O czym w zeszłym tygodniu informowały zagraniczne media? O trojanie Gustuffie, nowym ataku grupy Lazarus, lukach bezpieczeństwa w protokole LTE. Więcej w przygotowanej prasówce.
1.Gustuff – nowy koń trojański hasa po Androidzie
Trojan Gustuff “podgryza” środki z kont klientów przeszło 100 banków z całego świata(!) Na liście ofiar znajdują się klienci m.in: Bank of America, Bank of Scotland czy J.P Morgan. Bezpieczni przed jego złodziejskim apetytem nie mogą czuć się posiadacze alternatywnych, cyfrowych środków płatniczych. Dlaczego? Twórcy Gustuffa wymierzyli go również w użytkowników aż 32 kryptowalutowych aplikacji na Androida. Jeżeli korzystacie z tak znanych aplikacji tego typu jak Coinbase, Cryptopay, BitPay czy Bitcoin Wallet miejcie się na baczności.
Twórcy trojana by obejść zabezpieczenia Google Protect, wykorzystali funkcję Accessibility, która ułatwia osobom niepełnosprawnym korzystanie z urządzeń oraz aplikacji z systemem Android.
Gustuffem zarazić się można za pośrednictwem złośliwego SMS-a zawierającego link z programem do pobrania. Jeżeli program ściągniemy i zainstalujemy, to po naszym urządzeniu zacznie hasać koń trojański. Swoje harce rozpocznie od przeanalizowania naszych kontaktów. Potem roześle do nich wiadomości ze złośliwymi linkami po to, by powiększyć swój wybieg.
Jak działa Gustuff? Podszywa się wyglądem pod prawdziwe aplikacje lub platformy generując w tym celu fałszywe, łudząco podobne interfejsy. W ten sposób kradnie dane uwierzytelniające, tych którzy oszustwa nie zauważą. Trojan potrafi też zmieniać treści wypełnianych przez nas pól tekstowych. Co to oznacza? Jeżeli będziemy chcieli dokonać przelewu bankowego za pośrednictwem aplikacji zainstalowanej w naszym telefonie, okazać się może, że zamiast faktury za obsługę księgową zasilimy otwarte na Kajmanach konto cyberprzestępców.
Jak uchronić się przed tym zagrożeniem? Nie klikajmy w żadne linki, które znajdują się w podejrzanych wiadomościach SMS – choćbyśmy nawet otrzymali je od „zaufanych” kontaktów.
2. Protokół LTE dziurawy jak szwajcarski ser
Long Term Evolution (LTE), czyli protokół stosowany przez tysiące sieci komórkowych i setki milionów użytkowników na całym świecie, ma aż 51 podatności w swoich zabezpieczeniach.
Luki te pozwalają atakującym na przerywanie połączeń, odłączanie użytkowników od sieci komórkowej, blokowanie połączeń przychodzących, wysyłanie fałszywych SMS-ów, podsłuchiwanie oraz manipulowanie danymi użytkowników.
Podatności odkryte zostały przy zastosowaniu techniki fuzzingu (metody testowania kodu) przez zespół badawczy z Korei Południowej. Naukowcy specjalnie w tym celu zbudowali narzędzie testowe LTEFuzz, które wykorzystali do tworzenia złośliwych połączeń z siecią komórkową oraz do analizowania odpowiedzi.
Odkryte luki tkwią zarówno w samym protokole, jak i w sposobie wdrożenia LTE na urządzeniach producentów. Naukowcy poinformowali o odkrytych podatnościach organizacje 3GPP- stojącą za standardem LTE oraz GSMA – reprezentującą operatorów telefonii komórkowej.
3. Nowe ataki grupy przestępczej Lazarus
Grupa hakerów Lazarus, łączona z Koreą Północną, w swoich najnowszych atakach wykorzystuje interpreter poleceń PowerShell do sforsowania systemów Windows i MacOS.
Ataki wymierzone są w firmy zajmujące się kryptowalutami, a także w technologiczne startupy. „Aby dostać się do systemów tych firm, cyberprzestępcy rozsyłają do ich pracowników wiadomości z zainfekowanymi załącznikami lub linkami prowadzącymi do fałszywych stron. Po kliknięciu w link lub załącznik pobrane zostaje złośliwe oprogramowanie. Niestandardowe, spreparowane przez Lazarusa, skrypty PowerShella komunikują się wówczas ze złośliwymi serwerami C&C i wykonują polecenia cyberprzestępców. Przesyłają i pobierają pliki, gromadzą informacje o hostach, wykonują polecenia powłoki systemu, ustawiają czas uśpienia, sprawdzają stan złośliwego oprogramowania, wyświetlają aktualną jego konfigurację, aktualizują je.
