W tym tygodniu przybliżamy wam temat nowej kampanii malspam, szpiegostwa na miarę XXI wieku oraz szczególnie niepokojących kradzieżach wojskowych danych.
1. 1 mld telefonów może być szpiegowanych przez luki w kartach SIM iSMS
SimJacker to krytyczna luka w zabezpieczeniach kart SIM, która może zostać wykorzystana do ataku na dowolny telefon i szpiegowania ofiar poprzez…wysłanie wiadomości SMS.
Podatność odkryli badacze z firmy AdaptiveMobile Security. Karty SIM mają całkiem sporą pamięć i prosty procesor. Możliwe jest zatem wgranie na nie oprogramowania. Takiego jak np. “dziurawy” S@T Browser (SIMalliance Toolbox) – używany do celów diagnostycznych. Wbudowany jest on w większość kart SIM używanych przez operatorów telefonii komórkowej w co najmniej 30 krajach. Według ekspertów, wykorzystanie istniejącej w nim luki jest niezależne od modelu telefonu używanego przez ofiarę. Co więcej, za jego pomocą możliwy jest atak na urządzenia typu IoT wyposażone w karty SIM.
Oprogramowanie S@T Browser dość stare i powszechnie nieznane. Jego pierwotnym celem było umożliwienie usług takich jak sprawdzenie salda konta. Globalnie jego funkcja została w większości zastąpiona przez inne technologie, a jednak jest nadal używana, działając w tle.
Jak to działa? Atak SimJacker polega na wysłaniu SMS-a zawierającego określony rodzaj kodu typu spyware, który instruuje kartę SIM, aby “przejęła” telefon oraz pobrała i wykonała poufne polecenia. Przykładowo, atakujący wysyła SMS-a do ofiary, a w odpowiedzi otrzymuje informację o jego geolokalizacji. Co ciekawe, ofiara nie widzi tej wiadomości
Co mogą atakujący?
Pobrać naszą lokalizację, wysyłać fałszywe wiadomości w imieniu ofiar, dokonywać oszustwa wybierając numery o podwyższonej opłacie, szpiegować otoczenie ofiar, otwierać złośliwe strony internetowe i rozpowszechniać wirusa czy wykonywać ataki typu DoS.
Raz, dwa, trzy…szpiegowany jesteś Ty. Eksperci ujawnili, że zaobserwowali ataki SimJacker na użytkowników najpopularniejszych urządzeń mobilnych produkowanych przez Apple, Google, Huawei, Motorolę i Samsunga. Zagrożonych jest ponad 1 mld użytkowników telefonów na całym świecie, w tym z dwóch Ameryk, Europy, Bliskiego Wchodu i Afryki Zachodniej.
AdaptiveMobile Security przekonuje, że exploit ten został opracowany przez konkretną prywatną firmę, która współpracuje z rządami w celu monitorowania osób fizycznych. Co więcej, robi to od co najmniej 2 lat…
Aż strach o tym myśleć…
2. LokiBot z nową kampanią malspam
LokiBot po raz kolejny dał o sobie znać. Badacze z Fortinet natrafili niedawno na kampanię malspam, wymierzoną w konkretną amerykańską firmę produkcyjną.
LokiBot jest nam dobrze znany – przeczytacie o nim więcej tutaj. Malware pozostaje aktywny od 2015 roku. Program wykrada informacje, stąd jest wykorzystywany w wielu kampaniach spamowych. Atakujący zdobywają z jego pomocą dane logowania z przeglądarek, klientów pocztowych, narzędzi administratora. Trojan posłużył również do ataków na posiadaczy portfeli z kryptowalutami. Z sukcesem oczywiście.
Nowy wariant LokiBot wykryto 21 sierpnia br. Analiza próbki wykazała, że program został skompilowany tego samego dnia. Wiadomości phishing’owe (z malware’m ukrytym w pliku .exe gry o nazwie Dora The Explorer) trafiły na skrzynki pracowników działu sprzedaży. Nic w tym zaskakującego. Zwykle takie adresy pozyskuje się najłatwiej. Są na większości stron firmowych. Dodatkowo znamy adres IP z którego wysłano spam (IP 23[.]83[.]133[.]8.). Posłużył on już wcześniej do ataku na dużą niemiecką piekarnię w czerwcu tego roku. Wtedy atakujący poprzez malspam chcieli skłonić ofiary do pobrania elektronicznej faktury… po chińsku.
Zagrożenie. Program był w stanie wykraść dane uwierzytelniające różnego typu. Przede wszystkim dane do FTP, hasła do skrzynkach pocztowych oraz te zapisane w przeglądarce i… wszystkie inne. Dlatego ten atak wydaje się tak wyjątkowy.
Biorąc pod uwagę niewielką liczbę wiadomości malspam dostarczanych przy użyciu nowo zidentyfikowanego adresu IP, powiązany z nim serwer jest zapewne wykorzystywany przez jedną grupę przestępczą. Mamy również do czynienia z bardzo ukierunkowanymi atakami.
Ciekawostka. W odróżnieniu od wcześnie wykrytych wariantów malware’a Lokibot obecny nie wykorzystuje steganografii.
3. Zainstalowałeś Latarkę ze Sklepu Play? A czy wiesz do czego dałeś jej dostęp?
Czasy kiedy aplikacja Latarka potrzebowała wyłącznie dostępu do kamery telefonu oraz lampy błyskowej mamy już za sobą. Przynajmniej takie niepokojące informacje płyną z raportu przygotowanego przez firmę Avast.
Producent antywirusów przeanalizował 937 aplikacji dostępnych w Google Play. Specjalistów interesowała ilość zgód, które użytkownik musi wyrazić aby aplikacji działała „prawidłowo” oraz ich rodzaj. Tak więc…
- 408 aplikacji wymaga 10 lub mniejszej ilości zgód,
- 237 potrzebuje 11-49,
- 262 aż 50-77 dostępów.
Na co dokładnie zgadzają się użytkownicy?
180 aplikacji żąda dostępu do kontaktów – zamawiał/a Pan/Pani jakiś spam? 131 potrzebuje dostępu do danych lokalizacji urządzenia. 21 chce dodawać za użytkownika kontakty. Tak, ciągle mówimy o aplikacji Latarka, która ma w zasadzie pomóc nam znaleźć drogę w ciemnościach itp.
Niektóre ze zgód są bardzo niebezpieczne. KILL_BACKGROUND_PROCESSES może posłużyć do zmniejszenie zużycia energii… albo skutecznie uśmiercić aplikacje zabezpieczające urządzenie.
Szczególnie niepokoi fakt, że zdobyte w ten sposób dane mogą zostać następnie sprzedane innym podmiotom – w końcu użytkownik wyraził zgodę. A że nie wczytał się w szczegóły…
4. Malware powiązany z Ryuk wykrada tajne dane armii, informacje finansowe…
Badaczom udało się namierzyć zupełnie nowy malware – w jakiś sposób powiązany z ransomware Ryuk – który namierza a potem kradnie poufne dane finansowe, wojskowe oraz organów ścigania.
Ryuk szyfruje pliki ofiary i następnie żąda okupu, jednak nie ma dowodów na to, że wykrada także dane z zainfekowanych urządzeń. Tymczasem nowa infekcja odkryta przez MalwareHunterTeam, robi dokładnie to. Program wyszukując poufne pliki a następnie przesyła je na FTP znajdujące się pod kontrolą atakującego.
Jak działa file stealer? Program skanuje komputer ofiary w poszukiwaniu plików Word (.docx) i Excel (.xlsx). Ciekawostka: jeśli natrafi na folder spełniający określone kryteria, przejdzie do następnego – podobnie jak przy ataku ransomware.
Kiedy malware zlokalizuje plik .docx lub .xlsx wykorzystuje funkcje libzip, zip_open oraz zip_trace aby sprawdzić, czy plik jest prawidłowym dokumentem Word lub Excel. Jeśli ma do czynienia z właściwym plikiem, porówna jego nazwę z listą 77 ciągów zawartych w swoim kodzie. Poniżej wyszczególniamy tylko część z nich – zdecydowanie te, które wydają się najbardziej niepokojące.
„marketwired”, „10-Q”, „fraud”, „hack”, „tank”, „defence”, „military”, „checking”, „classified”, „secret”, „clandestine”, undercover”, „federal” itp.
Co ciekawe malware poszukuje także plików zawierających w nazwie imiona takie jak „Emma”, „Liam”, „Olivia”,”Noah”, „William”, „Isabella”, „James”, „Sophia” oraz „Logan”. Szaleństwo? Spisek? Nic bardziej mylnego. To jedne z najpopularniejszych imion nadawanych noworodkom w USA. Wszystkie zostały opublikowane na stronie amerykańskiego Departament Ubezpieczeń Społecznych.
Powiązania z ransomware’m Ryuk
1) Stealer pomija wszystkie pliki powiązane z Ryuk: RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE oraz wszystkie inne z rozszerzeniem .RYK.
2) Stealer oraz Ryuk posiadają wspólne fragmenty kodu.
3) Stealer skanuje zainfekowane urządzenie w poszukiwaniu pliku o nazwie Ahnlab.
Tak liczne podobieństwa nie oznaczają jednak, że mamy do czynienia z tą samą grupą przestępczą. Istnieje spore szanse, że ktoś zdobył kod Ryuk i wykorzystał go we własnym programie.
5. Intel znów w tarapatach: luka NetCAT i zdalna kradzież danych z procesorów
Miało być lepiej, wyszło jak zwykle… – tak można by powiedzieć o kolejnym problemie Intela. Jeżeli ktoś myślał, że po ostatnich głośnych lukach, firma w końcu odetchnie, grubo się myli. NetCAT – bo taką nazwę otrzymała nowa podatność najnowszych procesorów Intela – można wykorzystać zdalnie przez sieć bez konieczności fizycznego dostępu lub instalacji złośliwego oprogramowania na komputerze ofiary. Aby było dość ironicznie, luka, oznaczona jako CVE-2019-11184, dotyczy funkcji DIDO (skrót od Data-Direct I/O), która miała przyspieszyć procesory tego producenta.
Funkcja z założenia pozwala podpiąć urządzenia sieciowe oraz peryferyjne bezpośrednio do znajdującej się w CPU pamięci ostatniego poziomu. Jest domyślnie włączona we wszystkich urządzeniach Intela od 2012 roku, w tym w procesorach Intel Xeon E5, E7 i SP.
Jak działa? NetCAT (skrót od Network Cache ATtack) umożliwia zdalnemu atakującemu wykrycie poufnych danych w tym hasło SSH, z pamięci podręcznej procesora Intela.
DIDO pozwala na współdzielenie dostępu do pamięci przez podłączone urządzenia, nawet jeżeli nie są zaufane. Dzięki temu można precyzyjne określić czas przesyłania pakietów danych, m.in. przez wykorzystanie SSH. To z kolei już tylko krok do przeprowadzenia ataku z użyciem kanału bocznego i przejęcie wpisywanych przez ofiarę znaków.
Według naukowców atak z wykorzystaniem NetCAT może działać podobnie jak Throwhammer i wysyłać wyłącznie specjalnie spreparowane pakiety sieciowe do komputera docelowego z włączoną funkcją Remote Direct Memory Access (RDMA).
Jak się bronić? Najlepiej wyłączyć zarówno funkcję DIDO jak i RDMA lub w inny sposób zasugerować ograniczenie dostępu do serwerów z nieznanych źródeł.
6. Chrome pozwoli stronom powstrzymać Twój ekran przed wygaśnięciem
Programiści Google Chrome dodali zamiar eksperymentowania z funkcją, która umożliwia aplikacjom internetowym utrzymywanie systemów w stanie działania nawet w momencie braku aktywności myszy lub klawiatury.
Jest to możliwe za pomocą API WakeLock pozwalającego na uruchomienie blokady, która uniemożliwia urządzeniom przejście w stan oszczędzania energii poprzez obniżenie jasności ekranu, wyłączenie go czy skrócenie cykli procesora. Od teraz możliwe jest eksperymentowanie z tą funkcją. Kod dla Google Chrome od 78 do 80 jest już dostępny.
Jakie są zalety? Na funkcji z pewnością skorzystają niektóre aplikacje webowe, takie jak systemy nawigacji, biblioteki e-booków, appki z przepisami czy zadaniami.
Innym powodem jest zapewnienie bezpieczeństwa. Teraz twórcy tych stron starają się obejść wygaszanie ekranu (np. poprzez wyświetlanie materiałów wideo), co może nie tylko zwiększać zużycie energii, ale również stwarzać zagrożenie bezpieczeństwa.
Specyfikacja API WakeLock jest obecnie w fazie eksperymentalnej, a programiści ją wdrażający powinni być świadomi, że zmiany mogą prowadzić do problemów z niezgodnością. Celem Google jest otrzymanie informacji zwrotnej od developerów.
Jeśli testy zakończą się pomyślnie, planowana jest obsługa tej funkcji w systemach Windows, Mac, Linux, Chrome OS i Android.
Czy to bezpieczne? Oczywiście na etapie testów istnieje ryzyko nadużyć. Przykładowo, przestępcy mogą użyć tej funkcji do monitorowania ruchu, nawet gdy ofiara wyłączy ekran, a cryptominery mogą postrzegać ją jako okazję do kontynuacji działalności.