Postřehy z bezpečnosti: hacktivista zveřejnil data kyberšpionážní společnosti

Martin Čmelík 11. 8. 2014

V dnešním díle Postřehů se podíváme na 40 GB dat společnosti Gamma Group, která stojí za špionážním softwarem FinFisher, exploit pro Symantec SEP, techniky komunikace backdooru, možnosti infikace spamerů, kritickou XML chybu ve WordPressu a Drupalu, krádež 1,2 miliardy přihlašovacích údajů a další.

Gamma Group International je britská společnost, která vyvíjí software používaný ke špionáži počítačů v zemích jako Amerika, Německo, Rusko, Irán a tak podobně. O jednom z jejich hlavních produktů jste možná již slyšeli. Je jím FinFisher/FinSpy, který drží krok s moderními postupy pro maskování v systému, infiltrování, vzdálené administraci, či hledání dat. Umí zaznamenat data nejen z webových formulářů, ale také pořídit záznam ze Skype hovoru, webové kamery a existuje i verze pro mobilní telefony. Není zatím jasné, kdo je hlavním odběratelem, protože stopy vedou jak k vládám, tak i soukromým organizacím.

Neznámý (nevím jak lépe ho definovat) hacktivista se naboural do systémů této společnosti a zveřejnil na Internetu 40 GB dat. Tento balík dat obsahuje spoustu interních dokumentů, důvěrných technických manuálů, zdrojové kódy programů a komunikaci s ostatními společnostmi. Víme díky tomu, že Gamma Group byla odběratelem služeb společnosti VUPEN, nejznámější to společnost na tvorbu 0day exploitů. Vztahy mezi společnostmi byly očividně blízké (na fotografii Martin Münch (Gamma Group) a Chaouki Bekrar (VUPEN)). Díky tomu bylo možné nainstalovat FinFisher téměř na jakýkoliv systém bez povšimnutí (nulová detekce antivirovým programem je téměř standard).

Dokumenty také popisují produkt s názvem FinFly ISP, umožňující zachytit internetový provoz a simulovat jakoukoliv internetovou stránku a vložit do ní škodlivý malware pro infikování počítačů. Pak tu máme dešifrování Silent Circle (nepotvrzené), TrueCryptu, Bitlockeru a spousty dalšího softwaru. Ceník produktů je přiložen :) Podrobnější článek rozebírající data obsažená v balíku najdete zdeNáš neznámý navíc připravil brožuru pro další hacktivisty a radí jim, jak začít s nabouráváním dalších podobných společností a vyzývá tím ostatní, aby bojovali proti kyberšpionáži.

Naše postřehy

Symantec Endpoint Protection obsahoval 0day chybu umožňující eskalaci práv. Nyní k videu ukazující úspěšnou eskalaci přibyl i použitý exploit. Objeven byl výzkumníky společnosti Offensive Security během penetračních testů. Společnost je známá především školením v oblasti bezpečnosti a distribucí Kali.

Zajímá vás, jaké techniky komunikace můžou využívat zadní vrátka nainstalovaná na vašem počítači? Poradit vám může studie společnosti TrendMicro.

Hacking spammers for dummies. Pěkný příběh na jehož začátku byl jeden spam a na konci exploitování administrace Zeusu, infikování počítače spammera a fotka z webové kamery.

Drupal i WordPress jsou náchylné na útok typu XML Quadratic Blowup. Jedná se o útok na XML parser způsobující spotřebování všech dostupných paměťových prostředků. Nebezpečí tohoto útoku tkví hlavně v jeho jednoduchosti. Podobným druhe útoku je Billion Laughs attack.

Původně jsem to chtěl dát do sekce pro pobavení, ale tam, jak si všimnete, je obrázek. Jde jen o to, že ministerstvo vnitra zadalo zakázku na dekódování šifrované komunikace pro policejní složky. Jako vždy se to zabalí do boje proti terorismu, organizovaném zločinu, dětské pornografie, či do jiné, veřejností akceptovatelné, výmluvě. Hodně štěstí a hlavně nezapomeňte na rozdíl mezi dešifrováním a dekódováním, páni odborníci. Pan Marian Kechlibar ze společnosti CircleTech navíc podle údajů ve článku asi nikdy neslyšel o ZRTP. Klidně mi napište, mám hotové řešení, kdy i když vám předám svůj telefon, tak nezjistíte zpětně nic. :)

Údajně největší krádež přihlašovacích údajů odhalila společnost Hold Security. Ve zprávě se mluví až o čísle 420 tisíc webových stránek a FTP účtů a celkem asi 1,2 miliardy hesel. Napadeny byly jak malé, tak velké cíle.

Kritická chyba byla objevena v posledních verzích Samby. Chyba se týká přetečení bufferu a spouštění kódu na vzdáleném serveru pod právy roota. Oprava chyby je ve verzi 4.1.11 a 4.0.21.

Google chce použít algoritmus pro ohodnocení míry bezpečnosti HTTPS na vašem webu/serveru a podle výsledku, jak dobře máte nastavené parametry HTTPS, zlepšit váš page rank. Cílem je, aby všechny weby přešly na HTTPS a tím se zvýšila bezpečnost vaší komunikace.

V dřívějším díle Postřehů jsme informovali o velmi pokročilém malwaru Uroboros/Turla. Výzkumníci společnosti Kaspersky tuto kampaň nazvali „Epic Turla“ a sestavili podrobnou technickou zprávu, kterou stojí za to přečíst.

Dvoufaktorovou autentizaci PayPalu lze obejít, avšak tuto chybu neopravili ani po dvou měsících. Tak Joshua Rogers zveřejnil kompletní postup i za cenu toho, že nedostane odměnu z programu Bug Bounty.

widgety

Nová verze Cryptolockeru s názvem SynoLocker, se zaměřuje na NAS od společnosti Synology a opět vyžaduje platbu pro dešifrování. Podle zprávy společnosti exploit využívá chybu (CVE-2013–6955 a CVE-2013–6987) umožňující vzdálené spuštění kódu. Případu se podrobně věnujeme v článku SynoLocker: disková pole Synology terčem vyděračů.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB