetu.
2. Użytkownicy Netflixa i American Express narażeni na phishing
W ostatnich latach dynamicznie wzrosła popularność płatnych platform VOD takich jak Showmax, HBO GO czy Netflix. Nie uszło to uwadze cyberprzestępców. Na efekty nie trzeba było długo czekać – najnowsza kampania phishingowa za cel obrała użytkowników Netflix’a.
Wiadomości rozsyłane przez przestępców “zmrozić” mogą krew w żyłach niejednego zapalonego miłośnika seriali. W temacie wiadomości znajduje się informacja “Twoje konto zostało zawieszone”. W celu jego ponownej aktywacji potencjalne ofiary przekierowane zostają do realistycznie wyglądającego formularza. Kto się w porę nie zorientuje, za jego pośrednictwem przekaże przestępcom informacje o swojej karcie kredytowej (numer karty, data ważności, nazwa banku, PIN i kod bezpieczeństwa), a także dane osobowe (imię, nazwisko, data urodzenia, e-mail, adres, telefon).
Druga z kampanii phishingowych wycelowana została w klientów American Express. Jej mechanizmy są niemal identyczne. Przestępcy za pośrednictwem rozsyłanych maili informują, że bank zablokował klientowi dostęp do karty kredytowej. W celu jego odzyskania wypełnić należy realistycznie wyglądający formularz. Za jego pośrednictwem mogą zostać skradzione: dane osobowe (imię, nazwisko, nazwisko panieńskie matki, data i miejsce urodzenia), informacje o karcie kredytowej (numer karty, data ważności, numer PIN i kod bezpieczeństwa) oraz dane uwierzytelniające (login i hasło do banku).
3. Okryta złą sławą grupa FIN7 znowu atakuje
Grupa FIN7 (zwana również Carbanak) zainicjowała swoją przestępczą działalność w 2015 roku. W ciągu 3 lat na jej konto zapisano setki ataków na firmy gastronomiczne, kasyna i hotele na całym świecie. Zakłada się, że hakerzy powiązani z tą grupą w samych Stanach Zjednoczonych ukradli dane 15 milionów kart kredytowych. Aktywni byli również w Wielkiej Brytanii, Francji czy Australii.
W sierpniu 2018 r. w Stanach Zjednoczonych aresztowano wysokiej rangi członków Carbanaku – obywateli Ukrainy. Podobne zatrzymania przeprowadzono w Niemczech, Hiszpanii oraz Polsce. Nie zakończyło to działalności grupy. FIN7 powrócił z nowym zestawem narzędzi administracyjnych oraz nigdy wcześniej nie widzianym złośliwym oprogramowaniem.
Nowe kampanie phishingowe hakerów wykorzystują nieznany wcześniej program SQLRat. Jest ono w stanie wykonywać skrypty SQL na zawirusowanych systemach. Oprogramowanie to nie pozostawia po sobie żadnych wzorców i artefaktów, co sprawia, że wyśledzenie autorów jest niezwykle trudne.
Grupa wykorzystuje również nieznanego dotychczas wieloprotokołowego backdoora DNSbot. Działa on w ruchu DNS wymieniając polecenia i dane z zainfekowanymi systemami. Backdoor jest w stanie przełączać się również na szyfrowane kanały, w tym na HTTPS i SSL.
Carbanak w przeprowadzanych atakach wykorzystuje także nowy, napisany w PHP i działający jak system zarządzania skryptami, panel administracyjny o nazwie Astra.
4. Firewall z 11 lukami bezpieczeństwa
Smart Firewall z systemem operacyjnym opartym na Linuksie oraz jądrem z łatkami PaX’a, został pierwotnie zaprojektowany w celu ochrony sieci domowych przed złośliwymi programami, phishingowymi stronami internetowymi oraz próbami włamań.
Jak wywiązywał się ze swoich zadań? Do tej pory nie najlepiej. Badacze bezpieczeństwa odkryli w nim aż 11 luk bezpieczeństwa. Wśród najpoważniejszych wskazać należy na podatność pozwalającą nieuwierzytelnionej osobie atakującej podszyć się pod usługi BrightCloud i wykonywać kod na urządzeniu jako użytkownik główny. Zważywszy, że BrightCloud SDK domyślnie używa połączeń HTTP do komunikacji ze zdalnymi usługami, wykorzystanie luki wydaje się być banalnie prosta w momencie, gdy atakujący przechwyci ruch.
Innej poważnej luki bezpieczeństwa Firewalla upatrywać należy w wykorzystaniu silnika Lunatik Lua do wykonywania poleceń języka skryptowego Lua w jądrze systemu operacyjnego przez nieuwierzytelnionego użytkownika sieci lokalnej.
Producent urządzenia – firma CUJO AI – opracował łatki likwidujące luki bezpieczeństwa. Użytkownicy Smart Firewalli powinni upewnić się, czy ich urządzenia zostały już zaktualizowane. Im szybciej, tym lepiej.
5. Nowa taktyka na atakowanie użytkowników Mac’ów
Grupa VeryMal kierująca złośliwe kampanie do użytkowników Mac’ów zmodyfikowała taktykę działania. W miejsce praktykowanej dotychczas steganografii, czyli sposobu ukrywania złośliwego kodu w plikach graficznych, grupa używa tagów reklam. Kliknięcie w złośliwą reklamę powoduje pobranie ładunku z Google Firebase i przekierowanie użytkowników do złośliwych pop-upów.
W momencie kliknięcia w złośliwą reklamę wyświetlającą się na stronie internetowej pojawia się okno pop-up z prośbą o aktualizację odtwarzacza Flash. Zgoda na jej przeprowadzenie równoznaczna jest z pobraniem i uruchomieniem trojana Shlayera.
Trojan wykorzystuje skrypty powłoki do pobrania dodatkowych złośliwych programów oraz reklam na zainfekowane urządzenie.
6. Safari, VirtualBox oraz VMware zhakowane…
… na szczęście w trakcie corocznego konkursu hakerskiego Pwn2Own, który organizowany jest począwszy od 2007 roku i służy wykrywaniu podatności w urządzeniach oraz oprogramowaniu znajdującym się w powszechnym użyciu.
Formuła konkursu, w której badacze bezpieczeństwa rywalizują ze sobą szukając nieodkrytych do tej pory podatności to doskonały sposób “zamykania” kolejnych potencjalnych furtek przed cyberprzestępcami.
Tegoroczny konkurs Pwn2Own 2019 odbył się w Vancouver w Kanadzie. Pula nagród dla uczestników – sowicie nagradzonych za swoja pracę – wyniosła okrągły milion dolarów.
W pierwszym dniu konkursu uczestnicy odkryli 2 nowe podatności przeglądarki Apple Safari, 2 nieznane do tej pory luki bezpieczeństwa VirtualBox’a oraz jedną, ale za to najwyżej – bo aż na 70.000 dolarów – wycenioną przez konkursowe jury, podatność maszyny wirtualnej VMware. Badacze tę kwotę zarobili za udaną ucieczkę z maszyny wirtualnej VMware oraz wykonanie kodu na podstawowym systemie operacyjnym hosta.
7. 600 milionów niezabezpieczonych haseł użytkowników Facebooka
Nawet 600 milionów niezaszyfrowanych haseł użytkowników znajdowało się na serwerze w wewnętrznej sieci Facebooka. Dostęp do nich mieli tylko pracownicy… a ściślej rzecz ujmując 20 000 pracowników tego giganta social mediów.
Niezabezpieczona lista haseł wykryta została w styczniu br. w trakcie rutynowego przeglądu bezpieczeństwa. Przedstawiciele Facebooka uspokajają, że hasła nie były widoczne dla nikogo spoza firmy. Dodają również, że nie ma żadnych dowodów jakoby hasła zostały nadużyte przez któregoś z zatrudnionych.
Anonimowy pracownik giganta poinformował jednak media, że z analizy dzienników dostępu wynika, że około 2000 inżynierów i programistów złożyło blisko 9 milionów wewnętrznych zapytań o elementy danych z tej listy. Jeżeli prawdą jest, że niezabezpieczone hasła nie zostały nadużyte, to rodzi się pytanie w jaki celu złożono taką ilość zapytań?
Facebook ma poinformować wszystkie “ofiary” tego wewnątrzfirmowego wycieku danych, że ich hasło było przechowywane na nieszyfrowanej liście. Na kogo wypadnie…? … na tego bęc.
8. Luka w popularnej bibliotece tworzenia plików PDF umożliwia zdalne wykonywanie kodu
W TCPDF – popularnej bibliotece PHP odkryto podatność, która umożliwia atakującym uruchomienie zdalnego kodu na serwerach internetowych. Błąd otrzymał nazwę CVE-2018-17057.
Odkryta luka opiera się na deserializacji. Kiedy programiści chcą przechowywać lub przesyłać informacje czytelne dla programu serializują je, przekształcając w strumień bajtów. Deserializacja to proces odwrotny, polegający na odczytaniu wcześniej zapisanego strumienia danych, z którego korzysta program.
PHP ma polecenie deserializacji danych, ale jako że programiści winni procesowi temu poddawać jedynie treści, którym ufają, poprzedza je ostrzeżenie. Badacz znalazł sposób jak w PHP zdeserializować zawartość bez jego wywoływania.
W tym celu wykorzystuje się funkcję plików Phar (archiwum PHP). Pliki Phar mają serializowaną sekcję metadanych, która zawiera informacje o pliku. Jeśli atakujący prześle plik Phar ze złośliwymi metadanymi i uzyska dostęp do strony internetowej w celu uruchomienia operacji obsługi plików, takich jak file_exists lub file_get_contents to może uruchomić dowolny kod.
Luka została wykorzystana w kilku aplikacjach, w tym w TCPDF. Programista strony internetowej może użyć tej biblioteki PDF do pobrania danych za pośrednictwem formularza internetowego, a następnie przekonwertować wypełniony formularz na przykład w dokument PDF do pobrania,.
Można wykorzystać tę lukę w TCPDF, przesyłając plik Phar jako obraz. PHP spróbuje ten plik przetworzyć używając funkcji file_exists, co spowoduje deserializację.
Atakujący może dostarczyć zły kod również za pomocą skryptu XSS (cross-site scripting), który umożliwia mu wstrzyknięcie dowolnego kodu HTML na stronę internetową.
TCPDF zawiera funkcję writeHTML, która pobiera kod HTML i renderuje go w pliku PDF. Umieszczenie tagu linku w HTML’u umożliwia atak na wskazanie interpretera PHP do pliku Phar z jego złośliwymi metadanymi, które są następnie deserializowane.
Problem został rozwiązany w tym miesiącu. Jeżeli używasz wersji 6.2.22 lub wyższej, jesteś już chroniony. Jeżeli nie, pamiętaj o aktualizacji