Hlavní navigace

Postřehy z bezpečnosti: řekni 123456 a bůh vypne motor

CSIRT.CZ

V aktuálním dílu Postřehů se podíváme na dvě různé aplikace pro sledování aut se stejným problémem, dále na útoky na ambasády USA, na zranitelnost v rozšíření Social Warfare pro WordPress a na další zajímavosti.

Doba čtení: 3 minuty

Sdílet

Hacker vystupující pod přezdívkou L&M tvrdí, že se naboural do více než 20 000 účtů patřících uživatelům aplikace Protrack GPS a do 7 000 uživatelských účtů služby iTrack. Obě tyto aplikace umožňují sledovat pohyb vozidla nebo mu dokonce v určitých případech vypnout motor.

L&M prozkoumal zdrojový kód aplikací určených pro Android a zjistil, že všichni zákazníci dostávají stejné výchozí heslo „123456“ pro přihlášení. Díky tomu pak mohl na API aplikace odeslat miliony možných uživatelských jmen s tímto jediným heslem.


Screenshot hacknutých účtů uživatelů, který poskytl L&M webu Motherboard

Pak už nebyl problém z účtů zákazníků v aplikacích ProTrack a iTrack získat informace o používaných zařízeních GPS, jejich IMEI a jména, telefonní čísla, e-mailové adresy a fyzické adresy uživatelů. L&M dále tvrdí, že u vozů jedoucích pomaleji než 20 km/hod mohl přes tuto aplikaci dokonce odstavit i motor.

Obě tyto aplikace, které byly vyvinuté v Číně, mají nejspíše základní část zdrojového kódu stejnou, a proto trpí stejnou chybou. Samotná společnost ProTrack popírá, že by došlo k jakémukoliv úniku dat, nicméně potvrdila, že nyní začala vyzývat uživatele, aby si změnili svá hesla.

Naše postřehy

Zajímavý útok zaregistrovalo několik ambasád USA v různých koutech světa. Začíná standardní nakaženou e-mailovou přílohou obsahující dokument XLSM s makry. Pokud se mu povede vzbudit důvěru státním logem a označením Top Secret, počítač oběti se setká s vynikajícím programem AutoHotkey, který se běžně používá pro automatizaci činností. Ten však načte škodlivý skript AHK, jež pořídí screenshot obrazovky, odešle ho spolu s posbíranými informacemi na server C&C a stáhne si nakaženou verzi nástroje TeamViewer. S TeamViewerem útočníci získali již plný přístup k počítači. Není ale známo, co na něm prováděli, protože se nenašel payload. Našla se však ponechaná složka se screenshoty, které dopomohly identifikovat oběti.

Bylo zjištěno, že hackeři využívali pár kriticky zranitelných míst v populárním pluginu, který je používaný ve WordPressu. Jedná se plugin pro sociální sdílení médií nazývaný „Social Warfare“ a již má přes 900 000 stažení. Minulý měsíc vyšla aktualizace verze 3.5.3, kde byly chyby opraveny. Jednalo se o zranitelnost cross-site scripting a vzdálené spuštění kódu. Útočník může pomocí zranitelností spustit libovolný kód PHP a převzít kontrolu nad webem bez použití jakékoliv autentizace. Bohužel po zveřejnění aktualizace byla zveřejněná i ukázka exploitu a hackeři nelenili a hned začali zkoušet útočit na stránky běžící na platformě WordPress.

Analytici ze společnosti FireEye vytvořili čtyřdílný detailní popis jejich rozboru malwaru Carbanak, který byl použit ke stovkám úspěšných útoků a má na kontě několik způsobených škod v hodnotě milionů dolarů. V minulosti se objevily i jeho zdrojové kódy na stránkách VirusTotal, které obsahují 755 souborů a 100 000 řádků kódu. Ty poskytly analytikům další užitečné informace, neboť do té doby pracovali pouze s kompilovanými binárkami. První díl článku je k dispozici na fireeye.com.

V Kaspersky Lab objevili dosud neznámou zranitelnost v Microsoft Windows, která byla zneužita neznámou hackerskou skupinou. Hackeři se snažili získat plnou kontrolu nad konkrétním zařízením. Útok byl zacílený na systémové jádro – kernel – prostřednictvím backdooru postaveného na základní součásti OS Windows. Microsoft už ale chybu opravil, neváhejte proto s aktualizací systému.

Ve zkratce

Pro pobavení


https://www.facebook.com/bez­pecnost.hacking.komunita

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…