Witajcie w pierwszy wydaniu Centrum Bezpiecze\u0144stwa w roku 2020. Jeste\u015bmy pewni, \u017ce cyberprzest\u0119pcy sprawi\u0105, \u017ce b\u0119dzie to bardzo \u201ewyj\u0105tkowy\u201d okres. Mamy jednak nadziej\u0119, \u017ce nasze newsy i porady uczyni\u0105 Was jeszcze bardziej ostro\u017cnymi w sieci i nie tylko. Co przygotowali\u015bmy na pocz\u0105tek? 9 wyzwa\u0144 jakie niesie za sob\u0105 wdro\u017cenie IoT w firmie (du\u017co wi\u0119cej przeczytacie na ten temat w naszym nadchodz\u0105cym raporcie). Hackerzy z Black Hat celuj\u0105 w osoby pragn\u0105ce zmieni\u0107 nasz \u015bwiat na lepsze. Shitcoin Wallet z ch\u0119ci\u0105 przygarnie Twoje krypto-fundusze. Aplikacja Twitter zn\u00f3w ma problemy. W jaki spos\u00f3b hackerzy omijaj\u0105 weryfikacj\u0119 dwuetapow\u0105? A na koniec, nowe Gwiezdne Wojny – dlaczego bezpieczniej obejrze\u0107 je w kinie. <\/p>\n\n\n\n\n\n\n\n
Kamery monitoringu, czujniki, routery\u2026 Otaczaj\u0105ce nas urz\u0105dzenia s\u0105 coraz bardziej Smart. Jednak IoT \u2013 w zasadzie jak ka\u017cda inna technologia \u2013 posiada r\u00f3wnie\u017c wady. Najwi\u0119ksz\u0105 z nich jest niestety bezpiecze\u0144stwo. Do listy noworocznych postanowie\u0144 dopiszmy wi\u0119c odpowiednie ich zabezpieczenie. Ale od czego zacz\u0105\u0107? Sprawd\u017amy na pocz\u0105tek, z czym administratorzy maj\u0105 zwykle najwi\u0119ksze problemy?<\/p>\n\n\n\n
W \u015brodowisku IT ju\u017c jaki\u015b czas temu pojawi\u0142y si\u0119 g\u0142osy za tym, by urz\u0105dzenia IoT mia\u0142y efemeryczny charakter. Innymi s\u0142owy, powinny mie\u0107 dok\u0142adnie okre\u015blon\u0105, kr\u00f3tk\u0105 \u017cywotno\u015b\u0107. Czy s\u0105 za tym sensowne przes\u0142anki? IoT nie otrzymuj\u0105 regularnych (lub jakichkolwiek) aktualizacji. Nale\u017cy je wi\u0119c wy\u0142\u0105czy\u0107, zanim stan\u0105 si\u0119 zagro\u017ceniem dla organizacji. Jednak tak rozumiany \u201erecykling\u201d nie usprawni cyberbezpiecze\u0144stwa. Wygas\u0142e urz\u0105dzenie, zast\u0105pimy nowym \u2013 obarczonym tymi samymi b\u0142\u0119dami producenta. Dlatego zabezpieczenie IoT to jedno z g\u0142\u00f3wnych wyzwa\u0144 jakie stoi przed specjalistami od bezpiecze\u0144stwa. Wi\u0119cej na ten temat przeczytacie w raporcie Cyberbezpiecze\u0144stwo: Trendy 2020. Dost\u0119pny ju\u017c wkr\u00f3tce! <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Microsoft przej\u0105\u0142 50 domen, kt\u00f3re z du\u017cym prawdopodobie\u0144stwem pos\u0142u\u017cy\u0142y p\u00f3\u0142nocnokorea\u0144skiej grupie hacker\u00f3w Black Hat do przeprowadzenia licznych cyberatak\u00f3w.<\/p>\n\n\n\n Kto by\u0142 ich celem?<\/strong> Pracownicy rz\u0105dowi, think tanks, pracownicy uniwersytet\u00f3w, organizacji dzia\u0142aj\u0105cych na rzecz utrzymania pokoju na \u015bwiecie, praw cz\u0142owieka, a tak\u017ce osoby dzia\u0142aj\u0105ce na rzecz nierozprzestrzeniania broni j\u0105drowej.<\/p>\n\n\n\n Ataki mia\u0142y wyj\u0105tkowo wyrafinowan\u0105 form\u0119. Przest\u0119pcy pos\u0142u\u017cyli si\u0119 tzw. bia\u0142ym wywiadem, czyli danymi pochodz\u0105cymi z publicznie dost\u0119pnych \u017ar\u00f3de\u0142. W ten spos\u00f3b opracowali kampani\u0119 phishingow\u0105, na kt\u00f3r\u0105 da\u0142o si\u0119 z\u0142apa\u0107 wiele os\u00f3b. Atakuj\u0105cy po\u015bwi\u0119cili czas na to, aby maile sprawia\u0142y wra\u017cenie wiarygodnych – to nie by\u0142 \u201ecodzienny\u201d malspam.<\/p>\n\n\n\n Po klikni\u0119ciu w link i podaniu danych logowania, hackerzy przejmowali konto u\u017cytkownika oraz wszystkie powi\u0105zane z nim dane. Na tym nie koniec. Przest\u0119pcy ustanowili dodatkowo regu\u0142\u0119 umo\u017cliwiaj\u0105c\u0105 przekierowywanie ka\u017cdego maila przes\u0142anego na adres ofiary. Nie musieli wi\u0119c monitorowa\u0107 przej\u0119tych kont. Na koniec instalowali na urz\u0105dzeniu malware \u2013 BabyShark oraz KimJongRAT \u2013 z pomoc\u0105 kt\u00f3rych wykradali kolejne dane. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Pierwsze wra\u017cenie jest najistotniejsze. Tak przynajmniej si\u0119 m\u00f3wi\u2026 W tym wypadku \u201cShitcoin Wallet\u201d nie wzbudza naszego zaufania. Jednak od czasu publikacji rozszerzenia w Chrome Web Store, pobrano je ponad 625 razy.<\/p>\n\n\n\n Nazwa to nie wszystko. <\/strong>Je\u015bli produkt spisuje si\u0119 prawid\u0142owo, wszystko jest OK, nieprawda\u017c? Kolejny b\u0142\u0105d. Rozszerzenie wstrzykuje z\u0142o\u015bliwy kod JavaScript, kt\u00f3ry wykrada has\u0142a oraz klucze prywatne z portfeli oraz platform wymiany kryptowalut.<\/p>\n\n\n\n Co obiecuje vendor, programista, hacker?<\/strong> Shitcoin Wallet umo\u017cliwia zarz\u0105dzanie walut\u0105 Ether (ETH) oraz tokenami opartymi na Ethereum ERC20. U\u017cytkownik mo\u017ce pobra\u0107 rozszerzenie i zarz\u0105dza\u0107 zasobami z poziomu przegl\u0105darki lub znacznie bezpieczniej \u2013 instaluj\u0105c agenta na w\u0142asnym komputerze.<\/p>\n\n\n\n Bohater drugiego planu?<\/strong> Rozszerzenie wysy\u0142a klucze prywatne na adres erc20wallet[.]tk. Trafiaj\u0105 na niego tak\u017ce dane wykradzione za pomoc\u0105 z\u0142o\u015bliwego skryptu JS. Trudno powiedzie\u0107, czy developerzy Shitcoin Wallet s\u0105 odpowiedzialni za umieszczenie z\u0142o\u015bliwego kodu w rozszerzeniu Chrome. By\u0107 mo\u017ce sami padli ofiar\u0105 cyberprzest\u0119pc\u00f3w. Jedno jest pewne \u2013 rzecznik prasowy grupy milczy. Czy by\u0142 to kolejny kot w worku?<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Aplikacja Twittera na Androida mia\u0142a kolejny b\u0142\u0105d, kt\u00f3ry ujawnia\u0142 numery telefon\u00f3w u\u017cytkownik\u00f3w. Wykorzystuj\u0105c t\u0119 luk\u0119, badaczowi uda\u0142o si\u0119 dopasowa\u0107 17 milion\u00f3w numer\u00f3w do kont na Twitterze.