O czym piszemy w tym tygodniu? O nowych atakach grup hakerskich MuddyWater i Hidden Cobra, wejściu na czarny rynek programu Baldr służącego do wykradania informacji, czy ataku ransomware, który sparaliżował funkcjonowanie miasteczka Greenville w USA.
1.Nowe oprogramowanie do wykradania informacji dostępne na czarnym rynku
Nowy złośliwy program sczytujący informacje z zainfekowanych urządzeń nazwany został przez swoich twórców Baldr. Imię to należało do mitologicznego syna Odyna, ulubieńca bogów Asgardu. Czy kryjący się pod taką nazwą program ma szansę stać się faworytem wśród nabywców złośliwego oprogramowania na forach Dark Webu? Wiele na to wskazuje…
Stworzenie programu przypisuje się trzem znanym i doświadczonym hakerom rosyjskim. Baldr napisany został w języku C++. Jego złośliwy kod ukryto za pomocą funkcji Wrapper oraz narzędzi z warstwami oddzielnych klas i modułów. Program cechuje wysoka funkcjonalność. Baldr gromadzi dane o profilu użytkownika, w tym informacje o przeglądarce. Wykrywa portfele kryptowalut, szyfrowane łącza VPN, komunikatory internetowe Telegram oraz protokoły Jabber. Program przetwarza pliki i foldery z kluczowych lokalizacji komputera w celu wyodrębnienia istotnych informacji, a następnie kradnie je przesyłając do serwerów C&C cyberprzestępców. Operatorzy Baldra mogą przy jego pomocy pobierać zrzuty ekranu z systemu ofiar. Program posiada także panel administracyjny, który umożliwia przeglądanie statystyk dotyczących infekcji oraz filtrowanie i pobieranie skradzionych danych.
W nordyckiej mitologii do upadku Baldra przyczynił się Loki, który był zazdrosny o jego pozycję i uznanie wśród bogów. Czy tak samo stanie się w tym przypadku? Czy pojawi się inne oprogramowanie, które strąci Baldra w otchłań niepamięci? Tego nie wiemy, ale gdy tylko tak się stanie, niezwłocznie Was o tym poinformujemy.
2. Podatność w Yuzo Related Posts
Luka bezpieczeństwa, w posiadającej ponad 60.000 instalacji wtyczce WordPress’a, umożliwia nieuwierzytelnionym osobom wprowadzenie szkodliwej zawartości do ustawień strony. Odnotowano przypadki dodawania kodu JavaScript, który przekierowywał odwiedzających na niebezpieczne strony, m.in.: z ankietami, niechcianymi rozszerzeniami przeglądarek czy oszustwami w zakresie wsparcia technicznego.
30 marca 2019 roku, twórcy Yuzo Related Posts usunęli wtyczkę z katalogu WordPressa. Zapobiegło to zakażeniu nowych użytkowników, ale dotychczasowi nie zostali o tym fakcie powiadomieni, przez co ich strony pozostawały podatne na zagrożenia.
Twórcy wtyczki pracują aktualnie nad jej aktualizacją. Do czasu wydania poprawionej wersji zalecamy odinstalowanie wtyczki oraz usunięcie śladów po niej z baz danych.
3. Nowy trojan Hoplight atakuje
Departament Bezpieczeństwa Wewnętrznego Stanów zjednoczonych (DHS) oraz Federalne Biuro Śledcze (FBI) wydały ostrzeżenia o nowym szczepie złośliwego oprogramowania o nazwie Hoplight.
Za atakami z wykorzystaniem tego trojana stoi łączona z Pjongjangiem grupa Hidden Cobra, znana również pod nazwami Lazarus i BlueNoroff. W ostatnim czasie zaobserwować można wzmożoną aktywność tej grupy. Przed dwoma tygodniami informowaliśmy o jej działaniach wymierzonych w firmy zajmujące się kryptowalutami oraz w technologiczne startupy (więcej tutaj).
Hoplight, przed którym ostrzega DHS i FBI, to backdoor zbierający informacje z zainfekowanych systemów i wykonujący polecenia otrzymane z serwera C&C cyberprzestępców. Składa się z dziewięciu plików. Siedem z nich to aplikacje proxy przeznaczone do maskowania ruchu między złośliwym oprogramowaniem a jego operatorami. Serwery proxy generują fałszywe sesje TLS przy użyciu ważnych publicznych certyfikatów SSL.
Nowy trojan potrafi odczytywać i zapisywać pliki, dyski systemowe, tworzyć i kończyć procesy, wprowadzać kod do już uruchomionych, modyfikować ustawienia rejestru, łączyć się ze zdalnym hostem w celu przesyłania i pobierania plików oraz tworzyć, uruchamiać i zatrzymywać usługi. Za jego pośrednictwem przestępcy zbierać mogą również informacje systemowe, takie jak: wersja systemu operacyjnego, informacje o wolumenie i czasie systemowym.
4. Grupa MuddyWater uderza wykorzystując 19-letnią podatność WinRAR’a
Niedawne ataki skierowane przeciwko firmom z branży satelitarnej i komunikacyjnej wykorzystały lukę bezpieczeństwa w wykonaniu zdalnego kodu w popularnej aplikacji do kompresji plików. Informowaliśmy o niej 26 lutego br. (więcej tutaj).
Techniki tych ataków przypominały metody stosowane przez grupę szpiegowską MuddyWater. Ugrupowanie to, znane również jako SeedWorm, odpowiada za serię kampanii wywiadowczych na temat celów z terenu Bliskiego Wschodu, Europy oraz Ameryki Północnej. Na długiej liście ofiar tej hakerskiej grupy znajdują się agencje rządowe, firmy naftowe, gazowe, telekomunikacyjne, informatyczne oraz organizacje pozarządowe.
Najnowszy atak przypisywany tej grupie wykorzystuje wspomnianą podatność WinRAR’a i prowadzi do przejęcia pełnej kontroli nad systemami ofiar. Atak rozpoczyna wiadomość elektroniczna pochodząca rzekomo z Ministerstwa Spraw Zagranicznych Afganistanu. Zawiera ona link do dokumentu Word ze złośliwymi makrami. Ich włączenie prowadzi do pobrania szkodliwego oprogramowania i wymusza ponowne uruchomienie komputera. Działające w tle makra uruchamiają serię akcji prowadzących do pobrania skryptu PowerShell’a. Skrypt zbiera informacje o systemie, generuje unikalny identyfikator komputera oraz przesyła te informacje cyberprzestępcom. Za pośrednictwem skryptu na system ofiary pobrane mogą zostać dowolne pliki, uruchamiane polecenia w konsoli oraz dekodowanie go z base64. Na na tym etapie infekcji wykorzystywana jest właśnie podatność WinRAR’a. Jako że skrypt pobierać może pliki, to stojący za atakiem mogą dostarczyć złośliwe archiwum i wykorzystać lukę WinRAR’a do przejęcia kontroli nad stacją. Dzieje się tak, gdy ofiara otworzy spreparowane archiwum.
5. Poczta Gmail bezpieczniejsza dzięki standardowi MTA-STS
Google ogłosił, że z dniem 10 kwietnia Gmail stał się pierwszym dostawcą poczty elektronicznej obsługującym dwa nowe standardy bezpieczeństwa, a mianowicie MTA-STS i TLS Reporting. Oba są rozszerzeniami protokołu SMTP (Simple Mail Transfer Protocol) przy pomocy którego wysyłane są obecnie wiadomości mailowe.
Problemem protokołu SMTP jest jego podatność na ataki typu man-in-the-middle. Nieuczciwi operatorzy serwerów pocztowych mogą przechwytywać, odczytywać oraz modyfikować zawartość maili. Oba nowe standardy mają zapobiec temu procederowi dzięki utworzeniu bezpiecznego kanału do wymiany wiadomości.
Prace nad nowymi standardami bezpieczeństwa trwały trzy lata. Udział w nich brali inżynierowie Google, Microsoft, Comcast i Yahoo.
Nowe standardy staną się naprawdę skuteczne dopiero w momencie, gdy do Gmaila dołączą pozostali dostawcy poczty elektronicznej. Wspólnie stworzą oni wówczas sieć prawidłowo szyfrowanych połączeń między serwerami pocztowymi. Kiedy to się stanie? Na chwilę obecną nie wiadomo.
6. Tysiące pracowników Amazona słuchają nagrań z domów swoich klientów
Wolność Tomku w swoim domku? Nie dla użytkowników Amazon Echo z asystentką Alexą. Okazuje się, że pracownicy zespołu analitycznego mogą odsłuchiwać nagrania z domowego zacisza klientów Amazona.
Co więcej, potwierdza to sam gigant Doliny Krzemowej. Pracownicy podczas zmiany analizują do 1000 nagrań. Spisują słowa, dołączają adnotacje oraz sugestie, a potem wgrywają je do zbioru danych. Dzięki tym zabiegom algorytmy sztucznej inteligencji, będące podstawą działania asystenta, uczą się szybciej, eliminują błędy w przetwarzaniu ludzkiej mowy, a także udzielają trafniejszych odpowiedzi.
Pracownicy odsłuchując nagrania trafić mogą na takie, którymi niekoniecznie chcielibyście się z podzielić, np. niezbyt “czyste” wokalnie wykonanie ulubionego kawałka pod prysznicem. Wśród pracowników zespołów zajmujących się analizą nagrań powszechna jest praktyka przesyłania plików, gdy potrzebna jest pomoc w zrozumieniu danego słowa… lub gdy trafią na zabawne nagrania (!)
Przedstawiciele Amazona, odnosząc się do powyższych informacji, ujawnionych przez raport Bloomberga, zapewnili, że firma traktuje poważnie bezpieczeństwo i prywatność swoich klientów… Podkreślili, że pracownicy nie mają bezpośredniego dostępu do informacji, które pozwoliłyby im zidentyfikować osoby korzystające z głośników Echo i Alexy. Poinformowali również, że w ustawieniach prywatności można znaleźć opcję pozwalającą zablokować wykorzystanie nagranych fragmentów z życia użytkowników do ulepszania produktu.
Wspomniany już raport podaje, że próbki głosu trafiające do zespołu analitycznego faktycznie nie zawierają informacji o nazwisku oraz adresie zamieszkania użytkownika ale powiązane są z numerem konta w systemie, a także numerem seryjnym urządzenia. Na podstawie tych danych ustalenie tożsamości użytkowników nie wydaje się być karkołomnie trudnym zadaniem.
7. Podatność w protokole WPA3 pozwala zhakować hasło WiFi
Mija rok od wprowadzenia na rynek nowej generacji standardu zabezpieczenia WiFi – protokołu WAP3, a odkryto w nim kilka poważnych luk bezpieczeństwa. Podatności mogą pozwolić cyberprzestępcom na zhakowanie hasła do sieci. Protokół choć opiera się na bezpiecznym uścisku dłoni znanym jako Dragonfly, który zabezpiecza sieć WiFi przed atakami ze słownika offline, to posiada słabe punkty. Pozwalają one hakerom na pozyskanie hasła za pomocą nadużywania czasu oraz wycieków kanałami bocznymi, opartych na pamięci podręcznej.
Budowa protokołu bezpośrednio wpływa na to, że istnieją zasadniczo dwie metody atakowania sieci. Dzięki nim haker jest w stanie wejść w posiadanie hasła do sieci bezprzewodowej, a następnie podsłuchiwać wszystkich jej użytkowników. Mimo wszystko badacze uznają, że protokół WPA3 jest dużo bezpieczniejszy od swojego poprzednika WPA2.
WiFi Alliance, która certyfikuje standardy oraz produkty WiFi przyznała, że błędy bezpieczeństwa są poważne, ale dotyczą ograniczonej ilości urządzeń. Chodzi przede wszystkim o sprzęty sieciowe korzystające z wczesnych implementacji WPA3 Personal.
Co istotne, producenci urządzeń sieciowych już pracują nad opracowaniem łatek pozwalających na wyeliminowanie wykrytych podatności.
8. Robin Hood atakuje miasteczko Greenville
Mowa nie o zakapturzonym królu złodziei żyjącym w lesie Sherwood i walczącym z despotycznym szeryfem Nottingham, lecz o kryjącym się pod tym znanym imieniem, programem typu ransomware. Za sprawą jego ataku blisko 60 tysięczne miasto Greenville z Karoliny Północnej w Stanach Zjednoczonych od kilku dni funkcjonuje offline.
Miasto wyłączyło większość swoich serwerów, w tym i te odpowiedzialne za bezpieczeństwo publiczne, po tym jak pracownik policji zauważył obecność wirusa szyfrującego. Rzecznik prasowy poinformował, że nie stwierdzono naruszenia danych osobowych, a komputery pozostaną w trybie offline, aby zapobiec jego rozpowszechnianiu się. Przy pomocy FBI oraz niezależnych ekspertów miasto bada złośliwe oprogramowanie oraz poszukuje możliwości przywrócenia swoich systemów. Nie ma bowiem w planach płacenia okupu cyberprzestępcom.
I tutaj ujawnia się największa z różnic pomiędzy tym legendarnym, a złośliwym Robinem. Pierwszy walczył w obronie biednych i uciśnionych rozdając im zrabowane przez siebie dobra. W działaniu tego drugiego trudno dopatrzeć się równie altruistycznych pobudek…