Únik z Ubiquiti
Server krebsonsecurity.com zveřejnil závažné informace o úniku dat ze společnosti Ubiquiti. Podle zdroje serveru, který měl být u likvidace následků úniku dat se společnost snažila mlžit, aby snížila dopad na cenu akcií. Zdroj serveru prý obavy ohledně skutečných důsledků útoku probíral s „whistleblower hotline“ Ubiquiti i s evropským pověřencem pro ochranu dat.
Zatímco dle oficiální verze tvrdila, že napadení zahrnovalo třetí stranu v podobě poskytovatele cloudových služeb, dle zdroje serveru krebsonsecurity.com získali útočníci plný přístup do databáze Ubiquiti na Amazon Web Services, která měla být tou třetí stranou zahrnutou v útoku. Útočníci měli přístup k privilegovaným účtům, které si zaměstnanec Ubiquiti uložil do účtu na LastPass, a získali tak přístup do všech Ubiquiti AWS účtů, aplikačních logů, databází, uživatelských přihlášení a k informacím potřebným k podvržení single sign-on cookies. Získaný přístup měl umožňovat útočníkům vzdálený přístup do nespočtu Ubiquiti zařízení po celém světě.
Pokus o kompromitaci PHP
Minulou neděli se hackeři pokusili kompromitovat programovací jazyk PHP jako takový. Pod jmény známých vývojářů vložili do oficiálního gitového repozitáře jazyka nenápadný kód, který by, pokud by zůstal nepovšimnut, způsobil katastrofu na všech webech užívajících PHP. Stačilo by vedle běžné hlavičky HTTP_USER_AGENT, kterou při každém požadavku na obsah webu odešle váš prohlížeč spolu s informacemi o sobě (a webová stránka tak může zareagovat a upravit obsah například pro mobily), poslat podobnou hlavičku: HTTP_USER_AGENTT.
Přehlédli jste druhé písmeno T na konci řetězce? Hackeři doufali, že vývojáři je přehlédnou také. Hlavička by mohla obsahovat libovolný kód, který by PHP spustilo a umožnilo tak kompromitovat čtyři pětiny světového webu. Administrátoři jazyka naštěstí zareagovali promptně, kód odstranili, a protože zřejmě došlo k prolomení bezpečnosti serveru repozitáře spíše než uniknutí hesla jednotlivce, reorganizují vnitroorganizační pravidla přispívání a celý repozitář přesouvají na GitHub.
Spyware pro Android se vydává za aktualizaci systému
Vědci objevili nový spyware na zařízeních Android, který krade citlivé informace uživatelů, a to například historii prohlížeče či nahrávání zvuků a telefonních hovorů. Zatímco malware v systému Android se dříve maskoval napodobováním známých aplikací pod názvy podobajícími se legitimním softwarům, tento nový spyware se tváří jako aktualizace systému. Spyware vytváří oznámení o tom, že se hledá aktualizace systému, uživatel v domnění, že si aktualizuje systém Android, si tak stahuje spyware do svého zařízení,
uvedli bezpečnostní specialisté společnosti Zimperium v páteční analýze.
Po instalaci se sofistikovaná spywarová kampaň pustí do svého úkolu tím, že zaregistruje zařízení na serveru Firebase Command-and-Control (C2) s informacemi, jako jsou procento baterie, statistiky úložiště a zda je v telefonu nainstalován WhatsApp, následně shromáždí a exportuje jakákoliv data, která jsou pro server zajímavá, ve formě šifrovaného souboru ZIP. Přestože aplikace „System Update“ nebyla nikdy distribuována prostřednictvím oficiálního obchodu Google Play, výzkum znovu zdůrazňuje, jak mohou obchody s aplikacemi třetích stran skrývat nebezpečný malware.
Tajemný hacker trvale útočil na českou rodinu
Zajímavý případ na svých stránkách zveřejnila Policie ČR. Jednalo se vytrvalé útoky hackera na jednu rodinu po dobu tří měsíců. Podle všeho celou věc nahlásil otec rodiny až po více než měsíci, nicméně se během šetření ukázalo, že se pravděpodobně nejedná o útoky zvenčí, nýbrž zevnitř (v rámci rodiny).
Nakonec se pod tíhou důkazů přiznal nezletilý chlapec, který mimo útoků stál i za výhrůžkami v anglickém jazyce a žádostí o výkupné ve výši 100 000 Kč. Vzhledem k faktu, že nezletilý mladík měl ke všem zařízením v domácnosti přístup a jeho chování nenaplňuje jeden z bodů skutkové podstaty, byl celý případ odložen.
Problém SMS autentizace
O tom, že autentizace skrz SMS má své mezery, se ví už dlouho. Jak velké ve skutečnosti jsou, ukazuje aktuální reportáž magazínu Vice. Problém není ani tak v samotném textování, ale v celém prostředí telekomunikačních technologií.
Reportéry oslovený hacker v rámci demonstrace katastrofické zneužitelnosti systému přesměroval veškerou textovou komunikaci oběti, kterou byl jeden z reportérů, aniž by k tomu potřeboval větších odborných znalostí. V zásadě jen stačilo zaplatit malý poplatek (asi 350 Kč) legitimní messagingové službě s názvem Sakari. Hacker „pouze“ zalhal o tom, že k přesměrování má povolení uživatele/oběti, aniž by po něm bylo požadováno to jakkoliv doložit.
Ve zkratce
- Nové chyby umožňují v Linuxu obejít ochranu proti Spectra útoku
- Dítě poslalo tweet z oficiálního účtu amerického úřadu pro jadernou bezpečnost
- Útočníci implantovali několik backdoorů v japonském průmyslu
- Byl zadržen dvaadvacetiletý hacker odpovědný za útok na systém s pitnou vodou
Pro pobavení
Another creative API obfuscation technique... #LokiBot #Malware #YARA pic.twitter.com/NLSwbrtaLP
— marc ochsenmeier (@ochsenmeier) March 27, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
