Postřehy z bezpečnosti: jak přijít ke stovkám milionů dolarů

Martin Čmelík 16. 11. 2015

V dnešním díle pravidelných pondělních Postřehů se podíváme na organizovanou skupinu zločinců, která byla schopná vydělat stovky milionů dolarů, na nové POS malwary, nový útok jménem BadBarcode, detaily útoku FBI na Tor síť, DDoS útok na ProtonMail skupinou Armada Collective a spoustu dalšího.

Minulý rok se objevila zpráva o případu JPMorgan, při kterém unikly soukromé informace o 83 milionech lidí, 76 milionech domácností a 7 milionech společností. Teprve minulý týden byly oznámeny detaily o žalobě čtyř osob stojících za tímto útokem.

Hlavou skupiny byl Gery Shalon (31 let, rezident Tel Avivu a Moskvy). Dalšími komplici byli Joshua Samuel Aaron (31 let, občan U.S.) a Ziv Orenstein (40 let, izraelský občan). Jméno čtvrtého komplice není zatím známé.

Tato skupina byla schopna mezi lety 2007 až 2015 vydělat více než sto milionů dolarů, díky své síti online heren, obchodu s ilegalními léky, platebnímu portálu (idpay.com), bitcoin burze (Coin.mx) sloužící k praní peněz, krádeže identit, komplexními spekulacemi na burze a distribucí malwaru. K tomu používali přes 75 bankovních účtů vytvořených na fiktivní jména, bylo nalezeno minimálně 200 podvržených dokumentů a 30 falešných pasů.

Tato skupina se aktivně nabourávala nejen do systémů JPMorgan, ale i do mnoha ostatních společností, které zatím nejsou známé, ale podle Briana Krebse se za krycím názvem jedné z nich – “Victim #12” skrývá společnost G2 Web Services LLC. Tato společnost poskytovala své služby bankám a hlavní činností byla identifikace podvržených webu a rozkrývání ilegálního prodeje zboží. Pracovala vlastně tak, že odpovídala na spam kampaně a objednávala si prezentované zboží. Pak vysledovala, jaké účty spameři používají, ty nahlásila a tím znesnadňovala kriminálníkům mít stabilní účet pro tok peněz z ilegálních obchodů.

Shalon a jeho skupina se však nabourala i do této společnosti, odkud zjistili účty, které zaměstnanci G2 Web Services používají k nákupu ilegálního zboží za učelem identifikace a zablokování účtů. Tyto účty poté ve svých sítích zablokovali a pokud je chtěl někdo použít, tak se nákup zboží neuskutečnil. U toho však nezůstali a monitorovali i firemní komunikaci, aby mohli rychle zjistit, jestli jim někdo není na stopě a případně rychle smazat všechny stopy. Tato skupina brala nabourávání systémů jako hlavní součást business modelu k ochraně a dalšímu rozširování své ilegální sítě. K útoku na “Victim #2” například využili chybu HeartBleed, která v té době byla známá jen pár dnů.

Postupně se budou rozkrývat další detaily této dobře organizované skupiny. Z textu obžaloby Shalona je možné nalézt další vodítka.

Naše postřehy

Objevily se informace o dvou nových POS (Point of Sale) malwarech, tj. malwarech zaměřující se na systémy, kde se zpracovávají bankovní transakce platební kartou (především pokladny). Prvním z nich je Cherry Picker, jehož stopy sahají až do roku 2011. Byl schopen unikat tak dlouho díky specializaci na mazání svých stop zanechaných v systému. Vybíral si konkrétní procesy, o kterých věděl, že by mohly obsahovat data kreditních karet, a pokud je nenašel, tak se smazal ze systému a paměti. K tomu malware nepoužíval standardní systémová volání, ale vlastní algoritmus pro vícenásobné přepsání.

Druhým z nich je POS Abaddon, který je relativně nový, ale již dosahuje schopností dnešních pokročilých malwarů. Dostává se do systémů spolu s bankovním trojanem Vawtrak. Obsahuje funkce pro ztížení analýzy kódu, obfuskaci kódu, je odolný vůči smazání ze systému a používá vlastní binární protokol pro komunikaci a odeslání dat na C2C server.

Jedním z nových a velmi kuriózních vektorů útoku je BadBarcode. Ve zkratce jde o to, že čtečky čárových kódu mohou do cílového systému poslat nejen znaky a čísla, ale pomocí protokolu jako Code128 i klávesové zkratky, pomocí kterých je možné ovládat cílovou aplikaci (otevřít soubor, zavřít aplikaci, …), až po spuštění příkazového řádku a konkretních příkazů na koncové stanici. Samozřejmě není příliš prostředí, kde by tento útok mohl být jednoduše proveden (oproti QR kódům), ale i tak stojí o tom vědět a počítat s tím.

Je tomu rok, co vyšla zpráva o slabině v Tor protokolu umožňující do určité míry deanonymizovat uživatele a dostat se k serverům hostujícím tzv. hidden služby. Z toho vzešla operace Onymous, která odhalila přes 410 hidden služeb a 27 černých online trhů. Operace se však nezaměřovala jen na kriminální činnost, ale na všechny uživatele Tor sítě. Podle poslední zprávy za tím zřejmě stál “univerzitní výzkum” CMU (Carnegie Mellon University) za který FBI zaplatila přes jeden milion dolarů. Nic není oficiálně potvrzeno (toho se možná ani nedočkáme), ale pochybuji, že by obvinili CMU bezdůvodně. Rozhodně zvláštní případ kombinace outsourcingu, “univerzitního výzkumu” a šmírování.

ProtonMail je společnost ve Švýcarsku poskytující plně šifrovaný emailový účet. Nebudeme zde však mluvit o službě jako takové, ale o tom, že společnosti byl zaslán email od skupiny Armada Collective vyžadující zaplacení 20 BTC, nebo spustí DDoS útok. Po začátku útoku společnost výpalné opravdu zaplatila (hloupý nápad), jenže přišel druhý útok od jiné skupiny, který byl mnohonásobně silnější a položil nejen servery společnosti ProtonMail, ale znepřístupnil i ostatní servery společností sidlící ve stejném datacentru. ProtonMail slíbil zveřejnit detaily útoku, až budou mít všechny informace, a to by mohlo být zajímavé čtení.

Armada Collective si však nezasedla jen na ProtonMail, podobný scénář postihl i FastMail, HushMail, Zoho, Runbox a VFEMail. Všechny společnosti samozřejmě uvádí, že zvýší bezpečnost svých serverů k obraně proti DDoS útokům. Pravdou je, že když přijde na volumetrické útoky, tak prostě potřebujete mít širší linku než útočník, a to v rámci jednoho datacentra není možné zvládnout, protože ISP prostě neposkytují 1Tb linku do Internetu. Využívejte raději geograficky rozmístěná scrubbing centra a dedikované linky, které k vaším serverům pošlou jen čistý traffic z předem známých adres a vše ostatní blokujte.

Pařížské letiště Orly bylo neschopné provozu kvůli selhání systému reportujícího pilotům povětrnostní podmínky. Posléze se přišlo na to, že tento systém známý jako DECOR bežel na operačním systému Windows 3.1! Klíčové systémy letiště jsou prý deset až dvacet let staré. To nevzbuzuje pocit důvěry a bezpečnosti.

widgety

Ve zkratce

Pro pobavení

Pohovor :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: EET a účetní programy. Vše hotovo?

EET a účetní programy. Vše hotovo?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

120na80.cz: Ochablé svaly mohou značit vážnou nemoc

Ochablé svaly mohou značit vážnou nemoc

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel