W tym tygodniu przygotowaliśmy dla was sześć jeszcze gorących newsów ze świata IT. Zaczynamy od problemów Citrix – z powodu podatności zagrożonych atakiem jest prawie 80 tys. firm. Dalej. Do grupy ransomware, która szczególnie upodobała sobie ataki na biznes, dołączył nowy gracz – SNAKE. Mozilla wymaga pilnej aktualizacji – wszystko z powodu poważnej luki zero-day. W tym tygodniu jeszcze nt. ataku na koncern naftowy z wykorzystaniem Dustman – czy to ciąg dalszy prowadzonej przez hackerów akcji, czy może tuszowanie śladów – oraz OpenCV i Joker. Zapraszamy do lektury.
1. Przestępcy skanują w poszukiwaniu niezabezpieczonych Citrix Server
Citrix – oraz jego użytkownicy – ma problem. Przed świętami firma poinformowała o podatności, która zagraża Citrix Application Delivery Controller (ADC) oraz Citrix Gateway. Niezałatana może umożliwić zdalną egzekucję kodu. Niestety na ten moment firma nie wydała jeszcze poprawki.
Środki zaradcze. Według raportu z końca grudnia, zagrożonych jest prawie 80 tys. podmiotów w 158 krajach. Najwięcej – bo aż 38% – znajduje się na terenie USA. Następnie mamy Wielką Brytanię, Niemcy, Holandię oraz Australię (dane: Positive Technologies). Do czasu aż Citrix wyda poprawkę, administratorzy powinni wdrożyć zalecenia, które w podstawowym zakresie pozwalają zabezpieczyć podatne maszyny. Na jak długo? Trudno powiedzieć, jednak przestępcy szukają już potencjalnych ofiar. Kevin Beamont z SANS ISC natrafił na ślady wskazujące, że atakujący skanują w poszukiwaniu podatnych systemów – a kiedy już takie znajdą – wyszukują ich pliki konfiguracyjne.
Citrix potwierdził, że luka CVE-2019-19781 jest groźna dla następujących produktów: Citrix ADC i Citrix Gateway w wersji 13.0, Citrix ADC i NetScaler Gateway w wersji 12.1, Citrix ADC i NetScaler Gateway w wersji 12.0, Citrix ADC i NetScaler Gateway w wersji 11.1, Citrix NetScaler ADC i NetScaler Gateway w wersji 10.5.
2. Wystrzegaj się węża – ransomware SNAKE poluje na firmowe sieci
Do grona ransomware, które szczególnie upodobały sobie organizacje oraz biznes, doszedł nowy gracz. Ransomware SNAKE wyszukuje firmowe sieci, a następnie szyfruje wszystkie podłączone do nich urządzenia.
Ransomware został napisany w języku Go. Co ciekawe, charakteryzuje się znacznie wyższym poziomem zaciemnienia, niż zwykle obserwowany przy podobnych infekcjach. W początkowej fazie ataku, SNAKE usuwa z komputera Shadow Volume Copies oraz wyłącza liczne procesy powiązane ze SCADA, maszynami wirtualnymi, systemami kontroli przemysłowej, narzędziami do zdalnego zarządzania, oprogramowaniem do zarządzania siecią, itp. Następnie szyfruje pliki zgromadzone na urządzeniu, z pominięciem następujących folderów systemowych:
- windir
- SystemDrive
- :\$Recycle.Bin
- :\ProgramData
- :\Users\All Users
- :\Program Files
- :\Local Settings
- :\Boot
- :\System Volume Information
- :\Recovery
- \AppData\
Zaszyfrowane pliki zyskują nowe rozszerzenie, zawierające string charakterystyczny dla nowego zagrożenia np. 1.doc będzie widoczny jako 1.docqkWbv.
Specjaliści nadal analizują pliki binarne SNAKE. Na ten moment jego kod wydaje się być jednak solidny. Trudno także powiedzieć „czy” lub „kiedy” pojawi się narzędzie deszyfrujące dane.
3. Mozilla Firefox z groźną luką 0-day do pilnej aktualizacji
W środę, 8 stycznia Mozilla wydała aktualizację dla przeglądarki Firefox, która usuwa lukę zero-day wykorzystaną w atakach ukierunkowanych. Wersja 72.0.1. pojawiła się praktycznie dzień po wyczekiwanej premierze 72.0.
Krytyczna luka (CVE-2019-17026) dotyczy IonMonkey – kompilatora JavaScript JIT dla SpiderMonkey – głównego komponentu Firefox core, który obsługuje operacje JavaScript.
Luka została sklasyfikowana jako błąd type confusion. Jest to błąd pamięci, w którym dane wejściowe są początkowo oznaczane jako jeden typ, ale podczas manipulacji zostają zmienione na inny. Powoduje to nieoczekiwane konsekwencje przetwarzania danych, w tym możliwość wykonania kodu w podatnym systemie.
W biuletynie bezpieczeństwa Mozilla stwierdziła, że „jest świadoma ukierunkowanych ataków nadużywających tę lukę”. Amerykańska organizacja CISA (Cybersecurity and Insfrastructure Security Agency), ostrzega natomiast, że zagrożenie może wiązać się z istnieniem jednego lub więcej exploitów wykorzystywanych do przejęcia kontroli nad systemem.
Zalecamy aktualizację Firefox do wersji 72.0.1. – można to zrobić bezpośrednio z poziomu przeglądarki.
4. Dustman czyści dane koncernu naftowego
Dustman – nowe złośliwe oprogramowanie do czyszczenia danych uderzyło w Bapco – krajowy koncern naftowy pochodzący z Królestwa Bahrajnu – jednej z największych firm tego typu na świecie. Zagrożenie może wydawać się nieco odległe geograficznie, ale z technicznego punktu widzenia jest niesamowicie interesujące.
Choć incydent miał miejsce pod koniec 2019, został podany do wiadomości publicznej dopiero teraz. Powodem mogły być napięcia, które nastąpiły po zabójstwie generała Suleimaniego. Atak przypisywany jest bowiem irańskiej grupie hakerów wspieranych przez państwo – pasuje do tego zarówno modus operandi, specjalizacja w oprogramowaniu czyszczącym oraz targetowanie grup naftowych. Infekcja złośliwym oprogramowaniem nie mogła być jednak uwarunkowana politycznie (Bahrajn i USA są bliskimi sojusznikami) ponieważ miała miejsce wcześniej.
Dustman to data-wiping malware – złośliwe oprogramowanie zaprojektowane do usuwania danych z zainfekowanych komputerów po ich uruchomieniu. To już trzecie takie narzędzie powiązane z reżimem w Teheranie (wcześniejsze to chociażby Shamoon czy ZeroCleare). Dustman wydaje się być ich ulepszoną wersją. Wspólnym mianownikiem jest tu EldoS RawDisk – legalny zestaw narzędzi programowych do interakcji z plikami, dyskami i partycjami. Wykorzystują one różne exploity i techniki, aby podnieść poziom dostępu do poziomu administratora skąd rozpakowują i uruchamiają EldoS RawDisk w celu czyszczenia danych na zainfekowanych hostach.
Atak czy tuszowanie śladu?
Okazuje się, że celem Dustmana nie było spowodowanie przerwy w działaniu Bapco. Użyto go, aby usunąć ślady wcześniejszego ataku, podczas którego popełniono błędy umożliwiające jego wykrycie. Firma po raz pierwszy została zaatakowana latem.
Punktem wejścia były serwery VPN firmy podatne na zdalne przeprowadzenie ataku. Chociaż nie odnaleziono jeszcze żadnego konkretnego urządzenia, latem ujawniono błędy w wielu serwerach VPN klasy korporacyjnej, takich jak Fortinet, Pulse Secure i Palo Alto Networks.
Oświadczenie
Z raportu Saudi CNA dowiadujemy się, atakujący uzyskali dostęp do sieci i skopiowali złośliwe oprogramowanie oraz narzędzie do zdalnego wykonywania poleceń „PSEXEC” na serwer konsoli zarządzania antywirusem, który został podłączony do wszystkich komputerów w sieci. Kilka minut później atakujący uzyskali dostęp do serwera VPN ofiar i ręcznie usunęli wszystkie woluminy.
Następnie wykonali zestaw poleceń, aby rozpowszechniać złośliwe oprogramowanie Dustman na wszystkich podłączonych komputerach. Większość z podłączonych maszyn została wyczyszczona. Pojawił się na nich komunikat Blue Screen of Death (BSOD)
Przebieg ataku z wykorzystaniem Dustman
Ewidentnie atak przebiegał w atmosferze chaosu – zarówno pośpiech jak i brak testów miały wpływ na powodzenie całej operacji czyszczenia. Złośliwe oprogramowanie nie działało bowiem poprawnie w niektórych systemach.
Skąd ten pośpiech? Tego jeszcze nie wiadomo.
5. OpenCV posiada dwie poważne podatności – ale co to właściwie oznacza?
OpenCV to popularna biblioteka open source wykorzystywana w wielu projektach z zakresu uczenia maszynowego, rozpoznawania twarzy, robotyki, czy śledzenia ruchu. Korzysta z niej m.in. Google, Yahoo, Microsoft, Intel, IBM, Sony, Honda, Toyota i ogromna liczba innych firm technologicznych. Atakujący mogą wykorzystać istniejące w niej podatności do uszkodzenia struktury danych oraz wykonywania złośliwego kodu.
Pierwsze zagrożenie – CVE-2019-5063 – jest podatnością przepełnienia bufora sterty. Z jej pomocą przestępca może pisać do/z biblioteki OpenCV, a następnie pobierać pliki bezpośrednio ze struktury danych. Druga podatność – CVE-2019-5064 – również występuje w funkcji trwałości struktury danych i może zostać wywołana przy użyciu specjalnie spreparowanego pliku JSON.
Według skali Common Vulnerability Scoring System (CVSS) obie luki są bardzo poważne i otrzymały po 8.8 punktów każda. 10.0 jest zarezerwowane dla najcięższych „przypadków”. Z dobrych wieści – jest już dostępna aktualizacja, która niweluje groźbę ataku.
6. Joker wykryty w 1,7 tys. aplikacji. Historia zwinnych przestępców
Około 1,7 tys. aplikacji zainfekowanych złośliwym oprogramowaniem Joker zostało wykrytych i usuniętych z Play Store przez Google Play Protect, od momentu, kiedy firma zaczęła je śledzić na początku 2017 roku.
Badacze z CSIS Security Group odkryli, że co najmniej jedna seria takich złośliwych aplikacji zdołała dostać się do Play Store. We wrześniu 2019 znaleźli oni 24 aplikacje z łączną liczbą pobrań ponad 472 tys. W szczytowych okresach aktywności odnotowywano do 23 różnych aplikacji z tej rodziny przesłanych do Play Store w ciągu jednego dnia (!).
Te aplikacje zostały pierwotnie zaprojektowane do przeprowadzania oszustw związanych z SMS-ami. Google wprowadziło jednak nowe zasady ograniczające korzystanie z uprawnień SEND_SMS i zwiększyło zasięg Google Play Protect. To z kolei musiało spowodować reakcję cyberprzestępców.
Nowsze wersje Jokera służyły już do innego rodzaju oszustw – związanych z rozliczeniami (tzw. toll fraud). Przestępcy nakłaniali ofiary do subskrypcji lub zakupu, które naliczane były na rachunek telefoniczny. Aby móc zautomatyzować proces fakturowania bez potrzeby interakcji użytkownika, wykorzystali wstrzykiwanie kliknięć, niestandardowe parsery HTML oraz urządzenia mogące odbierać wiadomości SMS.
Co ciekawe, funkcje aplikacji często nie pasowały do zainstalowanego oprogramowania. Często nie zawierały żadnej innej funkcji niż rozliczeniowa lub były klonami innych popularnych aplikacji.