W tym tygodniu o trojanie bankowym Qbot, podatności ujawniającej lokalizacje tysięcy serwerów C&C grup przestępczych, lukach bezpieczeństwa interfejsów Thunderbolt i PCI Express, nowej podatności Chrome’a, czy wycieku 2,4 mln danych osób oraz firmy tak zwanego wysokiego ryzyka. Miłej lektury.
Thunderbolt i PCI Express zapewniają nieograniczony dostęp do Mac i PC
Badacze bezpieczeństwa ujawnili podatność interfejsów Thunderbolt i PCI Express używanych przez komputery Mac i PC. Skala ujawnionego problemu jest na tyle niepokojąca, że użytkownicy Linuksa, Maca i Windowsa powinni uważać, aby nie pozostawiać swoich komputerów bez nadzoru w miejscach publicznych i unikać korzystania ze stacji ładowania USB-C. Powinni również uważać na podłączanie nieznanych urządzeń do portu Thunderbolt ich komputerów, nawet pozornie nieszkodliwych urządzeń peryferyjnych, takich jak ładowarki i projektory.
Eksperci bezpieczeństwa z Uniwersytetu Cambridge ogłosili, że interfejsy Thunderbolt oraz PCI Express zapewniają praktycznie nieograniczony dostęp do pamięci komputerów Mac i PC umożliwiając złośliwemu urządzeniu peryferyjnemu wykonanie dowolnych czynności od wstrzyknięcia oprogramowania po pobranie haseł lub prywatnych plików z komputera. Pozwala to przestępcom na szpiegowanie użytkowników, a nawet przejęcie kontroli nad urządzeniem.
Thunderbolt miał własny typ złącza, który wyraźnie odróżniał jego kable i urządzenia peryferyjne od alternatyw USB. Najnowsza wersja – Thunderbolt 3 – posiada te same złącza USB-C, które są używane w większości urządzeń peryferyjnych komputerów PC i Mac obecnej generacji. Dodatki PCI Express są na ogół zależne od komputerów i serwerów.
Mechanizm obronny ograniczający pełen dostęp do pamięci, nie był obsługiwany przez systemy operacyjne Microsoft Windows 7, 8, 10 Home i 10 Pro. Z ograniczonym wsparciem mechanizm ten działał w systemie Microsoft Windows 10 Enterprise. Obsługa w systemie Linux była natomiast domyślnie wyłączona. MacOS firmy Apple wspierał co prawda ten mechanizm, ale pomimo tego maszyna mogła zostać zmuszona do uruchomienia dowolnych aplikacji i umożliwiała monitorowanie innych urządzeń peryferyjnych – na przykład rejestrując wyrazy pisane przy użyciu klawiatury zewnętrznej podłączonej do komputera złączem USB.
Badacze bezpieczeństwa od 2016 roku współpracują z dostawcami w celu złagodzenia tych podatności. Efekty prac są jednak niezadowalające. Apple naprawiło problem w MacOS 10.12.4 w 2016 r. Microsoft w kwietniu 2018 wyeliminował luki Thunderbolta (ale nie PCI Express) w systemie Windows 10, pozostawiając maszyny przed wersją 1803 podatne na atak. Poprawki do Linuksa są zawarte w jądrze 5.0, które zbliża się do ostatecznego wydania.
Użytkownikom zaleca się aktualizcję systemów do najnowszej wersji Linuksa, MacOS lub Windows 10 oraz ostrożność w podłączaniu nieznanych urządzeń USB-C – szczególnie w miejscach publicznych.
Pomimo przygotowanych przez producentów poprawek badacze są zdania, że istnieje prawdopodobieństwo wykorzystania exploita w pozornie normalnych stacjach ładowania lub wyświetlaczach, które mogą przejąć kontrolę nad podłączonymi i niezabezpieczonymi maszynami.
Atak polimorficznego trojana bankowego Qbot’a
Kampania nowej polimorficznej odmiany trojana bankowego Qbot pozwala atakującym śledzić aktywność użytkowników w sieci, kraść dane uwierzytelniające do kont bankowych i inne cenne informacje finansowe.
Eksperci podejrzewają, że złośliwe oprogramowanie rozprzestrzenia się poprzez phishing. Pozwala atakującym śledzić aktywność użytkowników w sieci, kraść dane uwierzytelniające do kont bankowych i inne cenne informacje finansowe. Wszystko dzięki połączeniu technik rejestrowania naciskanych przez użytkowników klawiszy klawiatury, eksfiltracji plików cookie oraz przechwytywaniu wywołań funkcji i komunikatów.
Mimo, że wspomniana kampania złośliwego oprogramowania celuje w firmy ze Stanów Zjednoczonych, to żniwo zbiera także w Europie, Azji oraz Ameryce Południowej. Najbardziej poszkodowane w trakcie tej kampanii poza USA kraje to Wielka Brytania, Niemcy oraz RPA.
