Backdoor SolarWinds i związany z nim atak supply-chain to jeden z największych cyberincydentów, których byliśmy świadkami w ostatnich latach. Złośliwa aktualizacja trafiła do około 18 tysięcy klientów korzystających z platformy Orion. W ostatnich dniach jednak w całej sprawie nastąpił ważny rozwój. Specjaliści zamienili złośliwą nazwę domeny używaną do kontrolowania potencjalnie tysięcy systemów komputerowych w kill switch, czyli tzw. wyłącznik awaryjny. W jaki sposób tego dokonano? No cóż… aby dowiedzieć się więcej, koniecznie sprawdź najnowszą odsłonę Centrum Bezpieczeństwa Xopero.
Backdoor SolarWinds – FireEye, Microsoft oraz GoDaddy stworzyli pierwszy działający kill switch
Firmy Microsoft, FireEye i GoDaddy wspólnymi siłami stworzyły pierwszy kill switch do backdoora SolarWinds – Sunburst. Zaproponowane rozwiązanie wymusza na malwarze przerwanie wszystkich procesów.
Zhackowanie SolarWinds to najgłośniejszy news ostatniego tygodnia. Atakujący – sponsorowani przez państwo rosyjskie – włamali się do SolarWinds i dodali złośliwy kod do pliku DLL systemu Windows używanego przez ich platformę Orion IT.
Złosliwy plik DLL to backdoor który doczekał się dwóch nazw – Solarigate (Microsoft) oraz Sunburst (FireEye). Zagrożenie zostało rozdystrybuowane za pomocą mechanizmu automatycznej aktualizacji. W ten sposób trafiło do około 18 tysięcy klientów firmy. Wśród nich znajdują się m.in. Departament Skarbu USA, amerykańska NTIA (National Telecommunications and Information Administration) i Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych.
Metoda na backdoor’a
Backdoor Sunburst łączyłby się z serwerem command & control (C2) w subdomenie avsvmcloud [.] com, w celu otrzymywania „zadania”, czyli zestawu konkretnych poleceń do wykonania. Jednak jeśli serwer C2 dysponuje adresem IP w ramach jednego z poniższych zakresów, złośliwe oprogramowanie przerywa procesy i aktualizuje swoje ustawienia. W efekcie nigdy więcej się nie uruchomi.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/3
fc00:: – fe00::
fec0:: – ffc0::
ff00:: – ff00::
20.140.0.0/15
96.31.172.0/24
131.228.12.0/22
144.86.226.0/24
Kill switch
W jaki sposób FireEye, GoDaddy i Microsoft byli w stanie dezaktywować Sunburst? Wykorzystano do tego celu przejętą domenę avsvmcloud[.] com. GoDaddy utworzyło rozpoznawanie nazw DNS zawierające symbole wieloznaczne, tak aby każda subdomena avsvmcloud [.] com była rozpoznawana jako 20.140.0.1. Kiedy zainfekowana maszyna próbuje połączyć się z serwerem C2 w domenie avsvmcloud [.] com, subdomena zawsze będzie miała adres IP 20.140.0.1. Ten adres IP należy do zakresu 20.140.0.0/15, który znajduje się na liście blokowanych adresów. W tej sytuacji malware natychmiast przerywa wszystkie procesy i nie ma już możliwości na ich ponowne uruchomienie.
Kill switch wyłącza wdrożenia Sunburst, które nadal wysyłają sygnał do avsvmcloud [.] com. Organizacje, które zostały już zaatakowane przez hackerów zapewne posiadają już nowe backdoory – przestępcy z całą pewnością stosują już inne metody zdobywania dostępów w ramach naruszonej wcześniej sieci.
Złośliwe rozszerzenia Chrome i Edge z 3 milionami pobrań nadal dostępne
Złośliwe rozszerzenia Chrome i Edge, które zostały pobrane ponad 3 miliony razy są nadal dostępne w sklepach z dodatkami. Mogą posłużyć do kradzieży informacji o użytkownikach i przekierowywać ich na strony phishingowe. Rozszerzenia te znalezione przez specjalistów z Avast mają przypominać dodatki dla Instagrama, Facebooka, Vimeo i innych. Wygląda również na to, że były używane od grudnia 2018 roku.
Za każdym razem, gdy użytkownik kliknie w łącze, rozszerzenia wysyłają informację o tym ruchu do serwera C&C atakującego. Może on wysłać polecenie przekierowania ofiary z rzeczywistego celu linku do przejętego adresu URL, jeszcze przed przekierowaniem go do właściwej strony, którą chciał odwiedzić. Przestępcy eksfiltrują i zbierają daty urodzenia użytkowników, adresy e-mail, informacje o urządzeniu, w tym czas pierwszego i ostatniego logowania, nazwę urządzenia, OS, przeglądarkę czy nawet adresy IP. Celem ostatecznym jest zarabianie na ruchu użytkowników poprzez automatyczne przekierowywanie do domen zewnętrznych, w tym witryn wypełnionych reklamami lub na strony phishingowe.
Backdoory są dobrze ukryte i zaczynają wykazywać aktywność dopiero kilka dni po instalacji, co utrudnia wykrycie przez jakiekolwiek oprogramowanie zabezpieczające. Wśród taktyk wykorzystywania do uniknięcia wykrycia jest monitoring wyszukiwań ofiar. Zagrożenie nie aktywuje się, jeżeli użytkownik szuka informacji w jednej z domen. Nie zaatakuje również twórców stron internetowych, którzy mogą mieć wiedzę niezbędną do wykrycia i zbadania złośliwej aktywności w tle.
Na liście złośliwych rozszerzeń znajdują się:
Direct Message for Instagram, Direct Message for Instagram, DM for Instagram, Invisible mode for Instagram Direct Message, Downloader for Instagram (1,000,000+ users), Instagram Download Video & Image, App Phone for Instagram, Stories for Instagram, Universal Video Downloader, Video Downloader for FaceBook, Vimeo™ Video Downloader (500,000+ userów), Volume Controller, Zoomer for Instagram and FaceBook, Spotify Music Downloader, Pretty Kitty, The Cat Pet, Video Downloader for YouTube, SoundCloud Music Downloader, The New York Times News Instagram App with Direct Message DM.
Rozszerzenia zostały prawdopodobnie celowo utworzone z wbudowanym malware lub autor czekał, aż staną się popularne a następnie udostępnił aktualizację zawierającą złośliwe oprogramowanie. Kolejna hipoteza mówi o tym, że rozszerzenie zostało zakupione od autora.
Zarówno Microsoft, jak i Google badają obecnie ustalenia Avast. Dopóki jednak rozszerzenia nie zostaną usunięte, użytkownicy powinni je wyłączyć lub odinstalować, a następnie przeskanować w poszukiwaniu wszelkich infekcji złośliwym oprogramowaniem.
Awaria Google – Gmail, YouTube, Google Drive i Hangout padły na blisko godzinę
Jeśli próbowałeś zalogować się do swoich usług Google w poniedziałek około 12:56, prawdopodobnie zauważyłeś, że wszystkie z nich nagle przestały działać. Podobny problem spotkał wielu innych użytkowników na całym świecie. W tym czasie nie działały m.in. Google, Asystent Google, Gmail, Google Drive, Hangout i YouTube.
Downdetector, usługa śledzenia przestojów w sieci, zidentyfikowała ponad 40 000 przypadków awarii w ciągu zaledwie dziesięciu minut od rozpoczęcia przerwy w działaniu. Najmocniej dotknęły one YouTube i Gmaila.
„Coś poszło nie tak…”
Nieoczekiwana awaria spowodowała ogromne zamieszanie na Twitterze. Użytkownicy byli zszokowani i zdumieni z powodu globalnej awarii usług Google. W krótkim czasie hashtag #YouTubeDOWN zdominował media społecznościowe.
Błąd wynikał z braku storage’u dla narzędzi uwierzytelniających. Wewnętrzne narzędzia firmy nie przydzieliły wystarczającej ilości wolnej przestrzeni na usługi obsługujące uwierzytelnianie. Po jej zapełnieniu system powinien był automatycznie zwiększyć jej dostępność. Tak się jednak nie stało, a to musiało spowodować awarię systemu …
Google przyznał się do problemu i firma szybko go rozwiązała. Gigant stwierdził, że awaria wpłynęła zarówno na usługi osobiste, jak i biznesowe. Rozwiązanie problemu trwało blisko godzinę – przez ten czas większość użytkowników nie mogła zalogować się do swoich usług. Po tym czasie firma zaktualizowała strony stanu wszystkich usług informując użytkowników, że problem został rozwiązany.
