Atak Platypus / Ragnar Locker wypuszcza Facebooks Ads / Trojan Ghimob

Platypus to wyjątkowo nowatorski atak typu side-channel, którego celem są urządzenia z procesorem Intel – serwery, komputery stacjonarne i laptopy. Korzystając z tej techniki, atakujący mogą wyodrębnić dane (“sekrety”) z atakowanego urządzenia, takie jak m.in. klucze kryptograficzne. W jaki sposób to dokładnie robią? Tego dowiecie się z naszego najnowszego wydania Centrum Bezpieczeństwa.

1. Atak Platypus umożliwia wykradanie danych z procesorów Intel

Platypus to nowa metoda ataku która pozwala na wydobywanie danych z procesorów Intel. Platypus, czyli po polsku dziobak – to wyjątkowe zwierzę, które za pomocą swojego dzioba jest w stanie wykrywać napięcie elektryczne. Platypus to również akronim – „Power Leakage Attacks: Targeting Your Protected User Secrets”.

Atak jest wymierzony w interfejs RAPL procesorów Intel. RAPL (Running Average Power Limit), to komponent, który umożliwia oprogramowaniu układowemu lub aplikacjom monitorowanie zużycia energii przez procesor i pamięć DRAM. Z uwagi na to, służy do monitoringu i debugowania wydajności aplikacji i sprzętu.

Atak Platypus pozwala określić, jakie dane są przetwarzane wewnątrz procesora, weryfikując właśnie wartości zgłaszane przez interfejs RAPL. Atakujący są więc w stanie obserwować zmiany w zużyciu energii, aby rozróżnić różne instrukcje i obciążenia pamięci. Po co to wszystko?  Aby uzyskać informację, jakie dane są aktualnie ładowane do procesora CPU. Mogą to być klucze szyfrujące, hasła, poufne dokumenty lub każde dowolne informacje.

Dostęp do tego typu danych jest zazwyczaj chroniony za pomocą systemów bezpieczeństwa, takich jak randomizacja układu przestrzeni adresowej jądra (KASLR) lub zaufane środowiska wykonawcze (TEE), takie jak Intel SGX. Jednak Platypus pozwala atakującym ominąć wszystkie te systemy bezpieczeństwa.

Zdaniem specjalistów atak Platypus najlepiej przeprowadza się na systemach Linux. Jądro Linuks jest dostarczane wraz z framework’iem powercap – uniwersalnym sterownikiem do interakcji z interfejsami RAPL i innymi interfejsami API ograniczającymi moc. Możliwe są również ataki na systemy Windows i macOS, ale w ich przypadku musi zostać najpierw zainstalowana aplikacja Intel Power Gadget.

Kiedy podatność zostanie załatana?

Platypus stanowi zagrożenie dla procesorów Intel wykorzystywanych w serwerach, laptopach oraz stacjach roboczych. Producent potwierdził również, że podatność występuje także w niektórych procesorach dla urządzeń mobilnych i w układach zintegrowanych. Intel wydał już aktualizację mikrokodu (oprogramowanie układowego procesora), która umożliwia zablokowanie tego nowego typu ataku. Firma udostępniła go swoim partnerom, więc wkrótce powinny pojawić się pierwsze aktualizacje dla klientów końcowych.

Zaktualizowane zostało również jądro Linuksa. Aktualizacja ogranicza dostęp do interfejsu RAPL – dostęp zachowują tylko aplikacje z wyższymi uprawnieniami.

Źródło

2. Operatorzy Ragnar Locker chcieli zmusić włoską firmę Campari do zapłacenia okupu. Uruchomili w tym celu… kampanię reklamową na Facebook

Wygląda na to, że operatorzy ransomware Ragnar Locker ulepszają swoją obecną technikę wymuszeń okupu. W jaki sposób? Jakby taktyka podwójnego wymuszenia nie była już wystarczającym problemem, uruchomili dodatkowo kampanię reklamową skierowaną do klientów swojej ofiary –włoskiego producenta alkoholu, Campari Group.

Przestępcy włamali się do sieci Campari 3 listopada. Zanim zaszyfrowali infrastrukturę, wykradli 2 TB danych. Następnie zażądali 15 milionów dolarów okupu za udostępnienie narzędzia deszyfrującego zaszyfrowane zasoby.

Facebook Ads w służbie cyberprzestępców

Reklama, którą wypuścili przestępcy została nazwana “Security breach of Campari Group network”. Bardzo szczegółowo informowała użytkowników Facebook o tym, że operatorzy Ragnar Locker wykradli dwa terabajty danych Campari i dają firmie czas do 10 listopada, g. 18:00 na przystąpienie do negocjacji „cenowych”. Inaczej dane zostaną upublicznione.

Reklama została opłacona przez Hodson Event Entertainment. Jest to konto powiązane z Chrisem Hodsonem, deejayem z Chicago. Nieautoryzowana kampania – konto zostało zhakowane – dotarła do około 7150 użytkowników Facebooka i wygenerowała 770 kliknięć.

Nie jest do końca pewne, czy był to odosobniony przypadek, czy też przestępcy prowadzili reklamy przy użyciu innych zhakowanych kont. Facebook nadal bada ten incydent.

Ostatnimi czasy, niektóre grupy ransomware stały się wyjątkowo agresywne. Są w stanie zadzwonić do ofiary z pytaniem, kiedy zapłaci ona okup lub czy chce by jej dane wyciekły do sieci. Nowa taktyka Grupy od Ragnar Locker pokazuje również dalszą ewolucję modelu wymuszeń ransomware. Wydaje się wielce prawdopodobne, że w przyszłości pojawią się kolejne kampanie tego typu. Niezależnie od tego, czy Campari zapłaci czy też nie.

Źródło: 12

3. Intel w ogniu: luka w Intel Support Assistant naraża miliony komputerów na ataki

Intel Support Assistant to najnowsze narzędzie systemu Windows, którego błąd może narazić miliony komputerów na ataki polegające na eskalacji uprawnień poprzez manipulację plikami i dowiązania symboliczne. 

Podatność została ujawniona przez CyberArk – firmę zajmującą się bezpieczeństwem dostępu, która przez 18 miesięcy badała określone typy wzorów prowadzące do luk w zabezpieczeniach i uzyskania uprawnień systemowych na komputerze ofiary przez złośliwe oprogramowanie lub lokalnego atakującego. Co swoją drogą, zaowocowało serią zgłoszeń błędów i podatności do różnych producentów przez CyberArk. 

W tym przypadku program Intel Support Assistant w niebezpieczny sposób współdziała z nieuprzywilejowanymi danymi i katalogami. Poprzez ich modyfikację daje atakującym możliwość wykonania kodu jako uprzywilejowanego programu. Atak wymaga jedynie, aby złośliwy program lub użytkownik skopiował złośliwy kod do katalogu używanego przez narzędzie.

Eran Shimony, specjalista ds. bezpieczeństwa z CyberArk zwraca uwagę, że uruchomienie tej możliwości jest dość proste. Wystarczy jedynie nadużyć niektórych funkcji programu Intel Support Assistant, aby zdobyć uprawnienia do konta systemowego. Jeżeli to konto należy do lokalnego administratora – cóż, tutaj gra się kończy. 

Badacz poinformował Intel o podatności ponad rok temu. Firma potrzebowała jednak czasu, aby poinformować swoich partnerów i wraz z nimi wypracować poprawkę. Łatka luki (CVE-2020-22460) została ostatecznie wydana 10 listopada. 

Jak się chronić? Specjaliści często ostrzegają przed tym szczególnym rodzajem błędów. Administratorzy powinni zawsze zabezpieczać katalogi i pliki używane przez uprzywilejowane programy, aby nie mogły być modyfikowane (tworzone, usuwane, manipulowane) przez zwykłych użytkowników. Ponadto programiści powinni zawsze wykonywać określone operacje z jak najniższymi uprawnieniami, niezbędnymi do manipulowania plikami lokalnymi z uwzględnieniem ich ról. 

To nie pierwszy raz, kiedy Intel Support Assistant posłużył do eskalacji uprawnień. O podobnym scenariuszu – wykorzystaniu uprawnień do plików przez użytkownika – informowała na początku września. 

Źródło

4. Trojan Ghimob szpieguje 153 aplikacje bankowe na Androida na całym świecie

Specjaliści bezpieczeństwa odkryli nowe złośliwe oprogramowanie, które wykrada dane ze 153 aplikacji bankowych na świecie (w Brazylii, Europie, Ameryce). Według Kaspersky’ego, Ghimob, bo tak nazwany został mobilny trojan, prawdopodobnie jest dziełem grupy odpowiadającej za Astaroth (Guildma) – brazylijskiego malware na Windowsa.

Grupa wykorzystuje złośliwe maile i witryny do przekierowywania użytkowników na strony promujące fałszywe aplikacje na Androida (ale nie do samego Play Store). Te aplikacje naśladują oficjalne appki i marki takie jak Google Defender, Dokumenty Google, WhatsApp Updater czy Flash Update. Jeżeli użytkownik będzie na tyle nieostrożny by zainstalować je pomimo ostrzeżeń wyświetlanych na urządzeniu, złośliwe aplikacje proszą o dostęp do Accessibility Service w ostatnim etapie infekcji.  

Gdy zgoda zostanie przyznana, programy przeszukują telefon w poszukiwaniu listy 153 aplikacji bankowych, dla których następnie wyświetlą fałszywe strony logowania by ukraść dane uwierzytelniające. Po udanej próbie phishingu wszystkie zebrane dane logowania są wysyłane z powrotem do gangu Ghimob, który następnie uzyskuje dostęp do konta ofiary i inicjuje nielegalne transakcje.

Na początku zagrożenie aktywne było wyłącznie w Brazylii, ale bardzo szybko rozprzestrzeniło się globalnie i można zanotować je na terenie Europy i Ameryki. 

Ponadto Ghimob dodał również aktualizację, która celuje w aplikacje wymiany kryptowalut podążając za ogólnym trendem na scenie mobilnego złośliwego oprogramowania i atakowania właścicieli wirtualnej monety. 

Funkcje Ghimob nie są niczym nowym – wręcz kopiują schematy innych trojanów, takich jak BlackRock czy Alien, ale jego szeroki zakres docelowych lokalizacji wydaje się dość niepokojący.

Źródło