Wiele firm rozpoczyna dziś kolejny tydzień pracy zdalnej – w tym także Xopero. Jednak wzmożone wykorzystywanie narzędzi do komunikacji nie uszło uwadze przestępców. W ostatnim dniach m.in. wyszło na jaw, że popularna aplikacja Zoom posiada kilka poważnych problemów w zakresie bezpieczeństwa i prywatności. W tym tygodniu także: przestępcy wykorzystują bazy MS SQL do kopania kryptowalut oraz hacker z zemsty na firmie z obszaru cybersecurity czyści serwery ElasticSearch. W czasach zwiększonej liczby kampanii phishingowych przestępca żeby się dorobić, musi być naprawdę pomysłowy. Jedno z najpopularniejszych forów hackerskich na świecie zostało…zhakowane. Już po raz drugi – i oczywiście przez innych hackerów. Na koniec: również w tym tygodniu wybraliśmy najciekawsze cyber-fakty powiązane z kampaniami „na koronawirusa”.
1. Przestępcy kopali kryptowaluty na bazach MS SQL przez dwa lata
Grupa stojąca za botnetem Vollgar obrała sobie za cel bazy MS SQL z adresem IP rozpoczynającym się od 120+. Głównym celem atakujących jest kopanie kryptowalut – na ten moment są to V-Dimension (Vollar) oraz Monero. Atak jest aktywny od maja 2018.
Statystycznie 61% maszyn zostało zainfekowanych na okres maksymalnie dwóch dni (lub jeszcze krócej). 21,8% znajdowało się w rękach przestępców przez okres 7-14 dni. Na koniec – najważniejsza statystyka – 17,1% maszyn zainfekowano ponownie. Specjaliści są zdania, że ponowne przejęcia są efektem niewłaściwie wdrożonych (lub ich braku) mechanizmów zabezpieczających. Malware nie został kompletnie usunięty z serwera – stąd ponowna infekcja.
Przestępcy wykorzystują brute force do włamania się na maszynę. Na ten moment celem jest kopanie kryptowalut, jednak nie należy wykluczać scenariusza w którym atakujących wykradają także dane z zainfekowanych serwerów.
W jaki sposób zweryfikować, czy maszyna wpadła w ręce atakujących?
Specjaliści z Guardicore na swoim repozytorium GitHub opublikowali listę wskazówek, która ma w tym pomóc. Należy zwrócić uwagę, czy na urządzeniu nie znajdują się skrypty lub pliki binarne z nazwami powiązanymi z tą grupą przestępczą. Dalej, czy nie występują połączone domeny i adresy IP serwerów. Dodatkowo warto zwrócić uwagę, czy aktualnie wykonywane zadania lub działające usługi nie zostały skonfigurowane przez kogoś z zewnątrz. Na koniec – zweryfikować, czy nie zostały nadane nowe dane uwierzytelniające (backdoor).
Jak zabezpieczyć się przed atakiem?
Najprościej, wdrażając zbiór dobrych praktyk IT. Nie udostępniać serwerów/baz w internecie, co w oczywisty sposób ograniczy dostęp do nich podmiotom z zewnątrz. Wdrożyć mechanizmy kontroli dostępu oparte na białej liście (whitelisting) – liście adresów IP, które mogą skontaktować się z określonym serwerem. Kolejną ważną rzeczą jest wprowadzenie ograniczonej liczby dopuszczalnych prób błędnego logowania. W ten sposób najprościej uniemożliwić przeprowadzenie ataku z wykorzystaniem techniki brute force… To właśnie z niej korzystają przestępcy.
2. Nieznany hacker wyczyścił ponad 15 000 serwerów Elasticsearch
W ciągu ostatnich dwóch tygodni hacker włamywał się na serwery Elasticsearch, które były dostępne w internecie bez żadnego zabezpieczenie a następnie wymazywał wszystkie zgromadzone na nich dane. Po sobie pozostawił wyłącznie straty finansowe… oraz nazwę firmy specjalizującej się z bezpieczeństwie IT.
