Witajcie w najnowszym wydaniu Centrum Bezpieczeństwa Xopero. W ostatnich dniach temat, który przewijał się prawie we wszystkich serwisach to atak na CD Project Red. Mija prawie tydzień od upublicznienia informacji o nim, a specjaliści IT są coraz bardziej podzieleni w całej tej sprawie. Czy reakcja CD Project Red – na żądania cyberprzestępców – stanie się złotym standardem? Zobaczymy. Jednak nie samym ransomware cyber-świat żyje. W naszym zestawieniu najważniejszych IT wydarzeń ostatniego tygodnia znalazł się również nowy atak na łańcuch dostaw nazwany Zamętem Zależności (Dependency Confusion), news o próbie zatrucia przez hackera źródła wody pitnej w USA oraz 12-letni błąd w Windows Defender.
Atak na CD Projekt Red: kody źródłowe do Cyberpunk 2077, Wiedźmina 3 i Gwinta już sprzedane
We wtorek, największy polski producent i wydawca gier wideo – CD Projekt Red ujawnił, że padł ofiarą ataku ransomware. Zaszyfrowane zostały zasoby na dyskach współdzielonych na serwerze. Za atakiem stoją operatorzy ransomware o nazwie… Hello Kitty. Atakujący ukradli niezaszyfrowany kod źródłowy Cyberpunk 2077, Wiedźmina 3, Gwinta i niewydanej wersji Wiedźmina 3.
Przestępcy posłużyli się techniką double-extortion (o której szerzej w raporcie Cyberbezpieczeństwo: Trendy 2021) i zagrozili firmie, że ujawnią lub sprzedadzą skradzione dane jeżeli nie otrzymają okupu. CD Projekt oświadczył, że nie podda się żądaniom i zamiast tego przywrócił dane z kopii zapasowych, które pozostały nienaruszone.
Kilka dni później na na nielegalnym forum Exploit.in wystawiono na aukcji skradzione dokumenty wewnętrzne i kody źródłowe Cyberpunk 2077, Wiedźmina 3, Wojny Krwi i niewydanej jeszcze wersji Wiedźmina 3 z ray tracingiem. Cena wywoławcza sięgnęła 1 miliona dolarów, a kwota “kup teraz” opiewała na 7 mln dol. Sprzedawca znany jako “redengine” jako dowód udostępnił plik tekstowy zawierający wykaz katalogu z kodu źródłowego Wiedźmina 3.
W czwartek KELA, organizacja zajmująca się monitoringiem Dark Webu, poinformowała, że dane CD Projekt RED zostały sprzedane za “satysfakcjonującą kwotę”.
Przedstawiciele CD Projekt RED skontaktowali się już z odpowiednimi służbami w celu dalszego dochodzenia, w tym – z organami ochrony danych osobowych i specjalistami z zakresu informatyki śledczej.
Co teraz? Firma nie straciła danych, udało się odzyskać je z backupu – produkcja gier nie jest więc zagrożona. Sprzedaż kodów źródłowych na aukcji może jednak spowodować, że przestępcy szybciej wyłapią luki i przygotują ataki na te popularne tytuły.
Dependency Confusion, nowa technika ataku – czyli jak zhackować Apple, Microsoft i 33 inne firmy technologiczne
Microsoft opublikował przed kilkoma dniami whitepaper opisujący zupełnie nowy typ ataku nazwany Dependency Confusion (Zamęt Zależności). Odkrycie wzbudziło spore zainteresowanie, ponieważ przedstawia atak, który może posłużyć do zatrucia procesów tworzenia aplikacji w środowiskach korporacyjnych. W jaki sposób atakujący są w stanie do tego dokonać? Poprzez wstawienie złośliwego kodu do prywatnych repozytoriów kodu. Ale o tym za chwilę.
Słowem wstępu…
Proces tworzenia aplikacji jest złożony. Jednak na potrzeby tego artykułu bardzo go uprościmy i założymy, że polega on na składaniu kodu i bibliotek. W przypadku aplikacji zawierających wrażliwy, czy też zastrzeżony kod źródłowy, producenci często tworzą własne biblioteki, które przechowują w prywatnych (wewnętrznych) repozytoriach, hostowanych we własnej sieci. Dziś bardzo popularną praktyką jest łączenie prywatnych i publicznych bibliotek – te drugie pobierane są za pomocą managerów pakietów (npm, PyPI, czy też NuGet).
Dependency Confusion (Zamęt Zależności) – na czym polega nowy atak?
Badacze wykazali, że jeśli atakujący pozna nazwy prywatnych bibliotek użytych w procesie tworzenia aplikacji, może zarejestrować pod takimi samymi nazwami swój własny kod jako bibliotekę publiczną. Atak „Zamęt Zależności” ma miejsce, gdy manager pakietów nadaje priorytet złośliwej bibliotece hostowanej w repozytorium publicznym, zamiast wewnętrznej bibliotece o tej samej nazwie.
Specjaliści oczywiście przetestowali swoje odkrycie. Na początek skupili się na dużych firmach technologicznych, które przypadkowo ujawniły nazwy używanych bibliotek wewnętrznych. Następnie zarejestrowali pod tymi właśnie nazwami te same biblioteki w repozytoriach pakietów.
Korzystając z tej metody, badacze próbowali załadować swój (niezłośliwy) kod do aplikacji tworzonych (lub też używanych) przez 35 największych firm IT, w tym Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber i jeszcze kilka innych. Stopień sukcesu zaskoczył ich samych. Niezwłocznie zgłosili swoje odkrycie wspomnianym podmiotom. Na ten moment większość z nich wdrożyła już pewnego rodzaju środki zaradcze – jednak to dopiero początek.
Śmiały atak w USA: nieznany sprawca próbował zatruć miejskie źródło wody pitnej
Niezidentyfikowany napastnik włamał się do systemu komputerowego stacji uzdatniania wody w Oldsmar na Florydzie i następnie próbował zatruć wodociągi miasta, podnosząc poziom ługu.
Ług, znany również jako wodorotlenek sodu, jest głównym składnikiem płynnych środków do czyszczenia rur. Służy do kontroli kwasowości wody i usuwania metali z wody pitnej w stacjach uzdatniania wody.
Operator systemu po raz pierwszy zauważył krótkie włamanie w piątek, 5 lutego, około godziny 8:00. Ktoś zdalnie uzyskał dostęp do systemu, kontrolującego poziom chemikaliów w wodzie (oraz inne operacje). Operator nie odebrał zdarzenia jako coś nadzwyczajnego. W przeszłości zdarzało się, że przełożeni łączyli się zdalnie i monitorowali ekran jego komputera.
Jednak około godziny 13:30 doszło do ponownego naruszenia. Tym razem atakujący miał już konkretny cel – uzyskać dostęp do różnych systemów kontrolujących uzdatnianą wodę. Podczas drugiego włamania, które trwało od trzech do pięciu minut, intruz zmienił poziom wodorotlenku sodu w wodzie ze 100 części na milion do 11 100 części na milion.
Na szczęście, operator bardzo szybko przywrócił właściwe ustawienia i zaalarmował przełożonych.
Infrastruktury krytyczne szczególnie zagrożone
Gdyby jednak nie zauważył zmiany od razu, w ciągu kolejnych 24-36 godzin skażona woda dotarłaby do źródła wody pitnej. Co dalej? Czy po odkręceniu kurków popłynęłaby ona z kranów? Na szczęście nie. Zanim woda trafia do wodociągu jest jeszcze testowana przez inny system i na tym ostatnim etapie doszłoby zapewne do wykrycia wysokiego poziomu wodorotlenku sodu. Piszemy „zapewne” ponieważ należy liczyć się również z najgorszym scenariuszem, w którym atakujący byłby w stanie przejąć również kontrolę nad wspomnianym systemem zabezpieczającym. Jeszcze raz podkreślamy – do takiej sytuacji nie doszło. Niemniej jednak, sam incydent obrazuje jak groźny w skutkach może okazać się atak hackerski na infrastruktury krytyczne. A utrzymanie ich bezpieczeństwa już dziś stanowi spore wyzwanie – ransomware (sic!) – bez “zwykłych” incydentów…
Aktualizacja
Czemu nas to nie dziwi… Okazało się, że stacja korzystała z niewspieranej już wersji systemu Windows (32-bitowy Windows 7) i oczywiście bez zapory ogniowej. Dodatkowo, pracownicy z dostępem do TeamViewer korzystali z jednego hasła.
12-letni błąd w Windows Defender daje hakerom uprawnienia administratora
Microsoft naprawił lukę umożliwiającą eskalację uprawnień w programie Microsoft Defender Antivirus (wcześniej Microsoft Defender). Mogła ona umożliwić atakującym uzyskanie praw administratora. Według statystyk, z tego oprogramowania antywirusowego korzysta ponad miliard użytkowników systemów Windows 10.
Luka śledzona jako CVE-2021-24092, wpływa na wszystkie wersje Defendera od 2009 roku i dotyczy systemów Windows 7 i nowszych. Wpływa również na inne produkty zabezpieczające takie jak m.in. Microsoft Endpoint Protection, Microsoft Security Essentials i Microsoft System Center Endpoint Protection.
Atakujący z podstawowymi uprawnieniami mogą wykorzystać błąd lokalnie w atakach o niskiej złożoności, które nie wymagają interakcji użytkownika.
SentinelOne wykrył i zgłosił lukę w listopadzie 2020 r. Microsoft załatał lukę w najnowszej poprawce wydanej w zeszłym tygodniu w ramach lutowego Patch Tuesday.
Błąd dotyczy sterownika BTR.sys (znanego jako Boot Time Removal Tool) używanego w procesach naprawczych do usuwania plików i wpisów rejestrów utworzonych przez malware w zainfekowanych systemach. Pozostawał niewykryty przez 12 lat prawdopodobnie ze względu na sposób jego aktywacji. Sterownik ten nie jest zwykle na trwałe obecny na dysku. Jest uruchamiany doraźnie w razie potrzeby, a następnie usuwany.
Ponieważ luka występuje we wszystkich wersjach programu Windows Defender, począwszy od 2009 r., skala przyszłych ataków jest spora. Prawdopodobnie wielu użytkowników nie zastosuje poprawki.
Jak się chronić? Jeżeli nie masz włączonych automatycznych aktualizacji, zrób to manualnie jak najszybciej. Zaktualizuj Microsoft Malware Protection Engine do wersji 1.1.17800.5 lub nowszej.