Hlavní navigace

Postřehy z bezpečnosti: vishing ohrožuje bezpečnost VPN velkých korporací

V tomto díle Postřehů se podíváme na útoky využívající kombinaci phishingových stránek a telefonických hovorů, na botnet síť z Android zařízení vydělávající na falešném zobrazování reklamy nebo na ruského turistu zatčeného FBI.
CSIRT.CZ 31. 8. 2020
Doba čtení: 5 minut

Sdílet

Nová hrozba jménem vishing

Kromě klasických phishingových útoků, jejichž počet vzrostl díky pandemii covid-19, kdy chtěli útočníci využít toho, že uživatelé pracují z domova a mohou být méně obezřetní, se objevila skupina, která kombinuje klasický phishing s osobními hovory se zaměstnanci cílové společnosti. Mezi ty pak podle Briana Krebse, který na problém upozornil, patří hlavně velké mezinárodní společnosti.

Útok většinou začíná sérií telefonátů zaměřených na zaměstnance pracující z domova. Útočníci se vydávají za IT oddělení zaměstnavatele, kteří se snaží vyřešit problém s VPN připojením. Cílem je přesvědčit uživatele, aby vyzradil své přihlašovací údaje po telefonu, nebo je zadal na podvodné stránce, která napodobuje korporátní identitu dané firmy.

Ukázka phishingové stránky

Aby zvýšili svou důvěryhodnost, vydávají se účastníci za nové zaměstnance IT oddělení a neváhají si při tom ani zřídit falešné LinkedIn profily, na kterých se zároveň snaží propojit s dalšími zaměstnanci dané firmy. Samozřejmě toho pak neváhají patřičně využít a upozornit na to, že si je může uživatel snadno na této sociální síti vyhledat.

Samotné phishingové stránky jsou provozovány na doménách, které se snaží napodobit název společnosti, před nímž jsou výrazy jako „vpn”, „ticket”, „portal” a podobně. Na útoku se obvykle podílejí dva pachatelé. Jeden vede hovor, zatímco druhý čeká, až uživatel zadá na dané webové stránce potřebné údaje a rychle je zneužije pro připojení k VPN dané společnosti. Tímto způsobem se jim daří připojit i tam, kde je kromě jména a hesla vyžadováno také ověření druhým faktorem v podobě nějakého řetězce, který je vygenerovaný aplikací či zaslaný SMS.

Před hrozbou vishingu již vydalo varování i FBI a CISA.

Androidí botnet

Nová skupina aplikací pro Android zařízení nabízí uživatelům bezplatné dárky po stažení určené aplikace z obchodu Google Play. V případě, že tak uživatel učiní, nainstaluje si malware, který na pozadí tiše načítá reklamy a útočníci tak vesele vytváří botnet síť s podvodným zobrazováním reklam. Tato podvodná aktivita byla objevena týmem White Ops Satori Threat Intelligence & Research, který ji pojmenoval TERRACOTTA. Podle dostupných informací bylo více jak 65 tisíc zařízení součástí botnet sítě, která vygenerovala více než 2 miliardy podvodných zobrazení.

Tento botnet nebylo snadné odhalit, protože reklamy nebyly zobrazovány uživateli na zařízení, ale běžely tajně na pozadí, takže si uživatelé nestěžovali na vyskakující reklamy. Útočníci nabízeli například boty, tenisky nebo vstupenky na akce. Aplikace na začátku měly hodnocení pěti hvězdiček, avšak po určité době, co uživatelé neobdrželi žádné slíbené produkty, začalo hodnocení klesat a podezření stoupat.

Ruský turista nabízel zaměstnancům americké firmy peníze za instalaci malware

Sedmadvacetiletý turista z Ruska byl zatčen v Los Angeles poté, co se opakovaně setkal s nejmenovaným zaměstnancem jedné nevadské firmy, aby s ním probral možnosti spolupráce nad rozšířením malwaru v dané společnosti. Zároveň od tohoto zaměstnance zjišťoval informace o firemní infrastruktuře.

Po zatčení vydal tento povedený turista FBI seznam firem, na které jeho „turistický klub” směřoval své útoky a prozradil, že v každé takové společnosti měla jeho skupina svého insidera, který měl za úkol ve firmě malware rozšířit. Hackernews spekulují, že tato skupina mohla stát za některými z nedávných úspěšných útoků ransomwaru na velké cíle.

Google Chrome generuje téměř polovinu provozu na root serverech

Od roku 2010 je součástí internetového prohlížeče Google Chrome a jeho sourozence Chromium také kód na detekci zmanipulovaných DNS odpovědí. Ten po spuštění prohlížeče nebo změně IP či DNS nastavení vyšle dotaz na překlad tří neexistujících domén o délce 7 až 15 náhodných znaků. Pokud se alespoň u dvou odpovědí vrátí stejná IP adresa, předpokládá se, že jsou DNS odpovědi pro neexistující dotazy manipulovány.

Na blogu APNIC nyní vyšel článek, který tento provoz analyzuje, neboť se tyto dotazy zpravidla dostanou až k root serverům. Analýza pak ukázala, že tvoří téměř polovinu veškerého provozu na root servery, což je v absolutních číslech přibližně 60 miliard dotazů denně. Za jakýchkoliv jiných okolností by se to dalo považovat za DDoS útok, a to i proto, že tento provoz nelze z principu věci od útoku nijak odlišit.

Zranitelný Apache

Pokud používáte Apache pro váš webový server, měli byste co nejdříve aktualizovat na nejnovější dostupnou verzi. Zabráníte tak hackerům, využít třech nových zranitelností s označením CVE-2020–9490, CVE-2020–11984, CVE-2020–11993. Tyto zranitelnosti můžou potenciálně vést ke spuštění libovolného kódu a ve specifických scénářích dokonce umožnit útočníkům vymazat citlivá data.

Nejzávažnější ze tří zranitelností je třetí zmíněná, která v modulu HTTP/2 používá speciální hlavičku nazývanou „Cache-Digest“, která způsobuje poškození paměti, což může vést k selhání a vyřazení aktuálně běžící služby na serveru. Přestože v současné době neexistují žádné zprávy o zneužití těchto zranitelností, je nezbytné, co nejdříve aktualizovat verzi Apache.

Útoky na ATM

Významná slovenská finanční instituce požádala specialisty ze společnosti AEC, aby ověřili její bankomaty. Učinila tak poté, co společnost Diebold Nixdorf, jeden z největších dodavatelů bankomatů, na útoky zareagovala oficiálním bezpečnostním varováním. Z něho mimo jiné vyplývá, že výrobce zařízení zkoumá, jak je možné, že útočníci byli zřejmě schopni na neaktualizované verzi bankomatu odposlouchávat komunikaci uvnitř zařízení.

RDP v hledáčku útočníků

Během nouzového stavu na jaře letošního roku přešla řada firem do režimu, při kterém umožnila svým zaměstnancům práci z jejich domovů. Pro přístup k firemním datům nebo aplikacím proto došlo ke značnému rozšíření používání tzv. funkce vzdálené plochy neboli Remote Desktop Protocol (RDP) serveru.

Cyber Security tip1

Toho však začali zneužívat útočníci a počet pokusů o průnik do interních firemních sítí tímto způsobem se podle dat společnosti Eset od počátku roku více než zdvojnásobil. Příčinou průniku je ve většině případů slabé zabezpečení služby vzdálené plochy, varuje Eset.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…