Aktuální události v oblasti kyberbezpečnosti za uplynulé období.
Rowhammer a Dirty Cow: Root exploity pro Android
Linuxové útoky známé jako Rowhammer a Dirty Cow mohou být použity k vytvoření univerzálního root exploitu pro Android.
Počítačoví zločinci neustále zkouší nové metody, jak proniknout do různých operačních systémů. Vzhledem k rychle rostoucímu počtu mobilních zařízení se na nejvyšších stupních žebříčku jejich zájmu umísťuje operační systém Android: zde se hackeři snaží především eliminovat omezení operačního systému a získat co nejvyšší práva. A to se jim poměrně často daří.
Poslední známý typ útoku využívá zranitelností v Linuxu: nové root exploity využívající tyto zranitelnosti totiž mohou být bez problémů použity i pro Android. Bezpečnostní mezera známá pod označením Rowhammer způsobuje, že v paměti mohou být určité informace prohozeny. Díky tomu mohou útočníci získat přístup k systémové oblasti, která je jinak velmi dobře chráněná. Expertům se již podařilo vytvořit aplikaci pro Android, která tuto chybu využívá a kterou lze spustit téměř na všech smartphonech s tímto operačním systémem.
Druhá mezera, známá pod označením Dirty cow, využívá chybu v jádře Linuxu pro změnu paměťové oblasti, která je přístupná pouze s root oprávněním. Pokud je provedena určitá posloupnost příkazů, lze na zařízení poměrně snadno získat maximální práva.
Obě bezpečnostní mezery jsou bohužel hluboce zakotveny v systémech a nemohou být snadno opraveny - například chyba Dirty Cow je součástí Linuxu už dlouhých jedenáct roků. Další problém spočívá v tom, že naprostá většina výrobců nabízí podporu pouze pro nejnovější přístroje, zatímco zranitelná jsou zařízení se všemi verzemi mobilního operačního systému. Jedinou možností ochrany tak prozatím zůstává instalace pokročilého antivirového nástroje, který využívá heuristické detekce vadných aplikací a útoky na systém.
Foto popis| Dvě zranitelnosti umožňují root útoky na OS Android. Lze je velmi snadno použít a ochrana před nimi je jen velmi obtížná.
Datové úniky měsíce
Z webové stránky služby Weebly zmizelo 43 milionů dat
Služba Weebly je jednou z nejlepších platforem pro vytváření jednoduchých webových stránek. Všichni ti, kdo se u ní zaregistrovali před 1. březnem 2016, by ale měli zpozornět - jejich přihlašovací údaje totiž z webu ukradli dosud neznámí útočníci. Podle dostupných informací zmizelo 43 milionů datových záznamů, obsahujících uživatelská jména, hesla, IP adresy nebo e-mailové adresy.
Evony Gaming: Ukradeno 33 milionů datových záznamů
Zlodějům se podařil úspěšný útok na servery společnosti Evony Gaming, která stojí za oblíbenou mobilní hrou Evony: Age II, a ukradli odsud data 33 milionů hráčů. Kromě uživatelských dat a e-mailových adres útočníci také ukradli hashe hesel, která mohou být ale snadno cracknuta. Podle některých zdrojů už také byla část ukradených záznamů dešifrována.
Kauza Yahoo pokračuje: Unikla miliarda dat
Firma Yahoo potvrdila další únik dat. Podle mluvčího společnosti bylo odhaleno, že v roce 2013 ukradli neznámí hackeři údaje z více než miliardy účtů. Odcizená data prý obsahují jména, e-mailové adresy, telefonní čísla, data narození a bezpečnostní otázky a odpovědi na ně.
PayPal: Zranitelná ochrana
Platební služba PayPal oznámila zranitelnost u implementace dvoufaktorové autentizace. Díky ní byli uživatelé schopni při ověřování manipulovat s bezpečnostní otázkou a s využitím proxy serveru tento způsob zabezpečení obejít. Mezera byla ale opravena už na konci října a nebyly zjištěny žádné její následky.
Google: Zranitelnost v jádře OS Applu
Jeden z bezpečnostních výzkumníků Googlu objevil zranitelnost v jádře XNU, které je základem všech operačních systémů od Applu - najdete ho jak v macOS, tak v iOS. Díky této chybě mohou aplikace útočníků uniknout ze sandboxu a získat další přístupová práva. Mezera byla opravena v macOS Sierra 10.12.1 a iOS 10.1, starší verze operačních systémů jsou ale stále zranitelné.
Každý druhý uživatel internetu se stal obětí počítačové kriminality
Podle studie Bitkom se v posledních dvanácti měsících téměř každý druhý uživatel stal obětí počítačového útoku. Nejčastější byly útoky virů, následovaly pokusy o odcizení přihlašovacích údajů.
Typ útoku použitý hackery
Počítač infikován malwarem 41 %
Krádež přihlašovacích údajů 22 %
Podvodné internetové transakce 20 %
Nelegální použití osobních údajů 12 %
E-maily posílané jménem oběti 9 %
Hrubá verbální pomluva 3 % Sexuální obtěžování 2 %
Zdroj: Bitcom
Milují zločinci hesla?
Podle průzkumu společnosti Kaspersky se uživatelé bojí především hackerů, kteří se snaží získat přístup k přihlašovacím údajům.
Útoky na bezdrátové klávesnice
Hackeři opět zaměřili svou pozornost na bezdrátové klávesnice a myši. Dva experti pracující pro bezpečnostní firmu SySS vytvořili nástroj Radio Hack Box, aby předvedli, že vysílání bezdrátových klávesnic může zachytit a dešifrovat prakticky kdokoliv. Pomocí jednoho minipočítače Raspberry Pi, speciálního hardwarového klíče a nástroje vytvořeného v programovacím jazyku Python byli experti schopni automaticky sledovat místa výskytu bezdrátových klávesnic a myší, číst nezašifrovanou komunikaci, a dokonce i v cílových počítačích používat virtuální klávesnici.
Dosah zařízení je přibližně 10 až 15 metrů, podle expertů ale není problém ho se správným druhem antény zvýšit až na několik kilometrů. Výrobci bezdrátových zařízení už byli o problému informováni a slíbili problém vyřešit.
Podvodná podpora na vzestupu
Nedávná studie provedená společností Microsoft, respektive její sekcí zabývající se digitálními zločiny, varuje, že brzy dojde k výraznému nárůstu počtu podvodných telefonních hovorů. Zločinci se snaží vydávat za personál IT společností a jejich cílem je donutit uživatele k instalaci speciálního softwaru, pomocí kterého poté útočníci získají přímý přístup do počítače. Microsoft uvedl, že v minulém roce musel řešit poměrně velké množství podobných případů a že počet incidentů tohoto typu neustále roste.
Zranitelnost pro Flash
Adobe před několika dny opravilo zranitelnost v Adobe Flash. Kvůli ní mohl malware útočníků uniknout ze sandboxu a získat práva administrátora. Se zranitelností se však otevřela ještě jedna kauza. Zranitelnost ohlásila společnost Google, která už měla pro Chrome připraven patch. Uživatelé ostatních prohlížečů byli ale bohužel ponecháni na holičkách.
Malware KillDisk míří na Linux
Analytici společnosti Eset objevili novou variantu malwaru KillDisk, která šifruje obsah napadených zařízení s operačním systémem Linux. I přes to, že tento škodlivý kód neumožňuje obnovu zašifrovaných souborů, tedy nedokáže uložit a kamkoli zaslat dešifrovací klíče, tvůrci KillDisku požadují za odblokování počítačů mimořádně vysokou sumu 250 tisíc dolarů (bezmála 6,5 milionu korun) v internetové měně Bitcoin. Analytici společnosti Eset však nalezli slabinu použitého šifrování, která umožňuje obnovu napadených dat.
KillDisk je destruktivní malware, který proslul jako součást úspěšného útoku, který v prosinci 2015 provedla skupina BlackEnergy na ukrajinskou energetickou soustavu. Analytici společnosti Eset navíc nedávno odhalili plánované kybernetické útoky, které měly cílit na celou řadu finančních institucí na Ukrajině. Útočné kampaně prostřednictvím ransomwaru KillDisk ale pokračovaly i poté, pouze se zaměřily na nové cíle v oblasti námořní dopravy.
Sady útočných nástrojů mezitím prošly dalším vývojem a poslední varianty KillDisku slouží jako ransomware - požadují peníze za dešifrování souborů. Nejprve tyto nástroje cílily na zařízení s operačním systémem Windows, později se však zaměřily na Linux -a to nejen na počítače s tímto otevřeným operačním systémem, ale také na servery. Zatímco u verze pro Linux dokázali analytici společnosti Eset přijít na řešení, jak zašifrovaná data zachránit, u napadených zařízení s operačním systémem Windows to zatím není možné.
Malware generuje Zcash
Na konci října byla představena nová virtuální měna Zcash. Její tvůrci ji považují za bezpečnější alternativu již zavedené měny Bitcoin. Brzy po svém zavedení cena měny Zcash raketově stoupla, stejně jako počet instalací aplikace, která virtuální měnu generuje na osobních počítačích. V mnoha případech se však za tuto aplikaci vydávaly podvodné programy, které, aniž by o tom uživatelé věděli, využívaly cizí počítače k získávání Zcash.
Stejně jako v případě Bitcoinu v roce 2009 je dnes relativně jednoduché získat Zcash, vzhledem k tomu, že byl spuštěn před pár měsíci, a nebylo tedy zatím vygenerováno příliš jednotek. Nicméně oproti Bitcoinu začala hodnota Zcash ihned závratně stoupat. V jednu chvíli dosahovala hodnota jedné jednotky 10 000 dolarů - téměř 255 000 Kč. A právě tento fakt udělal ze Zcash atraktivní cíl pro kyberzločince. Při monitoringu dopadu kryptoměny Zcash na černý trh objevili analytici Kaspersky Lab více než 1 000 počítačů s „mining“ softwarem, který byl schopný generovat Zcash. Software se ve většině případů maskoval jako nástroj správce úloh, přičemž kyberzločinci distribuovali aplikace generující tuto měnu prostřednictvím torentů jako dodatek k bezplatným nebo načerno pořízeným softwarům. Uživatelé si tyto aplikace dobrovolně nainstalovali, aniž by věděli jejich přesný účel. Odhalené počítače tak v průběhu listopadu kyberzločincům generovaly měnu v přepočtu za 6 000 dolarů (přes 152 000 Kč) týdně.
Nový vyděračský malware
Bezpečnostní tým Talos společnosti Cisco varuje před novou kampaní počítačových vyděračů.
Kampaň, která začala pravděpodobně už 24. listopadu, využívá nevyžádanou poštu k šíření vyděračského softwaru Cerber 5.0.1. Provedení útoku je poměrně jednoduché - v nevyžádané poště obdrží oběť jednoduchý odkaz, který využívá přesměrování a anonymizační službu Tor. Po kliknutí na odkaz dojde ke stažení infikovaného dokumentu v aplikaci Microsoft Word. Jakmile je dokument otevřen, dojde ke spuštění malwaru a data oběti jsou zašifrována.
Za tímto na první pohled jednoduchým postupem se však skrývá pokročilé maskování útočníka. Ransomware kampaně vždy využívaly Tor, avšak zde vůbec poprvé slouží síť Tor i k hostingu nakaženého dokumentu a spouštěného souboru. Tento postup znamená, že servery, na kterých je umístěn škodlivý obsah, je mnohem obtížnější odstavit. Nová verze ransomwaru Cerber po obětech nejčastěji vyžaduje platbu v hodnotě téměř 1,4 bitcoinu, tedy zhruba 1 000 dolarů. V případě, že částku uživatel neuhradí do pěti dnů, hrozí útočníci zdvojnásobením požadované částky.
CryptXXX prolomen
Společnost Kaspersky Lab vyvinula nástroj na dešifrování souborů uzamčených nejnovější verzí malwaru CryptXXX. Nový software tak navazuje na dešifrovací nástroje ransomwaru CryptXXX vydané v dubnu a květnu tohoto roku. Tento zákeřný ransomware byl od dubna 2016 schopen celosvětově infikovat tisíce počítačů, přičemž doposud nebylo možné zcela dešifrovat všechny jím zasažené složky. Nový volně dostupný nástroj RannohDecryptor od Kaspersky Lab už ale dokáže odemknout i soubory s koncovkou .crypt, .cryp1 a .crypz.
CryptXXX je jednou z nejrozšířenějších a nejnebezpečnějších rodin ransomwaru a k jeho šíření kyberzločinci dlouhou dobu využívali nástroje Angler a Neutrino exploit kits. Ty jsou vzhledem k vysokému počtu úspěšně infikovaných obětí doposud považovány za nejefektivnější nástroje na šíření vyděračských virů.
Od dubna loňského roku detekovaly nástroje Kaspersky Lab více než 80 000 útoků CryptXXX proti uživatelům na celém světě. Nadpoloviční většina z nich ale cílila pouze na šest států: USA, Rusko, Německo, Japonsko, Indii a Kanadu. Celkový počet napadených počítačů není znám, experti ale předpokládají, že se oběťmi CryptXXX staly stovky tisíc uživatelů. Nástroj na dešifrování je ke stažení na stránkách Kaspersky Lab a na webu nomoreransom.org.
Nové hrozby v oblasti malwaru
Společnost Check Point zveřejnila nejnovější index hrozeb, vycházející z on-line mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky.
Podle indexu například vzrostl počet ransomwarových útoků Locky a Cryptowall, ale mezi obvyklými hrozbami se objevilo i několik novinek. Například útok označovaný jako CVE-20141761 využívá zranitelnosti v softwaru k infikování počítače. Typicky se používá k instalaci dalšího malwaru nebo nežádoucího softwaru bez vědomí uživatele.
Novinkou je také backdoor Nlbot, který se zaměřuje na platformu Windows. Tento malware rozesílá systémové informace a přijímá různé příkazy z řídicího serveru, které mohou umožnit útočníkovi nahrávat/stahovat soubory, spouštět vzdáleně shell nebo například aktualizovat malware.
Nlbot ovládne proces Explorer. exe a některé další procesy využije pro skrývání své aktivity. Zároveň vytváří položky v registru, aby se aktivoval hned po restartování systému. Zajímavou „novinkou“ v indexu je trojský kůň Fareit, který byl poprvé detekován už v roce 2012. Jeho nejnovější varianty obvykle kradou uživatelská jména a hesla uložená ve webových prohlížečích, popřípadě přístupové údaje k e-mailu a FTP.
Rychle také roste počet počítačů infikovaných malwarem Sality, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží různými maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
Co nás čeká v roce 2017?
Bezpečnostní společnost McAfee vydala předpověď vývoje hrozeb pro rok 2017.
Předpovědi ukazují vývoj 14 typů hrozeb, včetně ransomwaru nebo útoků na mobilní zařízení. Společnost COMGUARD shrnuje obsah zprávy do několika bodů, ze kterých vám nabízíme čtyři nejzajímavější:
> Cílem hackerů se stanou drony, tzv. dronejacking bude využíván pro kriminální činnost nebo hacktivismus.
> IoT malware připraví backdoor do domácností. Malware bude moci čekat na pokyn útočníka i několik let, aniž by byl jakkoliv detekován.
> Sofistikovaní útočníci budou stále více cílit na hardware a firmware.
> Konkurenční souboj reklamních společností bude tlačit na efektivnější doručení reklamy ke koncovému uživateli. Tyto nové způsoby doručování reklamy pak mohou být kopírovány nebo zneužívány hackery pro doručení malwaru.
Kompletní zprávu najdete na adrese jdem.cz/cv4gz6.
Magento: tisíce hacknutých e-shopů
Oblíbené open source řešení Magneto využívané pro vytváření internetových obchodů je už poměrně dlouhou dobu oblíbeným terčem útoků hackerů. I v České republice ho využívají stovky větších či menších obchodů. Před několika týdny došlo k nové vlně útoků, při které útočníci využívali zranitelností v neaktualizovaných verzích a kradli citlivé informace o platebních kartách. Podle dostupných informací je například v sousedním Německu až tisíc napadených e-shopů, u nás tyto informace ale bohužel zatím zveřejňovány nejsou. Pokud si chcete ověřit, zda váš oblíbený internetový obchod (ve kterém platíte platební kartou) mohl být cílem podobného útoku, navštivte adresu magereport.com. Za zmínku také stojí, že Magento patří mezi tři nejčastěji napadané platformy pro internetové obchody - spolu s CMS Joomla a Wordpress.