Jak przeciwdziałać takim atakom? Zachowując szczególną ostrożność w kontaktach z nieznanymi nam stronami oraz zamieszczonymi w wiadomościach linkami i załącznikami.
4. Wyciek danych 34 tysięcy pacjentów korzystających z leczniczej marihuany
W minionym tygodniu z kanadyjskiej sieci klinik Natural Health Services wyciekły dane osobowe blisko 34 tysięcy pacjentów korzystających z marihuany w celach leczniczych. Wśród ujawnionych informacji o kuracjuszach znalazły się nie tylko imiona, nazwiska czy adresy zamieszkania, ale również postawione diagnozy lekarskie.
Dane wyciekły z elektronicznego systemu dokumentacji medycznej stosowanego zarówno przez NHS, jak i spółkę macierzystą Sunniva. Nie ujawniono kto lub co ponosi odpowiedzialność za to zdarzenie. Za zaistniałą sytuację pacjentów przeprosił prezes NHS, zapewniając w stosownym oświadczeniu, że podjęto już niezbędne kroki, aby zapobiec powtórzeniu się tego typu sytuacji w przyszłości.
Posypanie głowy popiołem nie usatysfakcjonowało poszkodowanych, gdyż rozważają złożenie w sądzie pozwu zbiorowego przeciwko NHS.
5. Aplikacja szpiegująca udostępniła tysiące prywatnych zdjęć i nagrań
Firma hostingowa usunęła bazę danych aplikacji szpiegowskiej MobiiSpy działającej na Androidzie i służącej do śledzenia tego co ludzie robią w swoich telefonach.
W niezabezpieczonej bazie danych dostępnych było 95.000 prywatnych zdjęć oraz 25.000 nagrań użytkowników telefonów.
Baza nie zawierała nazwisk ani danych kontaktowych właścicieli telefonów. Analizując jednak umieszczone w niej zapisy połączeń oraz zgromadzone zdjęcia i nagrania łatwo można było właścicieli zidentyfikować.
Twórcy aplikacji MobiiSpy na stałe zakodowali w niej adres URL do bazy. Osoby szpiegujące mogły dzięki temu odczytywać kontakty telefoniczne, SMSy oraz nagrania nieświadomych niczego ofiar.
Od momentu zgłoszenia odkrycia niezabezpieczonej bazy do jej usunięcia minęło 6 tygodni. Sprzedawca aplikacji wielokrotnie informowany, nie reagował. Rejestrator domeny stwierdził, że nie jest w stanie tej sprawie pomóc. Dopiero firma hostingowa, na której serwerach umieszczona była niezabezpieczona baza danych, po nagłośnieniu historii, postanowiła usunąć bazę danych.
6. Giełda kryptowalut DragonEx padła ofiarą hakerów
W wyniku ataku na DragonEx – giełdę kryptowalut z siedzibą w Singapurze, część funduszy w postaci kryptowalut należących do użytkowników giełdy zostało przetransferowanych i skradzionych. Wartość utraconych aktywów nie została ujawniona.
Giełda o zaistniałym zdarzeniu poinformowała właściwe organy wymiaru sprawiedliwości w Singapurze, Estonii, Tajlandii oraz Hong Kongu. Zobowiązała się do pomocy policji w prowadzonym w tej sprawie dochodzeniu jak również do pokrycia strat poniesionych przez jej użytkowników.
DragonEx udostępniła adresy 20 portfeli kryptowalutowych, do których najprawdopodobniej przeniesiono skradzione fundusze. Na liście skradzionych aktywów znalazło się pięć największych kryptowalut według kapitalizacji rynkowej: Bitcoin, Eter, XRP, Litecoin, a także EOS.
Jest to kolejna giełda, która w ciągu ostatnich kilku miesięcy zaatakowana została przez hakerów. Na liście ofiar znajdują się nowozelandzka Cryptopia, która w wyniku ataku odnotowała stratę w wysokości ponad 12 milionów dolarów oraz japońska giełda CoinCheck, która utraciła blisko 500 milionów dolarów.
