Události v oblasti kybernetické bezpečnosti za uplynulý měsíc.
Datové úniky měsíce
Yahoo: Ukradena data milionů uživatelů
Při útoku na internetovou společnost Yahoo v roce 2013 se podařilo hackerům ukradnout data miliardy uživatelů jejích služeb. Společnost Yahoo přitom ani nezjistila, kdo za únikem stál. Uživatelé Yahoo by si tedy měli změnit svá hesla a zkontrolovat na ně navázané služby. Nešlo přitom o jediný útok na tuto společnost. Před pár týdny se musela přiznat ke krádeži 500 milionů účtů, ke které došlo v roce 2014. To se odrazilo na prodejní ceně této firmy.
Kryptoměna Ethereum: Fórum hacknuto
Hackeři si našli cestu do uživatelského fóra kolem kryptoměny Ethereum založené na blockchainu. Zároveň jde o decentralizovaný virtuální stroj pro běh „smart contracts“ (chytrých kontraktů). Hackeři získali databázi, která obsahuje cca 15 500 uživatelských jmen, e-mailových adres, soukromých a veřejných zpráv a dalších detailních informací. K odcizení došlo v dubnu roku 2016.
Deutsche Telekom: Únik dat během migrace
K rozsáhlému úniku dat došlo během jejich migrace u společnosti Telekom. Když došlo k upgradu služeb Managed Exchange service, nesprávně se synchronizovaly tisíce údajů z adresáře. To mělo za následek, že ostatní uživatelé mohli zjistit informace o jiných uživatelích Telekomu. Podle Telekomu se už podařilo tento problém napravit.
Kritické nedostatky v Thunderbirdu
Uživatelé populárního e-mailového klienta Thunderbird by ho měli co nejdříve aktualizovat. Je v něm totiž několik poměrně zásadních nedostatků, které mimo jiné umožňují spuštění náhodných externích programových kódů. Tým společnosti CERT, která se zaměřuje na počítačové hrozby, je zařadil do kategorie závažných nedostatků, a to zejména proto, že mezery mohou být zneužity někým zvenčí. Mozilla by měla co nejdříve vydat aktualizaci.
DDoS útok na BKA portál
Zatím neznámá osoba napadla informační portál Německého spolkového kriminálního úřadu (BSK), a to v návaznosti na teroristický útok během vánočních trhů v Berlíně. Šlo o tzv. DDoS útok, jehož cílem je cílovou službu znefunkčnit a znepřístupnit ostatním uživatelům. Útok, který byl osobou z BKA označen jako „profesionální“, trval několik hodin. Portál mimo jiné shromažďoval informace od obyvatel, které se týkaly teroristického činu.
Pozor na malware
Experti společnosti ESET zachytili první případy nové vlny útoků na banky v Česku a na Slovensku prostřednictvím mobilního bankovnictví. Kyberútočníci přitom použili malware pro platformu Android, který se již koncem ledna v Česku šířil. Škodlivý kód typu trojan pro platformu Android je novou variantou již známé rodiny malwaru, která byla v závěru ledna šířena prostřednictvím falešných SMS zpráv, předstírajících komunikaci České pošty nebo obchodu Alza.cz.
Malware, který ESET detekuje pod názvem AndroidTrojan. Spy. Banker. HV, uživateli při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. Nepozorný uživatel tak nevědomky odešle své přihlašovací údaje podvodníkům a vystaví se hrozbě vykradení účtu. V aktuální útočné kampani je tento nebezpečný malware šířen pomocí SMS s odkazem na údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem Flash Player 10 Update a ikonou společnosti DHL. Přestože název aplikace útočníci změnili, ikonu zatím nikoli, což při instalaci v českém nebo slovenském prostředí působí podezřele.
Bezpečnostní mezery roku 2016
Společnost CVEDetails vydala přehled SW bezpečnostních děr za minulý rok. První místo v něm zaujímá firma Oracle, druhé místo seznamu obsadil Google a následuje Adobe. Na Microsoft připadlo čtvrté místo.
Řetězové dopisy na WhatsAppu
Po e-mailu a Facebooku si podvodníci jako další platformu zvolili WhatsApp. Svoje oběti hledají přes řetězové zprávy a jejich spamy slibují kupony do Lidlu, H&M a dalších obchodů. Pokud kliknete na přiložený odkaz, nedočkáte se pochopitelně kuponů, ale místo toho budete muset vyplnit formulář do loterie. Informace, které o sobě vyplníte, se pak dostanou inzerentům. Ve formuláři navíc potvrdíte (je to drobným písmem), že souhlasíte s příjímáním hovorů, zasíláním reklamních e-mailů a SMS zpráv. Pokud se vám tedy v instant messengeru WhatsApp objeví takováto zpráva, na odkazy neklikejte a zprávu ihned odstraňte.
Počet útoků ransomwaru na Android loni vzrostl o 50 procent
Společnost ESET zaznamenala v roce 2016 rekordní nárůst detekcí ransomwaru na zařízeních s operačním systémem Android. Jde o typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné. Loni šlo o historicky nejvyšší počet pokusů o infikování zařízení s Androidem tímto způsobem. ESET má tato data k dispozici díky svojí technologii LiveGrid.
Celkově zaznamenali v ESETu nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomwaru na tuto platformu ale rostou mnohem rychleji. Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomwaru (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malwaru útočícího na počítače. Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro operační systém Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují, anebo ho skrývají hlouběji do infikovaných aplikací.
Ochrana podnikové mobility
Sophos Mobile 7 je nejnovější verze řešení pro správu podnikové mobility.
Rozšiřuje podporu kontejnerů v platformě Android Enterprise (dříve známé pod označením Android for Work), čímž umožňuje IT administrátorům spravovat IoT zařízení a zdokonaluje možnosti ochrany. Mezi bezpečnostní vylepšení Sophos Mobile 7 patří antiphishingová technologie chránící uživatele před škodlivými odkazy v elektronické poště i dokumentech a zdokonalení bezpečnostní antimalwarové aplikace pro operační systémy Android. Nechybí ani vylepšení u aplikací Secure Workspace a Secure Email, díky kterým nyní mohou uživatelé otevírat, prohlížet a dokonce i editovat zašifrované a chráněné dokumenty ve formátech MS Office i přílohy, aniž by museli opustit prostředí bezpečného zašifrovaného kontejneru.
Sophos Mobile 7 je nejnovějším přírůstkem do portfolia produktů, které jsou dostupné prostřednictvím integrované platformy pro správu ochrany Sophos Central. Zpřístupnění Sophos Mobile 7 usnadňuje správu mobilních zařízení a současně zvyšuje bezpečnost napříč celou organizací.
Nová funkcionalita pro oblast internetu věcí nabídne základní možnosti správy všem organizacím, které navrhují a implementují řešení založená na finančně dostupných zařízeních s platformami Android Things nebo Windows 10 IoT.
Malware DNSChanger útočí na routery
Na routery soukromých uživatelů se opět zaměřil malware jménem DNSChanger. Ten skrývá škodlivé programy v obrázcích. Jakmile uživatel tato data vyvolá, DNSChanger na router zaútočí. Pokud je útok úspěšný, malware změní DNS server. Výsledkem je to, že datový provoz je přesměrován a uživatel může být například nalákán na určité webové stránky. Malware v současné době využívá zmanipulované systémy především pro falešnou reklamu. Nejlepší ochranou proti DNSChangeru je nainstalovat nejnovější firmware na síťové prvky.