<\/p>\n\n\n\n B\u0142\u0105d wyst\u0119powa\u0142 w przypadku funkcji przesy\u0142ania kontakt\u00f3w na Twitterze, kt\u00f3ra akceptowa\u0142a ca\u0142e listy numer\u00f3w telefon\u00f3w. Chocia\u017c funkcja nie zezwala\u0142a na listy w formacie sekwencyjnym, akceptowa\u0142a losowe. Na potrzeby testu badacz wygenerowa\u0142 wi\u0119c tak\u0105 list\u0119 dw\u00f3ch miliard\u00f3w numer\u00f3w telefon\u00f3w. Nast\u0119pnie przes\u0142a\u0142 je na Twittera za po\u015brednictwem aplikacji na Androida. W rezultacie m\u00f3g\u0142 dopasowa\u0107 17 milion\u00f3w kontakt\u00f3w do kont w ci\u0105gu dw\u00f3ch miesi\u0119cy. Nale\u017ca\u0142y g\u0142\u00f3wnie do u\u017cytkownik\u00f3w z Izraela, Grecji, Armenii, Iranu, Turcji, Niemiec i Francji.<\/p>\n\n\n\n Zamiast poinformowa\u0107 Twittera, badacz zacz\u0105\u0142 bezpo\u015brednio ostrzega\u0107 u\u017cytkownik\u00f3w, udost\u0119pniaj\u0105c kilka numer\u00f3w w grupie WhatsApp. W czasie, gdy dopasowywa\u0142 numery telefon\u00f3w u\u017cytkownik\u00f3w, firma za\u0142ata\u0142a jednak podatno\u015b\u0107.<\/p>\n\n\n\n Ostatnio ptaszki nie \u0107wierka\u0142y o Twitterze najlepiej. Wcze\u015bniej ujawniono luk\u0119, kt\u00f3ra pozwala\u0142a osobie atakuj\u0105cej przej\u0105\u0107 kontrol\u0119 nad kontami u\u017cytkownik\u00f3w. Nie wydaje si\u0119 jednak, aby oba b\u0142\u0119dy by\u0142y ze sob\u0105 powi\u0105zane. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Weryfikacja dwuetapowa to \u015brodek bezpiecze\u0144stwa, kt\u00f3ry nak\u0142ada dodatkow\u0105 warstw\u0119 ochrony na proces logowania si\u0119 do konta, us\u0142ugi lub urz\u0105dzenia. Korzystaj\u0105 z niego m.in. Google, Whatsapp, Instagram itp., ale r\u00f3wnie\u017c wszystkie banki. Nic dziwnego, \u017ce unikni\u0119cie dwuetapowej weryfikacji przez grup\u0119 haker\u00f3w z Chin, znan\u0105 pod nazw\u0105 APT20, wywo\u0142a\u0142o globalne zaniepokojenie. <\/p>\n\n\n\n Po pomy\u015blnym przerwaniu przez cyberprzest\u0119pc\u00f3w procesu weryfikacji, mogli oni uzyska\u0107 dost\u0119p do danych niekt\u00f3rych agencji rz\u0105dowych i korporacji oraz serwer\u00f3w firm z r\u00f3\u017cnych bran\u017c. Ich dzia\u0142anie zosta\u0142o odkryte przez Fox-It, holenderskiego specjalist\u0119 ds. bezpiecze\u0144stwa. Otrzyma\u0142 on skarg\u0119 od jednej z ofiar i przeprowadzi\u0142 w\u0142asne \u015bledztwo, kt\u00f3re doprowadzi\u0142o go na trop APT20. <\/p>\n\n\n\n Korporacje, kt\u00f3re dotkn\u0105\u0142 atak pochodz\u0105 z co najmniej z 10 pa\u0144stw, w tym Niemiec, Wielkiej Brytanii, Francji, Stan\u00f3w Zjednoczonych i Chin. Dzia\u0142aj\u0105 w takich sektorach jak IoT, architektura, bankowo\u015b\u0107, energetyka, bezpiecze\u0144stwo, transport czy HR. <\/p>\n\n\n\n2. Microsoft przej\u0105\u0142 domeny wykorzystywane do zakrojonych na szerok\u0105 skal\u0119 cyberatak\u00f3w<\/h2>\n\n\n
3. Shitcoin Wallet kradnie klucze prywatne posiadaczy krypto-fortun<\/strong><\/h2>\n\n\n
4. Aplikacja Twittera pozwoli\u0142a dopasowa\u0107 numery 17 mln u\u017cytkownik\u00f3w do kont<\/strong><\/h2>\n\n\n
5. Hakerzy omijaj\u0105 weryfikacj\u0119 dwuetapow\u0105 i kradn\u0105 dane korporacji z 10 pa\u0144stw<\/strong><\/h2>\n\n\n