Początek roku szkolnego najwidoczniej sprzyja hakerom w atakowaniu…dzieci i studentów. Złośliwe oprogramowanie WinLNK.Agent.gen atakuje udając książki i podręczniki. W minionym tygodniu wykryto również liczne luki w 600 tys. urządzeń GPS do lokalizowania dzieci, które umożliwiały manipulację danymi położenia, a nawet podsłuchiwanie i nagrywanie rozmów. W tym tygodniu również o ogromnym wycieku 419 mln numerów telefonów użytkowników Facebooka, losach twórców botnetu Satori czy nowym sposobie na SMS phishing.
1. 100 Gb/s śmieciowego ruchu, Satori na wynajem
Trwa sprawa sądowa przeciwko twórcom jednego z głośniejszych botnetów. Kenneth Schuchman wraz z dwoma innymi hackerami, których znamy tylko pod pseudonimem „Vamp” i „Drake”, od lipca 2017 do końca 2018 rozwijali sieć zhakowanych urządzeń, którą lepiej kojarzycie pod nazwą botnet’a Satori. Malware wywodzi się z kodu innego dobrze znanego malware’a – Mirai.
Satori żerował na słabo zabezpieczonych urządzeniach IoT – nagrywarkach DVR, kamerach monitoringu oraz sprzęcie sieciowym. Przejęcie było tym prostsze, że większość z nich posiadała słabe hasła oraz liczne niezałatane podatności… Czy kogoś jeszcze dziwi, że w krótkim czasie, przestępcom udało się stworzyć tak wielkiego botnet’a?
Tsunami i Fbot – to inne nazwy pod którymi ukrywał się Satori. Szacuje się, że łącznie botnet tworzyło około 700 tysięcy IoT. 32 tys. z nich należało do Canadian ISP (kanadyjski service provider). 35 tys. stanowiły nagrywarki DVR produkowane przez firmę High Silicon. Botnet posłużył również do sparaliżowania serwerów onlinowych serwisów gamerskich, a także ataku na Nuclear Fallout.
Schuchman chwalił się, że armia botów była w stanie generować co najmniej 100 Gb/s – a w pewnym momencie nawet 1 TB/s – śmieciowego ruchu sieciowego.
Haker ma zostać skazany 21 listopada.
2. SMS phishing? Tak, dzięki furtce w telefonach z Android
Specjaliści z Check Point odkryli zaawansowaną metodę phishing’u na którą podatne są niektóre nowoczesne smartphony z zielonym robotem – w tym sprzęt marki Samsung, Huawei, LG i Sony. Czyli w grę wchodzi ponad 50% rynku.
W momencie, kiedy użytkownik umieszcza w telefonie nową kartę SIM i loguje się do sieci komórkowej, operator automatycznie konfiguruje lub przesyła wiadomość zawierającą ustawienia dla połączeń i pobierania danych. W tym wypadku atakującym udaje się skłonić użytkowników do zaakceptowania nowych ustawień urządzenia, które czynią ich podatnymi na różne przyszłe ataki – m.in. traffic hijacking.
Geneza problemu. SMS phishing opiera się na mechaniźmie OTA (over-the-air), który niestety posiada bardzo ograniczone metody uwierzytelniania. Protokół nie pozwala odbiorcy na weryfikację pochodzenia otrzymywanych komunikatów. Jest to furtka z której potencjalnie mogą skorzystać przestępcy i zmienić np. serwer wiadomości MMS, adres proxy, stronę startową przeglądarki, zapisane zakładki lub serwer poczty. Dodatkowo wysłanie binarnego sms-a nie jest wcale takie trudne. Przestępcy potrzebują gotowy prosty skrypt oraz modem GSM lub telefon działający w trybie modemu. Przestępstwo doskonałe? Czas pokaże.
3. WinLNK.Agent.gen udaje książki i podręczniki szkolne
Jak łatwo złapać jakiegoś wstrętnego „robaka” pobierając popularne seriale TV czy skrakowane aplikacje? Po co jednak przestępcy mieliby się ograniczać wyłącznie do nich? Zaczął się rok szkolny, wkrótce studenci wrócą na uczelnie – może więc tym razem wycelować atak właśnie w nich? Tym bardziej, że koszt podręczników bywa na tyle wysoki, że wiele osób będzie szukać ich „darmowych” alternatyw.
Firma Kaspersky natrafiła na nową wersję dobrze znanego malware. WinLNK.Agent.gen jest aktywny od 2011. Teraz jednak stał się dużo bardziej dochodowy dla osób, które go rozprzestrzeniają… (czyt. kryptowaluty). Malware ukrywa się pod postacią książek w formie pliku .exe. Po jego uruchomieniu serwer C&C przesyła dodatkowe komponenty – w tym kryptominer oraz spam delivery systems na zainfekowane urządzenia.
Kaspersky przeanalizował zgromadzone logi, stąd wiadomo, że co najmniej 365 tys. użytkowników ich rozwiązań zostało zaatakowanych właśnie w ten sposób. 233 tys. ataków było efektem pobrania złośliwego eseju a kolejne 122 tys. podręczników z malwarem w pakiecie…
Przestępcy nie są zainteresowani tytułami, które nie posiadają już praw autorskich lub skanów książek dostępnych w bibliotekach. Za cel obrali sobie pozycje, które są trudno dostępne… i drogie. Dobrym przykładem są podręczniki akademickie, których koszt może wynieść nawet 150 dolarów. Najczęściej pobierane w sieci materiały edukacyjne to podręczniki do języka angielskiego, matematyki oraz literatura. Na dalszych miejscach znalazły się przedmioty przyrodnicze oraz języki obce.
4. Wyciekło 419 mln numerów telefonów użytkowników Facebooka
419 numerów telefonów, ID Facebooka, a nawet imiona, płeć i kraje pochodzenia… takie informacje zawierała niezabezpieczona baza danych Facebooka, która trafiła do sieci. Dane znaleziono na niezabezpieczonym serwerze, a dostęp do nich mógł mieć każdy. Większość informacji dotyczyła użytkowników ze Stanów Zjednoczonych, Wielkiej Brytanii i Wietnamu.
Według magazynu TechCrunch dane mogły trafić do sieci mogły za sprawą pracownika z odpowiednimi uprawnieniami. Z kolei gromadzone mogły być przy użyciu narzędzia, które Facebook wyłączył w kwietniu 2018 roku po aferze z Cambridge Analytica.
Historia lubi się powtarzać. Trudno już zliczyć wszystkie wpadki Facebooka. W marcu tego roku okazało się, że od 2012 r. firma przechowywała 600 mln niezabezpieczonych haseł. Kilka dni później świat obiegła informacja o tym, że pół miliarda rekordów Facebooka (m.in. komentarzy, imion, reakcji) zostało opublikowanych w sieci.
Zły tydzień dla Marka Zuckerberga. W minionym tygodniu właściciel witryny Android Police poinformował, że gigant social media stracił kontrolę nad jednym z kluczy do podpisywania przez developerów aplikacji na Androida. Prawdopodobnie został wykorzystany do poręczenia aplikacji Free Basics by Facebook. Później pojawiły się aplikacje innych firm podpisane tym kluczem. Tego typu problemy też nie są już jednak nowością dla Facebooka.
5. 60 000 urządzeń do lokalizacji GPS dzieci z licznymi lukami
Trackery do śledzenia lokalizacji GPS dzieci i seniorów z teorii powinny zwiększać ich bezpieczeństwo i zapewniać spokój rodzicom. Niestety, okazuje się, że ok 600 tys. tych urządzeń zawierało luki bezpieczeństwa, które mogły pozwolić hakerom na manipulację danymi lokalizacji, a nawet podsłuchiwanie i nagrywanie rozmów.
Błędy dotyczyły 29 modeli tych urządzeń dostarczanych przez jedną firmę – Shenzen i365 Tech. Problem w tym, że ten chiński producent sprzedaje swój sprzęt pod różnymi brandami. Jest on stosunkowo tani, a tym samym popularny – można nabyć go już za 25-50 dolarów.
W dodatku zagrożone zostały dane użytkowników. Analiza przeprowadzona przez Avast’s Threat Intelligence Team wykazała, że użytkownicy T8 Mini GPS Tracker Locator byli przekierowywani na niezabezpieczoną stronę internetową w celu pobrania aplikacji mobilnej. Ci, którzy dali się nabrać, ujawnili przestępcom swoje dane. Informacje o koncie użytkownika zostały również narażone na niebezpieczeństwo przez masowe przypisanie im domyślnego hasła „123456”. Specjaliści poinformowali producenta o wykrytych błędach, ale nie uzyskali odpowiedzi.
Za nami początek roku szkolnego – być może to dobry moment, aby producenci sprzętu IoT odrobili lekcję z cyberbezpieczeństwa. Póki co, ich ocena z tego przedmiotu pozostawia wiele do życzenia.
6. Złośliwy Joker wykryty w 24 aplikacjach na Androida
Nowe oprogramowanie szpiegujące na aplikacje z Google Play Store infekuje swoje ofiary, aby ukraść ich wiadomości SMS, listy kontaktów i informacje o urządzeniu. Oprócz kradzieży, złośliwy program rejestruje urządzenie w celu uzyskania subskrypcji premium, które mogą po cichu wyczerpać portfele użytkowników.
Joker – bo tak nazwano zagrożenie – został wykryty w 24 aplikacjach na Androida, których łączna suma instalacji wyniosła 472 tysiące. Targetowano 37 krajów – w tym Polskę.
Rzecznik Google zapewnił, że aplikacje zostały usunięte z Google Play Store.
Trojan po raz pierwszy pojawił się w czerwcu 2019 roku. Ukryty jest w programach reklamowych, wykorzystywanych przez zagrożone aplikacje. Po instalacji, zamaskowana aplikacja ładuje plik wykonawczy Dalvik drugiego stopnia, który jest plikiem kodu dla systemu operacyjnego Android. Ten z kolei upuszcza payload, które obejmuje funkcje przechwytywania danych i informacji o urządzeniu. Co gorsza, złośliwe oprogramowanie automatycznie rejestruje ofiary w celu subskrypcji usług premium dla różnych reklam
Jako środek zapobiegawczy wykryciu, złośliwy program otrzymuje dynamiczny kod przez HTTP i uruchamia go przez wywołania zwrotne JavaSript-to-Java.
Jak się chronić? Zaleca się zwrócenie szczególnej uwagi na listę uprawnień w aplikacjach instalowanych na urządzeniach z Androidem. I choć w wielu przypadkach nie znajdziemy jasnego opisu tego, dlaczego aplikacja wymaga określonego pozwolenia, lepiej zachować środki ostrożności.