7. Twitterowy żart prowadzić może do zablokowania konta
Krążą tweety mające na celu nakłonić ludzi do zmiany daty urodzenia podanej w profilu na Twitterze. Plotka niesie wieść o dostępności nowych, finezyjnych schematów kolorystycznych. Co trzeba zrobić by je odblokować? Wystarczy jedynie odmłodzić się… zmieniając datę swojego urodzenia na 2007 rok. Nic prostszego. Czyżby?
Okazuje się, że jest to złośliwy żart. Zespół wsparcia Tweetera informuje, że schematy kolorystyczne nie są w żaden sposób powiązane z datą urodzin użytkowników i apeluje by jej nie zmieniać.
Na czym polega wredny dowcip? Podając jako datę urodzin 2007 rok, okaże się, że jak za dotknięciem cudownej różdżki liczyć będziecie 12 wiosen… podczas, gdy minimalny wiek użytkowników Twittera wynosić winien 13 lat. Tym samym okaże się, że jesteście zbyt młodzi by korzystać z jego usług. Nie bądźcie więc zaskoczeni, gdy Wasze konto zostanie zablokowane…
8. Microsoft usunął 99 stron kontrolowanych przez irańskich hackerów
Microsoft, decyzją sądu, zakłócił działanie 99 witryn internetowych obsługiwanych przez irańską grupę Phosphorus (znaną również pod nazwami: APT35, Charming Kitten, czy tez Ajax Security Team).
Zablokowane strony wykorzystywane były przez hakerów do przeprowadzania ataków phishingowych na całym świecie oraz kradzieży danych uwierzytelniających. W atakach tych przestępcy podrabiali strony Microsoftu i wysyłali fałszywe ostrzeżenia bezpieczeństwa.
Producent śledził działalność grupy począwszy od 2013 roku.
Ostatnie jej działania skierowane były głównie do firm, agencji rządowych oraz osób zaangażowanych w sprawy związane z Bliskim Wschodem. Irańscy hakerzy próbowali m.in.: włamać się na konta poczty elektronicznej członków Departamentu Skarbu Stanów Zjednoczonych, arabskich naukowców atomowych, irańskich przedstawicieli społeczeństwa obywatelskiego, pracowników ośrodków analitycznych oraz organów egzekwujących amerykańsko-irańskie porozumienie nuklearne.
9. Oszustwa telekomunikacyjne kosztują 29 mld euro rocznie (!)
Europol w raporcie Cyber Telecom Crime 2019 podaje, że oszustwa telekomunikacyjne kosztują przemysł i klientów końcowych przeszło 29 mld euro rocznie.
Autorzy raportu utrzymują, że oszustwa telekomunikacyjne postrzegane są przez grupy przestępcze jako mniej ryzykowne od tradycyjnych przestępstw finansowych, a ich liczba nieustannie rośnie. Jednej z przyczyn upatruje się w braku kontroli przeciwdziałających praniu brudnych pieniędzy, będących nieodłącznym elementem funkcjonowania sektora finansowego.
Za wzrostem tej statystyki stoją grupy prowadzące transgraniczną działalność przestępczą. Sponsorowane są niejednokrotnie przez upadłe kraje, które dzięki oszustwom zasilają państwową kasę.
International Revenue Sharing Fraud (IRSF) to najbardziej znana forma oszustwa telefonicznego. Przestępcy wykorzystują numery telefonów o podwyższonej opłacie i starają się nakłonić ofiary do odebrania połączeń z takich numerów. Inną metodą jest dzwonienie i rozłączanie się z nadzieją, że część osób na taki numer oddzwoni. W obu przypadkach nasze działanie zasili konto przestępców, narażając nas na dodatkowe opłaty. Łańcuchy IRSF wykorzystane bywają również do prania brudnych pieniędzy.
Autorzy raportu zachęcają dostawców usług telekomunikacyjnych do współpracy ze specjalnie utworzoną grupą Europolu EC3 CyTel. Wzajemne informowanie się, wymiana doświadczeń na temat technik i sposobów działania grup przestępczych ma być sposobem na skuteczne przeciwdziałanie tej coraz poważniejszej formie międzynarodowej cyberprzestępczości… oby.