Wiele wskazuje na to, że atak został przeprowadzony z wykorzystaniem skryptu automatyzacji, który skanuje internet w poszukiwaniu niezabezpieczonych systemów ElasticSearch. Co dzieje się dalej? Skrypt łączy się z bazą, wymazuje wszystkie dane i tworzy nowy pusty index o nazwie nightlionsecurity.com. Co ciekawe, ta operacja nie jest skuteczna na wszystkich wyszukanych urządzeniach – jednak pusty index zostaje utworzony również w bazach, które nie udało się przestępcy wyczyścić.
Wmieszani w całą sprawę…
Firma Night Lion Security zaprzecza, że jest w jakikolwiek sposób odpowiedzialna za atak. Jej założyciel, Vinny Troia w wywiadzie dla DataBreaches.net stwierdził, że o atak podejrzewa hackera którego śledził przez cały poprzedni rok (bohatera jego nowej książki). Zemsta?
Skala ataku
Choć początkowo atak dotknął tylko 150 serwerów ElasticSearch, na dzień dzisiejszy ta liczba jest dużo większe – dokładnie chodzi o ponad 15 tys. urządzeń. Według wyników BinaryEdge w internecie można wyszukać obecnie 34 500 serwerów ElasticSearch. Sprawa staje się więc coraz poważniejsza.
3. Myślisz, że kampanie phishingowe są nudne? Ta cię niemile zaskoczy
Kiedy chodzi o nowe metody dystrybuowania wiadomości phishingowych, oszuści potrafią być wyjątkowo pomysłowi. W kampanii którą chcemy wam właśnie przybliżyć, atakujący posłużyli się atrybutem styli w HTML – text direction. Zmusili silnik renderowania do prawidłowego czytania tekstu, który został w kodzie celowo wprowadzony wspak. Tekst, który w kodzie HTML zapisano w postaci „563 eciffO” po wymuszonym renderowaniu wyświetli się poprawnie jako „Office 365”.
Po co to wszystko? Nowa taktyka umożliwia oszukanie systemów odpowiedzialnych za filtrowanie wiadomości mailowych: weryfikację tego, czy mail zawiera tekst lub sekwencję znaków powiązaną z kampaniami phishingowymi.
Jest to o tyle niepokojące, że wraz ze wzrostem infekcji COVID-19, wzrosła również liczba ataków bazujących na strachu przed koronawirusem – a w szczególności kampanii phishingowych. Należy oczekiwać, że opisana przez nas technika w najbliższym czasie będzie wykorzystywana na szeroką skalę. Dlaczego? W obecnych czasach, coraz więcej przestępców sięga po innowacyjne taktyki. Tylko w jednej z ostatnich kampanii atakujący nadali problematycznemu fragmentowi tekstu wielkość czcionki „0” (to kolejny przykład nadużyć w oparciu o HTML). W ten sposób stał się on niedostrzegalny dla większości popularnych bram.
4. Popularna aplikacja do wideokonferencji Zoom z luką, która umożliwia kradzież haseł systemu Windows
Zoom to popularna platforma do komunikacji wideo online, chętnie wykorzystywana dziś w pracy zdalnej i marketingu. Najwyraźniej jednak ma kilka poważnych problemów w zakresie bezpieczeństwa i prywatności.
Eksperci ostrzegają przed możliwością kradzieży danych logowania do systemu Windows. Problem leży w sposobie, w jakim czat aplikacji obsługuje linki. Program konwertuje ścieżki sieciowe UNC (Universal Naming Convention) w Windows w klikalne łącze. Jeśli użytkownik w nie kliknie, system Windows spróbuje połączyć się ze zdalną witryną przy użyciu protokołu udostępniania plików SMB w celu otwarcia zdalnego pliku cat.jpg. Robiąc to, system domyślnie wyśle nazwę użytkownika i skrót hasła NTLM. Można je złamać za pomocą bezpłatnych narzędzi, takich jak Hashcat.
Wstrzyknięcia UNC mogą być również używane do uruchamiania programów na komputerze lokalnym po kliknięciu łącza.
Aby ostatecznie rozwiązać ten problem, Zoom musi uniemożliwić systemowi czatu przekształcanie ścieżek UNC w klikalne hiperłącza. Producent aplikacji w oświadczeniu potwierdził, że już nad tym pracuje.
Dla tych, którzy nie chcą czekać na poprawkę, można użyć ustawień, które zapobiegają automatycznemu wysyłaniu poświadczeń NTML na zdalny serwer po kliknięciu łącza UNC. Jak? Przechodząc odpowiednią ścieżkę: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
To nie jedyne problemy aplikacji. Jej wykorzystanie drastycznie wzrosło wraz z wybuchem pandemii (dziś ma ok. 20% rynku). Korzystają z niej firmy i władze.
Warto zauważyć, że Zoom jest aplikacją chętnie wykorzystywaną dziś przez firmy i władze. W tym m.in. Boris Jonson, premier Wielkiej Brytanii, który za jej pomocą komunikuje się z urzędnikami administracji państwowej.
Firma Check Point zbadała, że od początku roku zarejestrowano 1700 domen z fałszywym oprogramowaniem, z czego 25% zarejestrowano w ciągu ostatnich kilku dni.
5. Forum hakerskie OGUsers…zhakowane!
Haker hakerowi hakerem… Jedno z najpopularniejszych forów hakerskich na świecie – OGUsers – zostało…zhakowane. Już po raz drugi. Prawdopodobnie osoba atakująca włamała się na serwer przez lukę w funkcji wgrywania…avatara. Skradziono dane ponad 200 tys. użytkowników.
Przed zawieszeniem witryny administratorzy ogłosili reset haseł i wezwali użytkowników do włączenia 2FA na swoich kontach. Wszystko po to, aby żadne dane zebrane podczas włamania nie mogły zostać użyte do przejęcia kont. A o tym przecież, nikt nie wie lepiej niż sami hakerzy…
OGUsers zyskała niechlubny rozgłos w 2018 roku, gdy została zidentyfikowana jako główna lokalizacja handlu wykradzionymi kontami na Instagramie. Służyła również jako miejsce treningowe i punkt spotkań cyberprzestępców planujących ataki typu SIM swapping (SIM jacking).
W maju 2019 roku z forum przestępcy wykradli 113 tys.danych użytkowników witryny, wyczyścili dyski twarde, a skradzione informacje opublikowali na konkurencyjnym forum.
Tak jak poprzednio, wykradzione dane tym razem również trafiły na inne forum hakerskie. Czy mamy do czynienia z wojną hakerów?
6. Korona-newsów ciąg dalszy
Skala korona-przekrętów sięgnęła takiego stopnia, że sam Microsoft po raz pierwszy apeluje do szpital ostrzegając przed lukami w swoich urządzeniach VPN, które mogą zostać wykorzystane przez cyberprzestępców. Zwłaszcza po odkryciu ataków izraelskich hakerów wykorzystujących luki w serwerach VPN od Pulse Secure, Palo Alto Networks, Fortinet i Citrix.
Z pandemią związane jest również szkodliwe oprogramowanie, które niszczy zainfekowane systemy czyszcząc pliki lub przepisując główny rekord rozruchowy komputera (MBR). Wspólnym tematem wszystkich czterech próbek wykrytych przez badaczy jest to, że używają motywu koronawirusa. Nie są one nastawione na zysk. Jaki jest ich cel? Cóż, najwidoczniej przestępcy traktują to jako sport online.
Nie słabnie phishing. Eksperci ostrzegają przed wzrostem liczby przynęt socjotechnicznych w złośliwych wiadomościach e-mail. Przestępcy obiecują ofiarom ulgi finansowe podczas pandemii koronawirusa. Tematami tych wiadomości są rządowe pakiety pomocy finansowej, a nawet czek na 1000$ od Donalda Trumpa, dla osób, które straciły pracę. W Australii przestępcy powołują się na znane czasopisma, w Wielkiej Brytanii podszywają się pod banki oferujące pomoc finansową. Celem są też firmy IT, do których “pisze” samo WHO czy Międzynarodowy Fundusz Monetarny.
Ale COVID-19 wnosi również działania po stronie rządów. Giganci z Doliny Krzemowej, w tym Alphabet, Amazon i Facebook, zostali wezwani do Białego Domu w celu przeprowadzenia burzy mózgów na temat sposobów korzystania z geolokalizacji, scrapingu mediów i innych technologii do śledzenia użytkowników. Rzekomo w sposób, który nie narusza ich prywatności. Tymczasem operatorzy telefoniczni w całej Europie dzielą się danymi z władzami. Izraelskie agencje wywiadowcze z kolei korzystają z technologii śledzenia telefonu opracowanej w celu zwalczania terroryzmu do walki z COVID-19.