ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

V telefonech se systémem Android špehuje malware SkyGoFree

skygofree android malwareNejvětší dosavadní bezpečnostní hrozbou roku 2018 spojenou s operačním systémem Android – tedy alespoň podle zájmu médií – je malware s mírně zarážejícím názvem SkyGoFree. Samotné jméno pravděpodobně pochází od výzkumníků společnosti Kaspersky a nestojí za ním žádné tajemno.

Toto slovní spojení totiž bylo nalezeno v jedné z domén požitých ve zkoumaném vzorku a malware tak nijak necílí na uživatele telekomunikační společnosti Sky nebo její televize Sky Go. A co vlastně SkyGoFree (nebo SkyFree dle identifikace produkty společnosti Sophos) přesně je? Jedním slovem: Spyware.

Následující část dekompilovaného kódu v Javě, přičemž znalost tohoto jazyka není nutná, protože se jedná jen o ilustraci, naznačuje rozsah dat, která může tento malware ukrást:

public static final String URL_UPLOAD_CAMERA = "upload_camera.php";

public static final String URL_UPLOAD_CELL_INFO = "upload_cella.php";

public static final String URL_UPLOAD_FILESYSTEM = "upload_filesystem.php";

public static final String URL_UPLOAD_FILE_SEND = "upload_documents.php";

public static final String URL_UPLOAD_HISTORY = "upload_history.php";

public static final String URL_UPLOAD_INFO_TEL = "upload_info_tel.php";

public static final String URL_UPLOAD_LISTAPP = "upload_listapp.php";

public static final String URL_UPLOAD_REG_CALL = "upload_reg_call.php";

public static final String URL_UPLOAD_RUBRICA = "upload_rubrica.php";

public static final String URL_UPLOAD_SMS = "upload_sms.php";

public static final String URL_UPLOAD_WHATSAPP_SMS = "upload_whatsapp_msg.php";

...

Při pozornějším pohledu si lze všimnout slova RUBRICA – jde o italský pojem pro adresář. Mnohé ze škodlivého kódu tohoto malware pochází pravděpodobně od italsky mluvících autorů. Výše uvedená ukázka pochází ze souboru s názvem Costanti.java, což by v angličtině odpovídalo názvu Constants.java.

SkyGoFree obsahuje řadu škodlivých funkcí včetně StartReverse(), která nakažený telefon připojí k serveru kybernetických zločinců a umožní tzv. reverzní shell (pojem shell odkazuje na terminologii unixových a linuxových systémů). Za normálních okolností se uživatel musí přihlásit do příkazové řádky a provést připojení k zařízení, což znamená projít několika firewally i překladem síťové adresy,

které stojí v cestě. Řada mobilních datových sítí a téměř všechny Wi-Fi sítě, kde je uživatel konzumentem dat (klient), sice umožňují odchozí komunikaci s jinými lidmi, ale připojení k jeho zařízení již nedovolí - jeho zařízení tak nemůže sloužit jako poskytovatel dat, tedy server. A právě technika reverzního shellu umožňuje hackerům toto omezení obejít a celý proces přihlašování vlastně o 180 stupňů převrátit.

První krok sice i v tomto případě iniciuje uživatelské zařízení, nicméně pouze za účelem navázání spojení se serverem provozovaným počítačovými podvodníky. Následně se již nakažený telefon chová jako server, zatímco zločinci vystupují jako klienti – přihlásí se a získají nad zařízením nic netušící oběti přímou kontrolu.

Součástí SkyGoFree je vlastnost – dá-li se tak vůbec tato funkce nazvat – označovaná jako Social, jejímž cílem je sbírat data z mnoha dalších aplikací spuštěných na klientském zařízení.

Následující fragment kódu ukazuje, jak se SkyGoFree pokouší získat data ze sociálních sítí:

mMap.put("messenger", new Social("/data/data/com.facebook.orca/databases/", new String[] { "upload_facebook_chat.php" }));

mMap.put("facebook", new Social("/data/data/com.facebook.katana/databases/", new String[] { "upload_facebook_search.php", "upload_facebook_contacts.php" }));

mMap.put("whatsapp", new Social("/data/data/com.whatsapp/databases/", new String[] { "upload_whatsapp_msgstore.php", "upload_whatsapp_contacts.php" }));

mMap.put("gmail", new Social("/data/data/com.google.android.gm/databases/", new String[] { "upload_email_gmail.php" }));

mMap.put("mlite", new Social("/data/data/com.facebook.mlite/databases/", new String[] { "upload_messengerlite_chat.php" }));

...

Dobrou zprávou je, že drtivé většiny telefonů se systémem Android využívaných běžným způsobem se tento problém netýká a aplikace si data vzájemně (a nepozorovaně!) číst nemohou. Pokud nejde o rootnutý telefon nebo o příliš staré či neaktualizované zařízení, které obsahuje bezpečnostní chybu umožňující utajený automatický ROOT, nebude uvedená část tohoto malware fungovat.

SkyGoFree obsahuje i komponentu, která „může volat domů“ a stáhnout si k instalaci další moduly. Jde vlastně o obdobu systému pluginů, jen ve světě malware. Nicméně aktuálně jsou tyto dodatečné balíčky nedostupné. Malware bývá často naprogramován tak, aby se mohl sám aktualizovat i rozšiřovat. Důsledkem tohoto přístupu je, že reálné hrozby jsou ještě větší a nikdo, ani uživatelé ani bezpečnostní výzkumníci, vlastně neví, k čemu infikovaná zařízení kybernetičtí zločinci v budoucnu zneužijí.

Z pohledu uživatele

Zkoumaný vzorek Malware předstírá, že se jedná o „aktualizaci systému“ a používá k tomu zelenou ikonu Androidu:

SkyGoFree Obr1

Dojde-li ke spuštění této aplikace, poběží na pozadí a takřka okamžitě svoji ikonu odstraní a uživatel tak může snadno podlehnout dojmu, že se „aktualizace“ zdařila. Naštěstí se ale tento program stále zobrazuje v přehledu aplikací (Nastavení|Aplikace), kde ho lze zastavit a odinstalovat:

SkyGoFree Obr2

Všechny dostupné informace svědčí o tom, že tento malware nikdy nebyl součástí obchodu Google Play. Aby šlo tento škodlivý software nainstalovat, musí uživatelé zapnout volbu Povolit instalaci neoficiálních aplikací (Nastavení|Zabezpečení|Neznámé zdroje):

SkyGoFree Obr3

Obchod Google Play sice není rajská zahrada bez jakéhokoli viru obehnaná neprostupnou zdí, nicméně ve srovnání s neznámými zdroji – jako jsou alternativní obchody, nemoderovaná diskusní fóra nebo odkazy od přátel – jde pořád o mnohem bezpečnější místo pro získávání aplikací.

Co s tím?

• Držet se obchodu Google Play. Pokud opravdu potřebujete využívat specifickou aplikaci, která není k dispozici v Google Play, po její nainstalování možnost využití neznámých zdrojů opět zakažte (Nastavení|Zabezpečení|Neznámé zdroje).

• Používejte antivirový program pro operační systém Android. Produkty jako například zdarma dostupný Sophos Mobile Security for Android pomohou s blokováním malware a upozorní na případná nepříliš bezpečná nastavení chytrého zařízení.

• Nevěřte systémovým aktualizacím třetích stran. Zvláště obezřetní buďte před „aktualizacemi“ uvádějícími, že nabízí další funkce a vlastnosti, které oficiálně nejsou k dispozici.

Patrick Müller, Channel Account Executive pro ČR a SK ve společnosti Sophos

NAS My Cloud od Western Digital mají otevřený backdoor, který nelze vypnout

firmware backdoorVe firmware celkem 12 zařízení se nachází povolený vzdálený administrátorský přístup, ke kterému se může kdokoli přihlásit předem nadefinovaným přihlašovacím jménem a heslem, to je přitom pro všechny přístroje společné a nelze změnit.

Přihlašovací údaje jsou dnes veřejně známé (login: „mydlinkBRionyg“ a heslo: „abc12345cba“) a samotný login bohužel není možné zakázat nebo alespoň přihlašovací údaje změnit. Zařízení tak otevírají dokořán svou náruč útočníkům prakticky bez nutnosti nějakých pokročilých technických znalostí.

Login slouží primárně k přístupu na disk pro čtení, ale analytik James Bercegay z Gulftech, který chybu odhalil, nakonec získal také root přístup. Samotný útok je tak banální, že jej lze bez problému algoritmizovat a provádět třeba prostřednictvím síťového červa. Na zařízení je možné útočit dokonce i když jsou jen na místní síti a to přes web. Stačí na stánky umístit patřičně upravený obrázek v HTML a iFrame tagy k odesílání požadavku na zařízení na místní síti.

Problém mají produkty z řad My Cloud a My Cloud Mirror. Konkrétně se jedná o modely My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100 a MyCloudMirror (pouze s firmwarem do verze 2.30.165 včetně).

Zajímavostí je, že se backdoor do NAS od WD dostal skrze zařízení D-Linku (chyba byla vystopována v softwaru ShareCenter u NAS D-Link DNS-320L). Firma totiž využívala jejich upravený software, samotný D-Link ale chybu opravil již v roce 2014.

KW

Rok 2017 patřil hackerům: přehled největších průlomů a útoků ransomwaru

Zranitelná kritická infrastruktura, špatně zabezpečené databáze, úniky dat v naprosto bezprecedentním množství (ukradená data milionů lidí), přesně tak by se dal shrnout uplynulý rok z pohledu bezpečnosti.

security ransomwareCrash Override a Triton

Že se kybernetická nebezpečí nevyhýbají ani kritické infrastruktuře nás již před lety přesvědčil červ Stuxnet. Přesto zabezpečení SCADA systémů vzhledem k poměrně nízkému množství známých hrozeb poněkud pokulhává. To by se ale mohlo nyní změnit, hrozeb totiž rychle přibývá. První signál proto představuje objev hackerského nástroje pro napadení energetických gridů s výstižným názvem Crash Override (někdy též označovaný jako Industroyer). Ten byl poprvé úspěšně nasazen již koncem roku 2016 na Ukrajině, jednalo se o útok na energetickou síť Ukrenergo a výsledkem byl blackout celého Kyjeva. V roce 2017 se na scéně objevil také další podobný nástroj – malware Triton objevený společnostmi FireEye a Dragos. Také ten stál za několika úspěšnými útoky na průmyslové systémy. Oba hackerské nástroje mají obdobné schéma a řadu společných dílčích prvků.

WannaCry a Shadow Brokers

Loni o sobě dal také vědět hackerský tým Shadow Brokers, ten nejprve prohlásil, že disponuje výzvědnými nástroji NSA, což později potvrdila vlna nové generace sofistikovaných malwarů jako EternalBlue. Ta byla založena na zranitelnostech, které tým Shadow Brokers uvolnil.

Mediální pozornost na sebe upoutal zejména kmen zvaný WannaCry (vycházející právě z EternalBlue), který se rozšířil po celém světě. Ransomware šifroval data na počítačích se systémy Microsoft Windows a žádal platbu (300, po doběhnutí konečného termínu dokonce 2000 USD) v BTC na odblokování souborů. Virus se šířil od 12. května a hned první den zasáhl statisíce cílů včetně veřejných služeb a velkých korporací, jako jsou nemocnice a objekty National Health Service ve Velké Británii.

Virus měl naštěstí chybu v designu a tak se poměrně rychle podařilo objevit „kill switch“, který alespoň zastavil jeho další šíření.

Nová vlna ransomwaru

WannaCry to ale rozhodně nekončí. Brzy následovala celá nová vlna infekcí vylepšenými ransomwary, které vycházejí z rodiny Petya (starší generace z roku 2016). Ty úspěšně útočily na různé cíle po celém světě. I zde bylo využito poznatků a nástrojů od Shadow Brokers.

Pro novou generaci ransomwaru se vžilo označení NotPetya a připsala si takové zásahy, jako např. americkou farmaceutickou společnost Merck, dánskou lodní společnost Maersk a ruský ropný gigant Rosněfť. Vzhledem k úzkému zacílení se stále vedou spekulace o tom, že ransomware maskoval cílený kybernetický útok proti Ukrajině.

Čestnou zmínku si zaslouží také destruktivní ransomware BadRabbit, který se v říjnu šířil po Rusku a velké části centrální Evropy.

Equifax

Asi nejvýraznější událostí roku byl případ úniku dat téměř poloviny populace USA (145,5 milionů lidí), data přitom byla takového charakteru, že by bohatě stačila k úspěšné krádeži identity (data narození, čísla kreditních karet, social security identifikátory). Za historicky bezprecedentní situaci mohlo zanedbání bezpečnostní politiky firmou Equifax. Přitom by bývalo stačilo, aby společnost včas provedla aplikaci nejnovějších bezpečnostních záplat.

V daném případě se jednalo o průnik skrze MVC framework Apache Struts, ten totiž zůstal napadnutelný ještě dlouho poté, co byla odhalena chyba označovaná jako CVE-2017-5638 týkající se nahrávání souborů. Chyba umožnila, aby útočník pomocí řetězce „#cmd=“ mohl vzdáleně provádět příkazy. Situace je o to pikantnější, že se jedná o společnost fungující jako registr dlužníků, tedy poskytující odhad úvěrových rizik. V tomto oboru navíc patří ve Spojených státech mezi tržní trojku. Únik dat měl zajímavou dohru, společnost nejprve pro oběti útoku vytvořila web, kde bylo možné prostřednictvím posledních šesti čísel ze social security number ověřit, zdali se jich útok týká, později ale vyšlo najevo, že samotný web byl opět zranitelný a došlo tak pravděpodobně k dalšímu úniku dat. Laxní přístup k bezpečnosti nakonec stál místo jejího tehdejšího ředitele – Richarda Smitha. Jako perlička se při vyšetřování ukázalo, že digitální platforma využívána zaměstnanci Equifaxu v Argentině má správcovský účet s přihlašovacím jménem „admin“ a překvapivě i stejným heslem.

Čestnou zmínku na konec si určitě zaslouží ještě hacknutí firemní sítě Uberu. Útočníkům se díky průlomu podařilo získat kompletní data 57 milionů cestujících a 600 000 řidičů. Útok samotný pochází sice již z roku 2016, najevo ale vyšel až v listopadu roku 2017, kdy společnost hackerům zaplatila poměrně směšné (100 000 USD) výkupné za smazání dat.

KW