Ta sytuacja udowadnia, że przestoje mogą przytrafić się każdej firmie – nawet największej. Dlatego ważne jest, aby mieć sprawdzone rozwiązanie do tworzenia kopii zapasowych i chronić najcenniejsze dane, nawet jeżeli są przechowywane w usługach SaaS. Mowa więc chociażby o Microsoft 365 Backup, który w momencie awarii, pozwala niemal natychmiast odtworzyć dane i wrócić do pracy.
Atak AIR-FI umożliwia eksfiltrację danych z komputerów „air-gapped” za pośrednictwem sygnałów Wi-Fi…
… pomimo tego, że sam atak nie wymaga stosowania sprzętu Wi-Fi.
Komputery „air-gapped” to typ urządzeń, które nie komunikuje się bezpośrednio ze światem zewnętrznym. Maszyny bez interfejsów sieciowych są uważane za niezbędne w środowiskach, w których dane wrażliwe są wykorzystywane w celu zmniejszenia ryzyka wycieku danych. Dlatego też, aby przeprowadzać ataki na takie systemy, często konieczne jest, aby maszyny transmitujące i odbierające były zlokalizowane w bliskiej odległości od siebie. Kolejnym warunkiem powodzenia takiego ataku jest konieczność wcześniejszego zainfekowania ich odpowiednim złośliwym oprogramowaniem, aby ustanowić łącze komunikacyjne.
AIR-FI to nowatorska technika, która wykorzystuje sygnały Wi-Fi jako ukryty kanał. Co zaskakujące, bez konieczności obecności hardware Wi-Fi w docelowych systemach. Atak opiera się na wdrożeniu specjalnie zaprojektowanego złośliwego oprogramowania, który wykorzystuje magistrale DDR SDRAM do generowania emisji elektromagnetycznych w pasmach Wi-Fi 2,4 GHz i transmituje informacje na tych częstotliwościach. Dane następnie mogą zostać przechwycone i zdekodowane przez pobliskie urządzenia obsługujące Wi-Fi. W dużej mierze chodzi w tym przypadku o smartfony, laptopy czy też urządzenia IoT. To za ich pośrednictwem wykradzione dane trafiają na serwery command and control (C2).
Groźna innowacja…
AIR-FI nie opiera się na nadajniku Wi-Fi do generowania sygnałów ani nie wymaga sterowników jądra, specjalnych uprawnień – jak z poziomu root’a – lub dostępu do zasobów sprzętowych w celu przesyłania danych. Co więcej, ukryty kanał działa nawet z poziomu odizolowanej maszyny wirtualnej. Ma on nieskończoną listę urządzeń obsługujących Wi-Fi, które mogą zostać zhackowane przez atakującego, aby pełnić rolę potencjalnego „odbiorcy”.
Kill chain sam w sobie składa się z komputera „air-gapped”, na którym został wdrożony malware. Zazwyczaj za pomocą socjotechnik lub też samoczynnie rozprzestrzeniających się robaków, takich jak Agent.BTZ, czy odpowiednio przygotowanych pamięci flash USB. Do przeprowadzenia ataku konieczne jest również zainfekowanie urządzeń obsługujących Wi-Fi, które znajdują się w tak wyizolowanej sieci.
Aby wygenerować sygnały Wi-Fi, atakujący wykorzystują magistralę danych (lub magistralę pamięci) do emitowania promieniowania elektromagnetycznego z częstotliwością skorelowaną z modułem pamięci DDR i operacjami odczytu / zapisu pamięci wykonywanymi przez aktualnie uruchomione w systemie procesy.
W jaki sposób zabezpieczyć sieć i urządzenia „air-gapped” przed AIR-FI?
Specjaliści proponują zastosowaniezabezpieczeń strefowych w celu ochrony przed atakami elektromagnetycznymi. Do tego warto zdecydować się na wdrożenie systemów umożliwiających wykrywanie włamań oraz monitoring procesów. W tym drugim przypadku chodzi o procesy wykonują złożone operacje transferu danych. Takie, które stosują przy tym sygnały zagłuszające, czy też osłony Faradaya do blokowania ukrytego kanału.