Hlavní navigace

Postřehy z bezpečnosti: chyby v protokolech SS7 opět na scéně

CSIRT.CZ

Dnes se opět podíváme na útok zneužívající známou zranitelnost SS7 ke krádeži bitcoinů, na malware v oficiálním obchodě Google Play, na zajímavé PoC, které ukazuje, jak se dostat i k datum odpojených počítačů, a další.

V minulosti jsme psali o případu, kdy útočníci zneužili zranitelnosti protokolu SS7 a v konečném důsledku vykradli obětem bankovní účty. Situace se nadále nemění, zranitelnosti v protokolu nadále zůstávají a výzkumníci mezitím předvedli, že lze tímto způsobem kompromitovat v podstatě jakoukoli službu, která využívá dvoufaktorovou SMS autorizaci včetně služeb jako je Gmail nebo Twitter.

Nyní se k této zranitelnosti opět vrátili také výzkumníci ze společnosti Positive Technologies, kteří získali přístup ke zranitelné infrastruktuře s SS7. Předvedli způsob převzetí kontroly nad celou bitcoinovou peněženkou oběti při znalosti základních údajů jako je celé jméno a telefonní číslo. Tyto údaje jim stačily k získání e-mailové adresy a tím nakonec i k hacknutí bitcoinové peněženky provozované u Coinbase.

Získané údaje, v tomto případě e-mail, posloužili k vygenerování žádosti o reset hesla k účtu na Coinbase, při kterém je odeslán ověřovací token na telefonní číslo. Díky zranitelnosti SS7 byli výzkumníci schopni tuto SMS získat a pak už jim nic nebránilo k získání přístupu. Celou akci podrobně zdokumentovali následujícím videem.

Naše postřehy

Obchod Play, sloužící primárně k distribuci aplikací na platformě Android, obsahoval malware, který nakazil přes 1 milion zařízení. Nakažené aplikace v sobě měly ukrytý payload, který tajně registroval oběti na placené služby. Malware se nacházel v různých aplikacích jako například v Lovely Wallpaper, Free Wallpaper, v aplikacích sloužících k editaci fotek nebo ve video obsahu. Způsob, jakým se malware ExpensiveWall liší od ostatních typů malwaru, je ten, že využívá komprimaci a šifrování kódu, aby se vyhnul zabudovaným ochranám proti malwaru v aplikaci Obchod Play. I když jsou infikované aplikace již odstraněny, pokud si je uživatel již stáhl, musí je sám odstranit. Uživatelé si případně mohou stáhnout aplikaci Google Play Protect, která by měla po oskenování aplikací upozornit na případný malware v zařízení.

Výzkumníci z Ben-Gurion University vymýšlejí zajímavé způsoby, jak odcizit data z počítačů odpojených od Internetu. V pondělí demonstrovali krádež pomocí nakažené bezpečnostní kamery. Vytvořili smyšlenou situaci, kde byl odříznutý počítač nakažený malwarem v místnosti s nakaženou bezpečnostní kamerou – dva přístroje si tak mohly informace doslova problikat infračerveným spektrem rychlostí 20 bitů za sekundu. Jiná CCTV kamera v nakaženém okruhu data vybliká ven z budovy. Ukazují video, kde auto domnělého útočníka přijede na parkoviště a přes vzdálenost mnoha desítek metrů se blikáním spojí právě s kamerou v budově.

Za zmínku stojí i únik dat společnosti Equifax. Jednalo o data přibližně 143 miliónů amerických občanů, 400 000 Britů a 100 000 Kanaďanů. Společnost doplatila na zranitelnost Apache Struts (CVE-2017–5638) z března tohoto roku. Mezi uniklými daty byly jména, adresy, ekvivalent našeho rodného čísla (social security number) a v některých případech i čísla kreditních karet. Ještě před zveřejněním úniku dat tři manažeři společnosti Eqifax prodali své podíly akcií v hodnotě 1,8 miliónu dolarů. Equifax dále potvrdil i druhý incident, který proběhl v březnu tohoto roku, ale nebyl až doteď tolik zmiňován médii. Je totiž pravděpodobné, že za oběma útoky stojí stejný útočník/ci. Další problém nastal, když oficiální twitterový účet zveřejnil link na pomoc postiženým lidem, který však vedl na phishingovou stránku. No a na závěr, aby té ostudy nebylo málo, vyšel najevo i fakt, že stránky společnosti byly v Argentině zabezpečené notoricky známou kombinací admin/admin. V návaznosti na tento incident přišli o místo Chief Security Officer Susan Mauldin a Chief Information Officer David Webb.

Tento týden kurýrní společnost TNT (patřící pod FedEx) připomněla ransomware NotPetya, když vyčíslila jím způsobené škody na 300 miliónů dolarů. Když k tomu přidáme ještě logistickou společnost Maersk, která vyčíslila škody až na 300 miliónů dolarů a společnost Reckitt Benckiser na 110 miliónů liber vyjde nám již celkem slušná částka. Společnost TNT nadále oznámila, že kompletní obnovení chodu svých IT operací očekává koncem měsíce.

Ve zkratce

Petrohradská firma PETER-SERVICE ve spolupráci s vládou šmíruje obyvatele Ruska

Zranitelnost Optionsbleed – pozor na Apache servery 

Nová varianta RETADUP zasáhla Jižní Ameriku 

Hajime stále žije 

Zavirovaný CCleaner – měl další úkol 

Ývon Ykcol 

Další zákeřný bankovní trojan

Pro pobavení

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?