Hlavní navigace

Postřehy z bezpečnosti: bankovní loupež

CSIRT.CZ

V dnešním díle postřehů se podíváme, jak tento týden zloději „vykradli” banku, kdy kůň sleduje myš, jak smrt ve hře může mít fatální následky v reálném světě a jak se stalo, že turecké tržiště bylo plné virů.

Italská pobočka UniCredit Bank tento týden zjistila, že se stala terčem útoku, při kterém došlo ke zcizení údajů 400 tisíc klientů. K úniku údajně došlo v září a říjnu v roce 2016 a v červnu a červenci letošního roku. Útok byl proveden přes externí firmu – partnera banky, který měl k údajům přístup.  

Jednalo se pouze o data italských klientů a nedošlo k úniku hesel. Ohroženy nebyly ani zůstatky na účtech klientů. Na druhou stranu nelze vyloučit ukradení některých osobních údajů a čísel IBAN. Jednalo se o první útok na italskou banku. Po jeho zjištění  IT oddělení hackery zablokovalo a upgradovalo systém. 

Naše postřehy

V červenci odhalili bezpečnostní pracovníci novou verzi bankovního trojanu Ursnif. Tato verze je zajímavá především svým stylem detekce, tedy zda trojan neběží v automatizovaném prostředí či sandboxu určeného k jeho analýze. Trojan v zásadě sleduje pohyby myší a pokud se kurzor pohybuje, vyhodnocuje, že se systémem pracuje běžný živý uživatel. Celkově je trojan Ursnif poměrně novátorský, v roce 2016 to byl např. první bankovní trojan, který svoje C&C servery skrýval v síti Tor.

Nad následujícím bugem si někdo možná vzpomene na knihu Bludiště odrazů od Sergeje Lukjaněnka. Postava z knížky navždy uvízla v levelu hry Doom. Ve hře Counter-Strike mohla být hacknuta postava z reálného světa. Zranitelnost obsahoval Valve Source video game engine, konkrétně fyzikální model ragdoll – „hadrová panenka”, užívaný při animaci smrti postavy. Kdyby útočník implementoval fyzikální model ve vlastní mapě, počítač zastřeleného hráče by hbitě stáhnul a spustil nebezpečný soubor. Než byla tato chyba opravena, doslova stačilo člověka ve hře zabít, aby bylo možné prolomit se do jeho počítače. 

Hackeři nakazili celý turecký obchod CepKutusu. Útočníci použili zajímavý způsob infikování, a to takový, že každé tlačítko „download now” přesměrovalo uživatele na nakaženou aplikaci vytvořenou hackery. Bylo pak jedno, jakou aplikaci uživatel stahuje, vždy si totiž stahoval na svůj Android zároveň malware. Ten byl schopný zachytávat a odesílat SMS zprávy, zobrazovat falešnou činnost, stahovat a instalovat další aplikace. Útočníci ve snaze zůstat co nejdéle skryti použili ještě jednu vychytávku. Při první návštěvě obchodu se uživatelům nastavila cookie, která sedm dní zabraňovala spuštění škodlivého odkazu a tak uživatelé mohli stahovat aplikace, které si sami zvolili, ale po uplynutí jednoho týdne, pak stačilo, aby se uživatelé pokusili stáhnout jakoukoliv aplikaci a došlo již ke stažení malwaru. CepKutus by již neměl obsahovat žádný nakažený odkaz.

Od 1. srpna 2017 vstupuje v účinnost zákon č. 205/2017 Sb., kterým se mění zákon o kybernetické bezpečnosti a některé další zákony. Národní centrum kybernetické bezpečnosti pro nás připravilo jednoduchý přehled změn.

Ve zkratce

Pro pobavení

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET

Našli jste v článku chybu?