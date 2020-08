Sedmadvacetiletý turista z Ruska byl zatčen v Los Angeles poté, co se opakovaně setkal s nejmenovaným zaměstnancem jedné nevadské firmy, aby s ním probral možnosti spolupráce nad rozšířením malwaru v dané společnosti. Zároveň od tohoto zaměstnance zjišťoval informace o firemní infrastruktuře.

Tento botnet nebylo snadné odhalit, protože reklamy nebyly zobrazovány uživateli na zařízení, ale běžely tajně na pozadí, takže si uživatelé nestěžovali na vyskakující reklamy. Útočníci nabízeli například boty, tenisky nebo vstupenky na akce. Aplikace na začátku měly hodnocení pěti hvězdiček, avšak po určité době, co uživatelé neobdrželi žádné slíbené produkty, začalo hodnocení klesat a podezření stoupat.

Aby zvýšili svou důvěryhodnost, vydávají se účastníci za nové zaměstnance IT oddělení a neváhají si při tom ani zřídit falešné LinkedIn profily, na kterých se zároveň snaží propojit s dalšími zaměstnanci dané firmy. Samozřejmě toho pak neváhají patřičně využít a upozornit na to, že si je může uživatel snadno na této sociální síti vyhledat.

Útok většinou začíná sérií telefonátů zaměřených na zaměstnance pracující z domova. Útočníci se vydávají za IT oddělení zaměstnavatele, kteří se snaží vyřešit problém s VPN připojením. Cílem je přesvědčit uživatele, aby vyzradil své přihlašovací údaje po telefonu, nebo je zadal na podvodné stránce, která napodobuje korporátní identitu dané firmy.

Na blogu APNIC nyní vyšel článek, který tento provoz analyzuje, neboť se tyto dotazy zpravidla dostanou až k root serverům. Analýza pak ukázala, že tvoří téměř polovinu veškerého provozu na root servery, což je v absolutních číslech přibližně 60 miliard dotazů denně. Za jakýchkoliv jiných okolností by se to dalo považovat za DDoS útok, a to i proto, že tento provoz nelze z principu věci od útoku nijak odlišit.

Zranitelný Apache

Pokud používáte Apache pro váš webový server, měli byste co nejdříve aktualizovat na nejnovější dostupnou verzi. Zabráníte tak hackerům, využít třech nových zranitelností s označením CVE-2020–9490, CVE-2020–11984, CVE-2020–11993. Tyto zranitelnosti můžou potenciálně vést ke spuštění libovolného kódu a ve specifických scénářích dokonce umožnit útočníkům vymazat citlivá data.

Nejzávažnější ze tří zranitelností je třetí zmíněná, která v modulu HTTP/2 používá speciální hlavičku nazývanou „Cache-Digest“, která způsobuje poškození paměti, což může vést k selhání a vyřazení aktuálně běžící služby na serveru. Přestože v současné době neexistují žádné zprávy o zneužití těchto zranitelností, je nezbytné, co nejdříve aktualizovat verzi Apache.

Útoky na ATM

Významná slovenská finanční instituce požádala specialisty ze společnosti AEC, aby ověřili její bankomaty. Učinila tak poté, co společnost Diebold Nixdorf, jeden z největších dodavatelů bankomatů, na útoky zareagovala oficiálním bezpečnostním varováním. Z něho mimo jiné vyplývá, že výrobce zařízení zkoumá, jak je možné, že útočníci byli zřejmě schopni na neaktualizované verzi bankomatu odposlouchávat komunikaci uvnitř zařízení.

RDP v hledáčku útočníků

Během nouzového stavu na jaře letošního roku přešla řada firem do režimu, při kterém umožnila svým zaměstnancům práci z jejich domovů. Pro přístup k firemním datům nebo aplikacím proto došlo ke značnému rozšíření používání tzv. funkce vzdálené plochy neboli Remote Desktop Protocol (RDP) serveru.

Toho však začali zneužívat útočníci a počet pokusů o průnik do interních firemních sítí tímto způsobem se podle dat společnosti Eset od počátku roku více než zdvojnásobil. Příčinou průniku je ve většině případů slabé zabezpečení služby vzdálené plochy, varuje Eset.

