Byl objeven malware, který míří na stejné cíle a používá stejná jména a hesla jako Mirai. Jeho funkčnost se však trochu liší. Nemá (alespoň prozatím) funkcionalitu pro DDoS útok. A vlastně nemá schopnost provést jakýkoliv jiný útok. V tuto chvíli se pouze šíří a snaží se vyšachovat Mirai ze hry.
Jeho jméno je Hajime a úplně poprvé byl objeven výzkumníky z Rapidity Networks na konci minulého roku. Na rozdíl od Mirai využívá místo command-and-control (C2) serverů peer-to-peer (P2P) protokoly, což značně komplikuje případné snahy o jeho vypnutí. Jediná jeho činnost kromě vlastního šíření je v tuto chvíli zobrazování informační zprávy na terminálu napadeného zařízení:
Just a white hat securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED.
Stay sharp!
V současné době se odhaduje, že počet zařízení v tomto botnetu se pohybuje kolem 150 000. Zda bude či nebude v budoucnu využíván k nekalé činnosti, nelze v tuto chvíli říci. Prozatím je jeho cíl jasný – vytlačit Mirai ze hry.
Naše postřehy
Známý výrobce audio techniky Bose čelí žalobě kvůli tajnému sbírání osobních informací svých zákazníků. Informace o preferované hudbě nebo oblíbených skladbách měl předávat třetím stranám. Problém se týká aplikace Bose Connect, která tyto informace údajně sbírá, aniž by s tím uživatel vyjádřil souhlas.
Tento týden si mezi výrobci domácích routerů vytáhl Černého Petra Linksys. Tao Sauvage publikoval výsledky svých testů zařízení ze série EA3500. Celkem se jemu a jeho kolegovi podařilo nalézt 10 zranitelností. Dvě z nich umožňují vzdálenému útočníkovi provést DoS zařízení posláním několika dotazů na specifické API. Útočník také může obejít přihlášení a získat tak zajímavé informace, jako verzi firmwaru, verzi linuxového jádra, seznam běžících procesů, seznam připojených USB zařízení nebo WPS PIN pro připojení přes Wi-Fi. Nepřihlášený útočník může také získat seznam připojených zařízení a jejich OS, přistupovat ke konfiguraci firewallu, číst konfiguraci FTP či získat informace o nastavení SMB serveru. V původním článku je také seznam všech zařízení, kterých se objevené zranitelnosti týkají.
Xavier Mertens rozebírá na webu SANS možnosti zneužívání DNS dotazů k exfiltraci dat. Konkrétně ukazuje, jak s využitím běžných shell utilitek odeslat soubor /etc/passwd
v podobě DNS dotazů a na straně útočníka je zase poskládat zpět. Jako ochranu doporučuje sledovat logy DNS provozu a také velikost odesílaných dat.
Víte, jaké komunikační techniky používají útočníci mezi sebou pro vzájemnou domluvu? Jeden by řekl, že nejspíš nějaké vysoce sofistikované nástroje zaručující frajerskou anonymitu. Málokdo by si to tipnul, ale vypadá to, že až dvě třetiny útočníků říkají „ano“ Skypu. Což, řekněme si na rovinu, není nástroj, ve kterém byste se skryli před želízky. Nicméně je spolehlivý, dá se snadno nainstalovat a každý ho zná. Ukazuje to report společnosti Flashpoint, která procházela dark web fóra a zjišťovala jaké kontaktní údaje na sebe účastníci zanechávají – dělají to, protože tato diskuzní fóra mohou zmizet ze dne na den, včetně celé komunikační historie. Kromě toho používají často také Jabber a staré dobré ICQ (každé cca v 10 %), k jehož sympatiím možná přispěl i přechod pod ruského vlastníka v roce 2010.
Snímače okolního světla (ambient light sensor) mohou být zneužity ke krádeži dat z internetového prohlížeče. Nebo to alespoň tvrdí výzkumník Lukasz Olejnik.
Senzory pro snímání okolního světla se staly již dávno běžnou součástí notebooků, smartphonů a tabletů, ve kterých jsou využívány k automatickému nastavení jasu displeje a přeneseně k optimalizaci spotřeby baterie.
Některé prohlížeče jako např. Chrome a Firefox již v novějších verzích obsahují API vyvinuté konsorciem W3C (World Wide Web Consortium) umožňující webovým stránkám komunikaci se senzorem v uživatelově zařízení. Minulý měsíc tým Googlu navrhl, aby nebyl nutný ani explicitní souhlas uživatele s použitím světelného senzoru spolu s gyroskopem, magnetometrem a akcelometrem (stejně jako u mobilních aplikací, kde již tento souhlas potřeba není).
Právě toto byl impuls pro výzkumníky Lukasze Olejnika a Artura Jance ke zveřejnění série ukázek, ze kterých je vidět možné zneužití senzorů např. pro výpis historie prohlížených stránek nebo vyčtení QR kódu. Je zjevné, že útočník by musel být poměrně dost odhodlaný, ale výzkumníci tak alespoň dali podnět k řešení týmům Firefoxu a Chrome.
Ve zkratce:
Zemřel jeden z tvůrců ARPAnetu
Ransomware nutí oběti hrát populární japonskou hru
Opravu kritické zranitelnosti vydal populární CMS Drupal
Záhadná bankovní loupež zanalyzovaná Kaspersky Labs
Google přestává věřit Symantecu coby certifikační autoritě
Shrnutí hrozeb a technik v kyberprostoru za 1. čtvrtletí 2017 (MalwareBytes)
Sledování SPAMu občas vede k zajímavým objevům
Malware krade data z řidičských průkazů
Spyware maskující se jako Android update slavil úspěch.
„Je-li to děravé vypněte to.” Řekli si tvůrci Brickerbotu.
Pro pobavení
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.