Hlavní navigace

Postřehy z bezpečnosti: jak přijít ke stovkám milionů dolarů

Martin Čmelík

V dnešním díle pravidelných pondělních Postřehů se podíváme na organizovanou skupinu zločinců, která byla schopná vydělat stovky milionů dolarů, na nové POS malwary, nový útok jménem BadBarcode, detaily útoku FBI na Tor síť, DDoS útok na ProtonMail skupinou Armada Collective a spoustu dalšího.

Minulý rok se objevila zpráva o případu JPMorgan, při kterém unikly soukromé informace o 83 milionech lidí, 76 milionech domácností a 7 milionech společností. Teprve minulý týden byly oznámeny detaily o žalobě čtyř osob stojících za tímto útokem.

Hlavou skupiny byl Gery Shalon (31 let, rezident Tel Avivu a Moskvy). Dalšími komplici byli Joshua Samuel Aaron (31 let, občan U.S.) a Ziv Orenstein (40 let, izraelský občan). Jméno čtvrtého komplice není zatím známé.

Tato skupina byla schopna mezi lety 2007 až 2015 vydělat více než sto milionů dolarů, díky své síti online heren, obchodu s ilegalními léky, platebnímu portálu (idpay.com), bitcoin burze (Coin.mx) sloužící k praní peněz, krádeže identit, komplexními spekulacemi na burze a distribucí malwaru. K tomu používali přes 75 bankovních účtů vytvořených na fiktivní jména, bylo nalezeno minimálně 200 podvržených dokumentů a 30 falešných pasů.

Tato skupina se aktivně nabourávala nejen do systémů JPMorgan, ale i do mnoha ostatních společností, které zatím nejsou známé, ale podle Briana Krebse se za krycím názvem jedné z nich – “Victim #12” skrývá společnost G2 Web Services LLC. Tato společnost poskytovala své služby bankám a hlavní činností byla identifikace podvržených webu a rozkrývání ilegálního prodeje zboží. Pracovala vlastně tak, že odpovídala na spam kampaně a objednávala si prezentované zboží. Pak vysledovala, jaké účty spameři používají, ty nahlásila a tím znesnadňovala kriminálníkům mít stabilní účet pro tok peněz z ilegálních obchodů.

Shalon a jeho skupina se však nabourala i do této společnosti, odkud zjistili účty, které zaměstnanci G2 Web Services používají k nákupu ilegálního zboží za učelem identifikace a zablokování účtů. Tyto účty poté ve svých sítích zablokovali a pokud je chtěl někdo použít, tak se nákup zboží neuskutečnil. U toho však nezůstali a monitorovali i firemní komunikaci, aby mohli rychle zjistit, jestli jim někdo není na stopě a případně rychle smazat všechny stopy. Tato skupina brala nabourávání systémů jako hlavní součást business modelu k ochraně a dalšímu rozširování své ilegální sítě. K útoku na “Victim #2” například využili chybu HeartBleed, která v té době byla známá jen pár dnů.

Postupně se budou rozkrývat další detaily této dobře organizované skupiny. Z textu obžaloby Shalona je možné nalézt další vodítka.

Naše postřehy

Objevily se informace o dvou nových POS (Point of Sale) malwarech, tj. malwarech zaměřující se na systémy, kde se zpracovávají bankovní transakce platební kartou (především pokladny). Prvním z nich je Cherry Picker, jehož stopy sahají až do roku 2011. Byl schopen unikat tak dlouho díky specializaci na mazání svých stop zanechaných v systému. Vybíral si konkrétní procesy, o kterých věděl, že by mohly obsahovat data kreditních karet, a pokud je nenašel, tak se smazal ze systému a paměti. K tomu malware nepoužíval standardní systémová volání, ale vlastní algoritmus pro vícenásobné přepsání.

Druhým z nich je POS Abaddon, který je relativně nový, ale již dosahuje schopností dnešních pokročilých malwarů. Dostává se do systémů spolu s bankovním trojanem Vawtrak. Obsahuje funkce pro ztížení analýzy kódu, obfuskaci kódu, je odolný vůči smazání ze systému a používá vlastní binární protokol pro komunikaci a odeslání dat na C2C server.