Patnáctiletý chlapec hackl FBI
Ne vždy bývají pachateli kyberzločinů muži středního věku. Podle portálu The Hacker News byl v roce 2016 zadržen ve Skotsku v souvislosti s útokem na počítačové systémy FBI patnáctiletý chlapec. Chlapec měl být vydán do USA, kde se měl zpovídat z vážného trestného činu protizákonného proniknutí do důvěrných vládních dokumentů. Chlapec byl údajně jedním z předních členů hackerské skupiny, která si říká Crackas with Attitude (Hackeři s názorem). V tom samém období zadržela policie ve spolupráci s FBI ve Velké Británii šestnáctiletého hackera s přezdívkou Cracka, který měl být dalším členem skupiny. Dva teenageři se údajně v listopadu 2015 nabourali do e-mailu ředitele CIA Johna Brennana a byli napojeni i na kyberútok na americké ministerstvo spravedlnosti, který skončil únikem téměř 29 000 jmen, titulů, e-mailových adres a telefonních čísel ze záznamů FBI a amerického ministerstva vnitra.
Bezpečný operační systém KasperskyOS
KasperskyOS je specializovaný operační systém navržený pro vestavěné systémy s přísnými kyberbezpečnostními požadavky. Podle tvůrce výrazně snižuje šance výskytu skrytých funkcionalit a tím minimalizuje riziko kybernetického útoku.
Na vytvoření tohoto operačního systému pracovali odborníci společnosti Kaspersky Lab patnáct let a nyní je komerčně dostupný pro OEMs, ODMs, systémové integrátory a softwarové vývojáře po celém světě. Klíčové nástroje operačního systému jsou uzpůsobeny telekomunikačnímu a automobilovému průmyslu a zároveň kritické infrastruktuře. KasperskyOS není operačním systémem pro běžné uživatele. Je navržen tak, aby odpovídal požadavkům vestavěných zařízení. Kaspersky Lab ještě navíc připravuje speciální balík zaměřený na finanční odvětví (například bezpečnost POS terminálů) a bezpečnostní vylepšení kritických operací pro běžné linuxové systémy koncových uživatelů. Pro snadnější vstup na trh tak bude KasperskyOS spuštěn ve třech balících, každý se specifickými funkcemi.
Šifrovací ransomware pochází především z Ruska
Přinejmenším 47 z celkových 62 šifrovacích ransomwarových rodin objevených v roce 2016 experty Kaspersky Lab bylo vyvinuto ruskojazyčnými kyberzločinci. To je jedno ze zjištění průzkumu zaměřeného na ruskojazyčné ransomwarové podsvětí, který provedla společnost Kaspersky Lab.
Ta rovněž zjistila, že se malé skupiny s omezenými schopnostmi transformují do velkých uskupení, která mají zdroje a ambice útočit na soukromé a korporátní cíle po celém světě. Na základě dat společnosti Kaspersky Lab bylo v roce 2016 napadeno tímto druhem malwaru více než 1 445 000 uživatelů po celém světě. S cílem lépe porozumět charakteru těchto útoků vypracovala Kaspersky Lab přehled ruskojazyčné ilegální komunity.
Jedním z hlavních zjištění je, že za vzestupem útoků šifrovacím ransomwarem v průběhu několika posledních let stojí velmi přizpůsobivý a uživatelsky nenáročný ekosystém. Ten dovoluje zločincům zaútočit šifrovacím ransomwarem bez ohledu na jejich programátorské schopnosti a finanční zdroje. Podle odhadů Kaspersky Lab se celkový denní výnos přidružených programů může pohybovat v desítkách, až dokonce stovkách tisíc dolarů, z nichž okolo 60 % zůstává u samotných tvůrců jako čistý zisk.
Chyba v Tor browserech
Mozilla odstranila několik kritických chyb ve Firefoxu, které ohrožují i bezpečnost balíku Tor, což je software zajišťující anonymizaci uživatele při pohybu na internetu. Ten totiž využívá ESR (Extended Support Release) verzi prohlížeče Firefox, který je Mozillou podporován dlouhou dobu. Vzhledem k bezpečnostním chybám by bylo teoreticky možné zrušit funkci anonymizace uživatele Toru a tím vystopovat jeho totožnost. Tým vývojářů softwaru Tor už vydal aktualizaci s označením 6.0.7 a také vydal aktualizaci integrovaného doplňku NoScript. Tvůrci tedy doporučují, aby si uživatelé svůj produkt co nejdříve aktualizovali a poté počítač restartovali.
E-mailové podvody z Nigérie
Společnost Trend Micro ve spolupráci s mezinárodní policejní organizací Interpol a Komisí proti hospodářské a finanční kriminalitě v Nigérii měla plné ruce práce s hledáním a dopadením pachatelů zodpovědných za několik útoků realizovaných skrze firemní e-maily (BEC).
Podle odborníků z Trend Micro zadržely úřady v Nigérii koncem roku 2016 autora znepokojujícího množství e-mailových podvodů, podvodů typu 419 a tzv. „romantických podvodů“. Jednalo se o čtyřicetiletého nigerijského občana známého pod falešným jménem Mike. Ten působil spolu s gangem kyberzločinců v Nigérii, Malajsii a Jižní Africe. Od společností po celém světě údajně vymámili více než 60 milionů dolarů. K jeho vypátrání a zadržení vedlo zkoumání malwarů Predator Pain a Limitless, o nichž se ví, že byly používány na útoky prostřednictvím firemních e-mailů.
Při tomto druhu podvodu hackeři obvykle získají přístup k e-mailovému účtu ve firmě vysoce postaveného pracovníka a následně posílají z jeho adresy falešné e-maily a finanční požadavky. Spolupracovníci pak v dobré víře pošlou peníze na účty v daňových rájích, ke kterým má útočník přístup. Podle údajů zveřejněných Federálním úřadem pro vyšetřování (FBI) v červnu 2016 způsobily podvody BEC za poslední dva roky přibližně 22 000 společností na celém světě ztráty ve výši téměř 3,1 miliardy eur.
Skrytý malware
Banky, telekomunikační společnosti a vládní organizace v USA, Jižní Americe, Evropě a Africe jsou mezi nejvyhledávanějšími cíli zločinných skupin GSMAN a Carbanak, které patří mezi hlavní podezřelé.
Odborníci Kaspersky Lab odhalili sérii „neviditelných“ cílených útoků, které využívají pouze legální software, jako jsou široce dostupné penetrační testy a správcovské nástroje nebo PowerShell aplikační rámce pro automatizaci úloh v systému Windows. Nezanechávají přitom žádné malwarové soubory na pevném disku, nýbrž je ukrývají v operační paměti. Tento kombinovaný přístup zabraňuje odhalení malwaru běžnými technologiemi, přičemž nezanechává téměř žádné stopy ani malwarové vzorce pro případné vyšetřování.
Útočníci se v systému zdržují jen na nezbytně dlouhou dobu, během níž shromažďují informace ještě před tím, než se jejich stopy v systému vymažou prvním restartováním. Napadeno bylo více než 140 firemních sítí z různých oborů a původce útoků není znám. Využití škodlivého open-source kódu, běžných Windows funkcí a neznámých domén totiž činí odhalení pachatelů téměř nemožným.
IBM Watson bude využit v kognitivních bezpečnostních centrech
Divize IBM Security ohlásila dostupnost kyberbezpečnostního programu Watson (Watson for Cyber Security), první inteligentní technologie v oboru navržené k využití v kognitivních bezpečnostních centrech. V průběhu minulého roku se program Watson učil jazyk kybernetické bezpečnosti a zpracoval více než milion bezpečnostních dokumentů. Nyní bude bezpečnostním expertům pomáhat analyzovat tisíce výzkumných zpráv psaných přirozeným jazykem, které ještě nikdy předtím nebyly moderním bezpečnostním nástrojům zpřístupněny. Podle průzkumu IBM bezpečnostní týmy důkladně analyzují v průměru více než 200 tisíc bezpečnostních událostí denně, což vede k více než 20 tisícům promarněných hodin ročně, které jsou vynaloženy na řešení falešných poplachů. Zavedení kognitivních technologií do bezpečnostních center se ukazuje jako nutné a zásadní pro to, aby bylo možné udržet krok s bezpečnostními událostmi, jejichž počet se má podle předpokladů v příštích pěti letech zdvojnásobit.