Qbot, znany również pod nazwą Qakbot, stosuje techniki antyanalizy przez co unika wykrycia oraz wykorzystuje coraz to nowsze wektory infekcji, aby wyprzedzić obrońców. Stale modyfikuje taktykę, tworzy pliki i foldery o losowych nazwach, często zmieniając serwery C&C, a nawet program ładujący złośliwe oprogramowanie.
Trojan Qbot potrafi określić wersję systemu operacyjnego zainfekowanej maszyny, a także wykryć oprogramowanie antywirusowe głównych dostawców zabezpieczeń. Przy pomocy narzędzia wiersza poleceń BOTSAdmin tworzy komponent downloadera, którym ostatecznie wprowadza główny szkodliwy ładunek.
Ofiary otrzymują różne programy ładujące w zależności od zakodowanego parametru zawartego w pliku VBS. Wszystkie one mają jednak wspólną cechę: podpisany fałszywy lub skradziony certyfikat, dzięki któremu unikają wykrycia.
Luka ujawniła lokalizację tysięcy serwerów C&C grup przestępczych
Podatność w zabezpieczeniach narzędzia używanego chętnie przez cyberprzestępcze gangi pomogła badaczom bezpieczeństwa odkryć lokalizację tysięcy złośliwych serwerów dowodzenia i kontroli (C&C).
Luka dotyczy Cobalt Strike’a – legalnego narzędzia do testów penetracyjnych – używanego pierwotnie przez badaczy bezpieczeństwa do symulowania przebiegu cyberataków.
To istniejące od ponad dziesięciu lat narzędzie zaczęli też wykorzystywać przedstawiciele grup przestępczych. Cyber gangi oraz grupy szpiegowskie, takie jak FIN6 i FIN7 (Carbanak) oraz APT29 (Cozy Bear), korzystały z Cobalt Strike’a z uwagi na jego prostą i bardzo wydajną architekturę klient-serwer. Przy jego pomocy hostowali swoje serwery C&C, a następnie instalowali złośliwe oprogramowanie w sieciach firmowych korzystając z sygnałów nawigacyjnych z zainfekowanych komputerów.
Grupy przestępcze nie były świadome faktu, że badacze bezpieczeństwa odkryli podatność w komponencie serwera Cobalt Strike’a. Zbudowany na NanoHTTPD i oparty na Javie serwer internetowy przestępców zawierał błąd – przypadkowo dodawał pustą przestrzeń w odpowiedziach serwera HTTP. Pozwalało to na śledzenie komunikacji Cobalt Strike’a między sygnałami nawigacyjnymi a serwerami C&C.
Badacze bezpieczeństwa z Fox-IT wykryli opisaną lukę w 2015 roku i śledzili komunikację serwerów C&C do 2 stycznia 2019 roku, czyli do momentu gdy programiści Cobalt Strike’a załatali podatność w wersji 3.13. W tym okresie badacze zaobserwowali 7718 unikalnych serwerów. Ich listę wraz z adresami IP upubliczniono licząc, że zespoły bezpieczeństwa zrobią z nich użytek. Sprawdzenie dzienników sieciowych pod kątem ujawnionych adresów IP umożliwia bowiem zidentyfikowanie zarówno przeszłych jak i bieżących naruszeń bezpieczeństwa.
Grupy przestępcze zdaniem badaczy używają głównie pirackich, crackowanych oraz niezarejestrowanych wersji oprogramowania Cobalt Strike’a. Zakładając, że te legalnie zarządzane przez firmy zajmujące się bezpieczeństwem otrzymają łatkę opracowaną przez programistów Cobalt Strike’a to większość serwerów, które pojawiać się będą po przeskanowaniu sieci pod kątem opisanej podatności należeć będzie do grup przestępczych.
Chrome zbiera informacje z dokumentów PDF
EdgeSpot – usługa wykrywania luk w oprogramowaniu – ujawniła istnienie podatności w przeglądarce Google Chrome. Dokument PDF otwierany w tej przeglądarce jest pokazywany użytkownikowi, ale różne informacje w nim zawarte są gromadzone i wysyłane w tle na serwer zdalny. Stwierdzono, że podejrzanej aktywności nie ma, gdy dokumenty PDF są otwierane za pomocą np. przeglądarki Adobe Reader czy Foxit Reader.
Badacze przygotowali specjalnie spreparowane dokumenty, które obserwowano od końca grudnia. Ich otwarcie w Chromie skutkowało zebraniem takich danych jak adres IP, system operacyjny, wersje Chrome, oraz pełnej ścieżki pliku PDF w systemie ofiary.
Dane te były przesyłane za pośrednictwem żądania HTTP POST do zdalnego serwera bez interwencji użytkownika. Próbki przeanalizowane przez badaczy wysyłały dane do jednej z dwóch domen: burpcollaborator.net lub readnotify.com.
26 grudnia wyniki ustaleń zostały przekazane Google’owi. Firma odpowiedziała, że pracuje nad poprawką i niedługo ją udostępni.
Do czasu wydania łaty użytkownicy powinni unikać otwierania podejrzanych dokumentów PDF przez Chrome i korzystać w tym celu z innych przeglądarek jak np. Adobe Reader – czytnika w którym podobne podatności zostały przez jego producenta już wyeliminowane.
Dwie kampanie phishingowe wymierzone w użytkowników Outlooka oraz posiadaczy konta Microsoft
Badacze bezpieczeństwa poinformowali o dwóch trwających kampaniach phishingowych wykorzystujących Azure Blob Storage firmy Microsoft w celu kradzieży danych uwierzytelniających odbiorców Outlooka i konta Microsoft. Obie te kampanie wykorzystują przekonujące podrobione strony docelowe z certyfikatami SSL, a używana w tych stronach domena windows.net wydaje się być prawidłowa.
Pierwsza kampania phishingowa zwraca się do odbiorców z prośbą o zalogowanie do konta Office 365 w celu dokonania aktualizacji zawartych tam informacji. Rozsyłane emaile mają temat „Wymagane działanie”: [email_Address] Informacje nieaktualne – Zweryfikuj teraz !”. Po kliknięciu przez użytkownika w link, zostanie on przeniesiony na stronę docelową, która udaje Outlook Web App. Celem jest kradzież danych uwierzytelniających użytkownika.
Druga kampania działa analogicznie i ma na celu zdobycie danych do konta Microsoft. Emaile phishingowe dotyczą usługi Facebook Workplace. Po kliknięciu przez użytkownika w link zostaje przeniesiony na stronę docelową, która udaje witrynę do logowania Microsoft i została wiernie odtworzona. Wykorzystuje to samo tło i w większości przypadków ma identyczną szatę graficzną.
Obie strony docelowe tych kampanii wykorzystują Azure Blob Storage co sprawia, że są bardzo przekonujące. Po pierwsze wszystkie adresy URL pamięci masowej Azure Blob korzystają z domeny windows.net, co sprawia, że strony wydają się być legalnymi usługami Microsoftu. Po drugie każdy URL w usłudze Azure Blob Storage korzysta z certyfikatu SSL firmy Microsoft. W ten sposób obok adresu pojawiał się symbol kłódki, kojarzący się z bezpieczeństwem witryny.
Użytkownicy winni dokładnie sprawdzać adresy URL stron proszących o zalogowanie pod kątem podejrzanych nazw lub domen. Wykorzystanie przez przestępców w obu tych kampaniach usługi Azure Blog Storage, a tym samym domeny windows.net sprawia, że strony te wydają się być prawdziwe, a niestety nie są. W przypadku formularzy logowania do konta Microsoft oraz Outlook musimy więc zapamiętać, że prawidłowe domeny to: microsoft.com, live.com lub outlook.com.
Skrypty do kradzieży kart płatniczych ukrywają się za Google Analytics
W sieci pojawiło się wiele skryptów kopiujących i kradnących dane kart płatniczych (skimming). Złośliwe skrypty zostały wstrzyknięte na strony internetowe ukrywając się za legalnymi narzędziami Google Analytics lub za frameworkiem Angular, przez co nie wzbudziły podejrzeń webmasterów.
Złośliwy kod jest wstrzykiwany do plików JS głównie na stronach sklepów internetowych opartych na platformie Magento. Chociaż nie tylko. Eksperci wśród stron narażonych na ataki wymienili także strony tworzone w WordPressie, Joomli oraz Bitrix’ie.
Badacze odkryli wiele różnych zestawów skryptów, wprowadzających w błąd zmiennych, nazw plików jak również sposobów unikania wykrycia złośliwego kodu na zainfekowanych witrynach internetowych. We wszystkich tych przypadkach złośliwe skrypty starają się sprawiać wrażenie, że robią coś pożytecznego i że są powiązane z Google Analytics, Magento lub zbudowane z renomowanych frameworków JavaScript.
Na części zawirusowanych witryn ukryto kody ładujące skrypty ze stron, których adresy wyglądają niemalże identycznie jak te prawdziwe rozwiązań Google’a (Google Analytics i Google Tag Manager) – jedyną różnicą jest brak literki „o” w skrócie .com lub „q” zastępuje „g” w nazwie Google, co jest praktycznie niezauważalne dla nie spodziewającego się oszustwa użytkownika.
W innych zainfekowanych stronach skrypt do kradzieży kart płatniczych ukrywa się pod legalnym kodem Angulara, czyli na platformie Google’a do tworzenia stron internetowych. Kod ten zawiera wiele słów kluczowych pasujących do tego popularnego frameworku JavaScript, takich jak Angular.io, algularToken, angularCdn czy angularPages. Dopiero dokładniejsza analiza pokazuje, że angularCdn jest zaszyfrowanym adresem URL, alglularToken (z literówka w nazwie) jest kluczem dekodującym, a reszta kodu to funkcja, która rozszyfrowuje adres URL i ładuje z niego skrypt.
Nie udało się jeszcze ustalić, kto kryje się za tą kampanią. Skimming kartowy jest coraz większym zagrożeniem. W zeszłym roku ponad 7 000 stron sklepów internetowych zainfekowanych zostało złośliwymi skryptami MagentoCore.net, mającymi na celu kradzież danych kart płatniczych.
Administratorzy witryn powinni sumienniej analizować dodawane do witryn internetowych kody, aby skuteczniej chronić swoich konsumentów przed tego rodzaju atakami.
Wyciekła lista 2,4 mln osób i firm wysokiego ryzyka
Lista osób oraz podmiotów korporacyjnych znajdujących się na liście obserwowanych Dow Jones`a ujrzała światło dzienne po tym jak firma trzecia posiadająca dostęp do bazy danych pozostawiła ją na niezabezpieczonym serwerze.
Na liście znajdują się zarówno obecni jak i byli politycy, firmy, a także osoby objęte sankcjami, skazane za poważne przestępstwa finansowe lub mające powiązania z terroryzmem. Zapisy do których dotarli badacze bezpieczeństwa są bardzo zróżnicowane. Zawierać mogą: imiona, nazwiska, zdjęcia, daty urodzenia, obszerne notatki.
Dane z bazy zbierane były przy wykorzystaniu źródeł publicznych, takich jak artykuły prasowe, dokumenty rządowe. Wiele informacji pochodziło z archiwum, Dow Jones Factiva, zbierającego dane z różnych źródeł w tym z dziennika The Wall Street Journal.
Jednym z ujawnionych nazwisk jest Badruddin Haqqqani, dowódca partyzantów w Afganistanie powiązany z talibami na którego Departament Skarbu USA nałożył sankcje za zaangażowanie w finansowanie terroryzmu.
Nie jest to pierwszy wyciek danych z Dow Jones’em w roli głównej. Dwa lata temu firma przyznała, że za sprawą błędnie skonfigurowanej pamięci masowej w chmurze ujawnionych zostało 2,2 mln nazwisk oraz danych kontaktowych klientów, wśród których byli abonenci dziennika The Wall Street Journal.
Popularny dzwonek do drzwi może szpiegować mieszkańców
Co minutę na całym świecie podłączanych jest do internetu 4800 nowych inteligentnych urządzeń (!). Dzieje się tak dlatego, że w znacznym stopniu ułatwiają i uprzyjemniają nam życie. Niestety, wiele z nich nie spełnia podstawowych norm bezpieczeństwa, co sprawia, że stają się obiektem zainteresowania przestępców mogących nas w naszych własnych domach podsłuchiwać lub podglądać.
Niedawno na jaw wyszło, że poważna wada popularnego inteligentnego dzwonka do drzwi Ring, należącego do Amazon’a, pozwala atakującym na przeprowadzenie ataku man-in-the-middle, a w konsekwencji na szpiegowanie nagrań i podsłuchiwanie rodzin, arbitralny nadzór nad urządzeniem czy przesłanie fałszywego obrazu.
Dzwonek Ring umożliwia dwukierunkową komunikację między inteligentnym dzwonkiem a aplikacjami mobilnymi, umożliwiając użytkownikom weryfikację wideo dzwoniącego do drzwi z dowolnego miejsca, a nawet zdalne otwieranie drzwi przez Alexę.
Możliwe scenariusze wykorzystania takiego ataku są zbyt liczne, by je wymienić. Szpiegostwo na dzwonku umożliwia zbieranie poufnych informacji – nawyków domowych, nazwisk i szczegółów dotyczących członków rodziny, w tym również dzieci.
Firma Ring naprawiła lukę w wersji 3.4.7 aplikacji, ale nie poinformowała użytkowników o usterce w swoich uwagach do aktualizacji, co spotkało się z mocno nieprzychylnymi komentarzami ekspertów. Tym bardziej, że to nie pierwsza wpadka firmy. Wcześniej w tym roku pojawiły się doniesienia, że Ring umożliwił swoim pracownikom oglądanie filmów klientów, czemu firma oczywiście zaprzeczyła.
Więcej o rozwoju rynku IoT i czyhających na nas zagrożeniach wynikających z wykorzystania inteligentnych urządzeń przeczytać można w raporcie Cyberbezpieczeństwo: Trendy 2019.