Jedním z nových a velmi kuriózních vektorů útoku je BadBarcode. Ve zkratce jde o to, že čtečky čárových kódu mohou do cílového systému poslat nejen znaky a čísla, ale pomocí protokolu jako Code128 i klávesové zkratky, pomocí kterých je možné ovládat cílovou aplikaci (otevřít soubor, zavřít aplikaci, …), až po spuštění příkazového řádku a konkretních příkazů na koncové stanici. Samozřejmě není příliš prostředí, kde by tento útok mohl být jednoduše proveden (oproti QR kódům), ale i tak stojí o tom vědět a počítat s tím.

Je tomu rok, co vyšla zpráva o slabině v Tor protokolu umožňující do určité míry deanonymizovat uživatele a dostat se k serverům hostujícím tzv. hidden služby. Z toho vzešla operace Onymous, která odhalila přes 410 hidden služeb a 27 černých online trhů. Operace se však nezaměřovala jen na kriminální činnost, ale na všechny uživatele Tor sítě. Podle poslední zprávy za tím zřejmě stál “univerzitní výzkum” CMU (Carnegie Mellon University) za který FBI zaplatila přes jeden milion dolarů. Nic není oficiálně potvrzeno (toho se možná ani nedočkáme), ale pochybuji, že by obvinili CMU bezdůvodně. Rozhodně zvláštní případ kombinace outsourcingu, “univerzitního výzkumu” a šmírování.

ProtonMail je společnost ve Švýcarsku poskytující plně šifrovaný emailový účet. Nebudeme zde však mluvit o službě jako takové, ale o tom, že společnosti byl zaslán email od skupiny Armada Collective vyžadující zaplacení 20 BTC, nebo spustí DDoS útok. Po začátku útoku společnost výpalné opravdu zaplatila (hloupý nápad), jenže přišel druhý útok od jiné skupiny, který byl mnohonásobně silnější a položil nejen servery společnosti ProtonMail, ale znepřístupnil i ostatní servery společností sidlící ve stejném datacentru. ProtonMail slíbil zveřejnit detaily útoku, až budou mít všechny informace, a to by mohlo být zajímavé čtení.

Armada Collective si však nezasedla jen na ProtonMail, podobný scénář postihl i FastMail, HushMail, Zoho, Runbox a VFEMail. Všechny společnosti samozřejmě uvádí, že zvýší bezpečnost svých serverů k obraně proti DDoS útokům. Pravdou je, že když přijde na volumetrické útoky, tak prostě potřebujete mít širší linku než útočník, a to v rámci jednoho datacentra není možné zvládnout, protože ISP prostě neposkytují 1Tb linku do Internetu. Využívejte raději geograficky rozmístěná scrubbing centra a dedikované linky, které k vaším serverům pošlou jen čistý traffic z předem známých adres a vše ostatní blokujte.

Pařížské letiště Orly bylo neschopné provozu kvůli selhání systému reportujícího pilotům povětrnostní podmínky. Posléze se přišlo na to, že tento systém známý jako DECOR bežel na operačním systému Windows 3.1! Klíčové systémy letiště jsou prý deset až dvacet let staré. To nevzbuzuje pocit důvěry a bezpečnosti.

Ve zkratce

Pro pobavení

Pohovor :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

16. 11. 2015 9:04

Pavel (neregistrovaný)

Klíčové systémy letiště jsou prý deset až dvacet let staré. To nevzbuzuje pocit důvěry a bezpečnosti.

Právě naopak, takto bezpečné systémy fungují. Pokud máte certifikovaný a ověřený bezpečný systém, tak tam nemůžete každý měsíc cpát novinky, protože ta certifikace pak trvá několik let. A podmínkou bezpečnosti je, že po prověření a certifikaci už se na ten systém nesáhne!

To máte jako s raketoplány. Byly postavené na technologiích, které byly nové v okamžiku začátku jejich návrhu. Když pak byl…

16. 11. 2015 10:09

Starous (neregistrovaný)

ono to funguje spolehlivě protože to je otestované v konfiguraci která se nemění. Tyto systemy budou velmi bezpečné pokud jsou izolované. Problém nastane jakmile někdo překoná toto omezení.... na druhou stranu komu z vás by se dneska chtělo psát virus nebo antivirus pro ms-dos?

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí