Ďalší týždeň plný udalostí. Závažná zraniteľnosť v Jave 7, ktorej nepomohla ani rýchla aktualizácia, odborníci z Kaspersky Lab informovali o záhadnom malware Wiper, na armádnych dodávateľov USA sa zameriava trojan Hikit, na Facebooku sa šíri červ, ktorý ma za úlohu "zničiť" váš antivírus a na svete je i ďalšia analýza tzv. "legálneho" malware Finfisher. Opäť v nej figuruje Česká republika, tentoraz je k dispozícií aj vyjadrenie českých úradov k otázke zahraničných novinárov.

ZeroDay zraniteľnosť v Jave 7

Útočníci začali využívať bezpečnostnú zraniteľnosť typu 0-day v softvéri Oracle Java, ktorá im umožňuje prienik do cieľových systémov. Doposiaľ boli útoky využívajúce túto zraniteľnosť skôr cielené a celkovo jej využívanie nebolo príliš rozšírené. V súčasnosti sa však zdá, že exploit zneužívajúci túto zraniteľnosť sa stal verejne dostupným napríklad pomocou nástrojov ako Metasploit. Odborníci Andre’ M. DiMino a Mila Parkour zverejnili, že zraniteľná je verzia 7 s aktualizáciami 0 až 6, avšak Java 6 by dotknutá byť nemala. Kód exploitu by mal byť funkčný v internetových prehliadačoch Internet Explorer, Opera a Firefox, diskutuje sa o funkčnosti/nefunkčnosti v Google Chrome, avšak podľa spoločnosti Rapid7 modul Metasploitu bude funkčný aj pri prehliadači od Googlu. Exploit by mal byť zaradený aj do sady BlackHole exploit kit, cena za jej použitie sa pohybuje okolo 100 000 dolárov. Autor Javy spoločnosť Oracle vydáva aktualizácie v štvrťročných cykloch. Avšak pre vážnosť tejto zraniteľnosti vydala mimoriadnu záplatu SE 7. No i tá žiaľ trpí zraniteľnosťou a tak riziko trvá. Do doby vydania efektívnej opravy je odborníkmi odporúčané deaktivovať podporu Javy v rámci internetového prehliadača, alebo najlepšie, úplne ju odinštalovať zo svojho počítača. Ďalšou možnosťou je použiť neoficiálnu záplatu, alebo sa vrátiť k staršej verzii - Java6. Optimálne je však zakázať Java plugin v prehliadači a povoliť ho iba na stránkach, kde bezpodmienečne potrebujete využiť túto technológiu. Podľa dostupných informácií šíri tento exploit už viac než stovka webových stránok. Objavila sa tiež informácia, že spoločnosť Oracle vedela o zraniteľnostiach už 4 mesiace pred tým než začal byť využívaný exploit. Súkromne ju o tom mala informovať poľská spoločnosť Security Explorations. Dve z vtedy 19 oznámených zraniteľností slúžia teraz ako prostriedky útokov.

Zdroje: krebsonsecurity.com, tehregister.co.uk

Záhadný malware Wiper a výskum spoločnosti Kaspersky Lab

Malware Wiper zaútočil na systémy niekoľkých ropných spoločností na Blízkom východe v apríli minulého roku. Konkrétne by sa malo jednať o obdobie 21 až 30 apríla 2012. Pátranie po ňom viedlo k odhaleniu ďalšej hrozby – Flame. V máji 2012 začal tím Kaspersky Lab na podnet Medzinárodnej telekomunikačnej únie (ITU) tieto podnety prešetrovať, aby zistil potenciálnu hrozbu plynúcu z malwaru ohrozujúceho systémy spojené s globálnou bezpečnosťou a stabilitou.

Výskum sa dial na základe forenznej analýzy obrazov diskov z prístrojov, ktoré boli napadnuté malwarom Wiper. Analýza odhalila vysoko efektívnu metódu ničenia počítačových systémov vrátane unikátneho vzorca mazania dát. Pátranie po Wiperovi síce viedlo k objaveniu Flamu, no Wipera samotného sa objaviť nepodarilo a dodnes je tak neidentifikovaný. Jeho spôsob „ničenia“ počítačov bol však inšpiráciou napríklad pre škodlivý kód Shamoon.

Názov všetkých komponentov Wipera je špecifický a začína sa na ~D. Čo pripomína opäť malware Duqu a Stuxnet, tieto hrozby boli postavené aj na zhodnej útočnej platforme známej ako Tilded. Experti spoločnosti Kaspersky Lab začali pomocou siete Kaspersky Security Network (KSN) hľadať súbory, ktoré by mohli indikovať stopu Wipera. Behom tohto procesu sa podarilo nájsť mnoho súborov pomenovaných ~DEB93D.tmp. Ich analýza však ukázala, že ide o súčasť Flame, tak ho vlastne analytici Kaspersky Lab aj našli.

Wiper takmer kompletne vymazal disky napadnutých systémov a zničil všetky dáta, ktoré by mohli viesť k jeho identifikácií. V napadnutých prístrojoch tak neostalo po aktivácií Wipera takmer nič a nebolo ani možné obnoviť akékoľvek dáta. Jeho algoritmus bol navrhnutý tak, aby zničil čo najviac súborov a čo najefektívnejšie, čo niekedy predstavovalo až gigabyty dát. Tri až štyri počítače mali dáta zmazané kompletne. Najskôr bola vymazaná polovica disku a potom systematicky ostávajúce súbory vedúce až k zrúteniu celého systému. Wiper napádal tiež súbory PNF, čo by nemalo žiadny zmysel pokiaľ by to nesúviselo s mazaním ďalších komponentov malware. Zaujímavé je to aj z toho dôvodu, že Duqu a Stuxnet mali svoju hlavnú časť zakódovanú práve v súboroch PNF.

Aj keď bol Flame objavený počas hľadania Wipera, odborníci Kaspersky Lab zastávajú názor, že Wiper a Flame sú dva rozdielne a vzájomne vzdialené škodlivé programy. Wiper sa napriek analýze jeho stôp nepodarilo, pretože sa neobjavili žiadne ďalšie incidenty rovnakého mazania dát, ani žiadne ďalšie útoky.

Zdroj: Kaspersky Lab

Trojan Hikit sa zameriava na armádnych dodávateľov USA

Výskumníci z bezpečnostnej spoločnosti Mandiant identifikovali backdoor trojana nazvaného Hikit, ktorý sa zameriava na malé množstvo armádnych dodávateľov v USA. Malware sa podľa Ryana Kazanciyana, hlavného konzultanta vo Washingtone, objavil prvýkrát minulý rok a spadá do tzv. kategórie APT - advanced persistent threat (pokročilá pretrvávajúca hrozba). Vyšetrovanie a sledovanie údajne prebiehalo dlhú dobu, no na verejnosť informácie prenikli až teraz. Cieľom útočníkov je v tomto prípade na rozdiel od finančných podvodov priemyselná špionáž v podobe kradnutia citlivých dát. Hikit mal byť nasadený ako súčasť väčšieho útoku proti niekoľkým spoločnostiam. Trojan sám o sebe slúži len ako backdoor, využíva slabé miesta v zabezpečení existujúcich serverov, čo umožní útočníkom prístup k dátam obetí. K jeho funkcionalite patrí spúšťanie vzdialených príkazov, prenos súborov, ale ja presmerovanie prevádzky v rámci vnútornej siete obete. Podľa odborníkov spoločnosti Symantec sa malware v snahe vyhnúť sa akejkoľvek detekcii počas inštalácie nepokúša kontaktovať riadiaci a kontrolný server (C&C). Namiesto toho jeho ovládač sleduje prichádzajúcu sieťovú prevádzku a čaká na špecifický vzor, od útočníka, ktorý otvorí komunikačný kanál. Podľa Symantecu je tým, že trojan nekontaktuje C&C server sám jeho prevádzková činnosť výrazne znížená. Podobný malware môže podľa expertov ostať bez detekcie mnoho rokov, vzhľadom na rozsah a zložitosť väčšiny podnikových sieti. Proces detekcie takýchto hrozieb je veľmi náročný.

Zdroj: scmagazine.com

Trojan kradne heslá pre Linux a MAC OS X

Ruská antivírusová spoločnosť Doctor Web informovala o objavení multiplatformového trojana označeného ako BackDoor.Wirenet.1. Tento trojan je vôbec prvým, ktorý môže súčasne pracovať na systéme Linux i MAC OS X. Úlohou trojana je kradnúť heslá uložené v aplikáciách ako Thunderbird, SeaMonkey a Pidgin. Pri spustení tento backdoor vytvorí svoju kópiu v užívateľskom domovskom adresári a komunikuje s riadiacim serverom umiestneným na IP adrese 212.7.208.65. Pri komunikácií je použitý špeciálny šifrovací algoritmus Advanced Encryption Standard (AES).

Zdroj: thehackernews.com

Útočníci zverejnili informácie odcudzené z viac než stovky webov

Hackerská skupina nazvaná Team GhostShell zverejnila na svojom Twitter účte odkazy k dátam z masívneho úniku, ktorý zahŕňa údaje viac než milióna užívateľov. Tie boli ukradnuté na približne stovke webových stránok po celom svete. Na tejto činnosti sa skupina Team GhostShell podieľala spolu s hackerskými skupinami MidasBank a OphiusLab. Medzi napadnutými sú údajne stránky ako WallStreet, CIA Services, MIT, Consulting Firms, Political Advisors, Security Companies, Corporations, Weapon's Dealers, Laboratories, Internet Hosting Services, Academics, Banks, Police Departments, Aviation, The Navy, Stocks Exchange, Bonds Exchange, Markets, Emirates Organizations, Various Businesses, Hedge Funds, Estate Agencies, Public Affairs, či Robotics. Má sa tak jednať o „finálnu formu protestu tohto leta voči bankám, politikom a za všetkých padlých hackerov v tomto roku.“ Odcudzené dáta zahŕňajú reálne mená, e-mailové adresy, heslá a ďalšie údaje. Podľa vyhlásenia však tieto dáta obsahujú aj prístup k ďalším informáciám ako: 6 miliárd databáz, v ktorých sa nachádzajú čínske a japonské technológie, prípadne technológie ďalších krajín, 105 miliárd databáz z americkej burzy cenných papierov, či prístup k 3 až 4 serverom patriacim ministerstvu pre vnútornú bezpečnosť. Overiť, či sa skutočne jedná o úniky spomínaných spoločností nie je jednoduché, no podľa Softpedie sa prezentované dáta zdajú byť pravdivé.

Zdroj: net-security.org

Falošné e-maily od PayPal šíria malware

Útočníci sa snažia oklamať užívateľov služby PayPal zasielaním podvodných e-mailov. Falošné správy obsahujú predmet „Notification of payment received.“ Ak užívateľ otvorí škodlivú prílohu, útočníci môžu získať kontrolu nad jeho počítačom. Malware má MD5: 9c2f2cabf00bde87de47405b80ef83c1 a antivírusmi je identifikovaný ako Backdoor.Win32.Androm.fm, či Win32/Gamarue.

Zdroj: blog.webroot.com

Červ, ktorý „likviduje“ antivírusy sa šíri prostredníctvom Facebooku

Ide o malware, ktorého úlohou je pripraviť cestu pre iný škodlivý kód deaktivovaním bezpečnostného softvéru, konkrétne antivírusu na počítači obete. Šíri sa prostredníctvom niekoľkých IM programov – ICQ, Skype, Gtalk, Pidgin, MSN a YIM, ale aj cez Facebook chat. Obeť na Facebooku dostane správu od neznámeho užívateľa s odkazom na zaujímavé, alebo zábavné video. Po návšteve odkazu je automaticky stiahnutý a spustený škodlivý kód. Červ po infikovaní hľadá najmä bezpečnostný softvér, povolí samého seba vo firewalle, deaktivuje váš antivírus, ale mení aj domovské stránky prehliadačov Firefox a Chrome. Okrem tejto činnosti prijíma pokyny od vzdialeného útočníka a ďalej sa šíri pomocou vašich IM programov. Podľa odborníkov z McAfee sa však dá táto infiltrácia pomerne ľahko odstrániť. Dôležité je používať „zdravý rozum“ pri chatovaní na Facebooku, ale tiež i pri používaní iných IM aplikácií.

Zdroj: net-security.org

Ďalšie informácie o „legálnom malware“ FinFisher

Spyware FinFisher vyvíjaný britskou spoločnosťou Gamma Group môže prevziať kontrolu nad celkou radou mobilných zariadení. Ide o zariadenia od spoločnosti Apple, BlackBerry, ďalej o systémy Android, Windows Mobile (avšak nie najnovšie verzie od roku 2010), ale i Symbian. K týmto zisteniam dospeli odborníci University of Toronto Munk School of Global Affairs’ Citizen Lab. Spyware by pri infekcii nemal zneužívať zraniteľnosti vyššie spomenutých systémov. Na jeho šírenie je pravdepodobne používaná metóda sociálneho inžinierstva, kedy k jeho aktivácií môže dôjsť napríklad inštaláciou falošnej aktualizácie systémového firmware. Tiež sa môže šíriť rôznymi typmi správ a odkazmi na webové stránky, ktoré vyzývajú na inštaláciu rôzneho softvéru. Dotknuté spoločnosti preto apelujú na svojich zákazníkov, aby venovali vysokú pozornosť inštalácií aplikácií z neznámych zdrojov, ale aj správam o údajných aktualizáciách. Možnosť šíriť sa na mobilných zariadeniach potvrdila aj spoločnosť Gamma Group. Spyware umožňuje napríklad aktivovať mikrofón mobilu, pristupovať k jeho súborom, alebo sledovať prevádzku. Fakty o šírení a možnostiach spywaru FinFisher vystihuje aj propagačný materiál a video zverejnené vďaka WikiLeaks.

Dôležité sú však i zistenia Billa Marczaka doktoranda na University of California Berkeley. Ten pátral ďalej po stopách riadiacich serverov, použil ďalšie metódy na ich identifikáciu a počet krajín podozrivých z používania spywaru FinFisher tak vzrástol na 15.

Bezpochyby zaujímavé je i to, že vzorka používaná na infikovanie mobilných zariadení bola objavená na českej internetovej doméne. Autori agentúry Bloomberg sa obrátili s otázkou prípadného používania spywaru FinFisher na české úrady. Hovorca ministerstva vnútra pre nich uviedol, že nemá žiadne informácie o využívaní produktov spoločnosti Gamma Group v ich rezorte a ani v iných štátnych inštitúciách. Hovorca ministerstva obrany vydal stanovisko, že ich rezort taktiež produkty Gamma Group nikdy nepoužíval. Otázku adresovali zahraniční novinári i Českej tajnej službe, no tá na ich e-mail neodpovedala.

Zdroj: washingtonpost.com