Информационна сигурност

Хакерската група OceanLotus е организирала масирана шпионска кампания в Югоизточна Азия, показва проучване на ESET. Авторите на атаката са успели да компрометират 21 сайта, включително на две министверства в Камбоджа и на една от най-популярните медии във Виетнам. В хакнатите сайтове те са инсталирали зловреден код, който им е позволил да събират даннни за аудиториите им.

„Става дума за т.нар. watering hole атака, при която се инфектират със зловреден код сайтове с определена аудитория. По този начин може да се таргетират потребители с конкретен демографски профил“. коментират от ESET.

Името watering hole идва от тактиката на някои хищници да чакат в засада жертвите си близо до водоизточници. По същия начин злонамерено лице може да хакне сайта на някоя от регионалните медии, за да може да събере информация за живущите в конкретно населено място.

Един от хакнатите от OceanLotus сайтове е именно страницата на виетнамския вестник Dan Viet, който е 110-ият най-четен в страната според данните на Alexa. Хакнати са още сайтовете на две министерства в Камбоджа, както и сайтове на медии и блогове.

За OceanLotus се знае поне от 2012 г. Според компанията за киберсигурност FireEye членовете на групата са свързани с Виетнам. През 2017 г. OceanLotus беше обявена за автор на шпионска кампания в Югоизточна Азия, използваща същата тактика watering hole. Това, както и редица сходства с атаката през 2017 г., дава основание на експертите от ESET да твърдят, че OceanLotus стои и зад сегашната кампания.

Хакерите са инжектирали в компрометираните сайтове JavaScript код, с който са събирали информация за посетителите. Сред събираните данни са  IP адрес, езикови настройки на браузъра, инсталирани браузърни добавки, часова зона и т.н. „Това показва, че OceanLotus не само продължава да е активна, но и постоянно обновява и надгражда инструментите, с които работи. Наблюденията ни показват, че тази атака е по-сложна в сравнение с предишните атаки на групата. Ето защо OceanLotus трябва да се следи отблизо“, коментират от ESET.

Кибератаките срещу институции вече не се правят с цел забавление или нанасяне на щети. Днес основният мотив са парите, като печалбата от една-единствена атака може да надхвърли 1 млн. долара.  Това заявиха участниците в конференцията по киберсигурност QuBit Conference Sofia 2018. Freedomonline.bg е медиен партньор на събитието.

В същото време прагът за навлизане в незаконната индустрия за компютърни престъпления е много нисък. Ако преди по-малко от 20 години за това са се изисквали сериозни технически умения, сега това не е необходимо.

Големи печалби срещу малка инвестиция

Дори и необучен човек може да стане престъпник, или да си намери хакер-наемник. Изисква се само малка инвестиция. „Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, заяви Питър Трейвън, специален агент на ФБР.

Пред голяма част от бизнеса и държавните институции стои въпросът не дали, а кога ще бъдат хакнати. Причината е, че всяка институция работи с лични данни и интелектуална собственост, а те струват пари. „3000 компании се регистрират в Силициевата долина всеки месец. Представете си колко много интелектуална собственост има в този регион“, заяви Ондрей Крехел от компанията за киберсигурност LIFARS.

Всеки е потенциална жертва

Жертви на кибератаки са болници, общински администрации, дори маркетингови компании, които обработват големи обеми лични данни. Въпреки това много фирми продължават да не се интересуват от собствената си информационна сигурност. „Компаниите все още отказват да възприемат идеята, че могат да станат жертви. Факт е обаче, че данните им могат да бъдат откраднати“, коментира Крехел. Той даде пример с американски университет, който е претърпял 15 пробива на информационните си системи, без служителите изобщо да разберат.

„Това е просто бизнес. А когато нещо прави пари, то расте много бързо“, допълва Борис Гончаров, главен стратег по киберсигурност в дружеството за инфомрационна сигурност Amatas.

Плащане на рекет вместо предпазливост

Една от основните заплахи пред бизнеса е рансъмуерът. Той е достъпен (можете да си наемете рансъмуер като услуга от някои от черните онлайн пазари) и ефективен, тъй като много компании предпочитат да си платят откупа, за да бъдат данните им дешифрирани.

Плащането на откуп противоречи на препоръките, давани от полицията и компаниите за информационна сигурност. Въпреки това много фирми се оказват принудени да платят, дори и ако исканата сума е в размер на стотици хиляди долари. Има случаи, в които компании са склонни да платят дори суми, които надхвърлят 1 млн. долара. „Когато информационните системи са напълно пречупени, а фирмата трябва да раздава заплати, тя няма друг избор, освен да плати“, посочва Крехел.

Съществуват много разновидности на рансъмуер и всяка от тях има потенциала да донесе значителни печалби на престъпниците. Само атаките с рансъмуера SamSam са донесли досега 6.5 млн.печалба според доклад на Sophos.

Друг проблем е, че дори платеният откуп да бъде проследен, блонкирането на трансфера е трудно, тъй като плащанията стават в криптовалути. Дигиталните портфейли на престъпниците са публични, но е трудно те да бъдат замразени, а платените откупи – върнати на жертвите. „Имахме случай, в който 8 млн. долара стояха в един портфейл в продължение на 2 седмици. Нямаше международна институция, която да замрази портфейла. Няма юрисдикция върху криптовалутите. Борсите не съдействат.“, коментира Крехел.

Атаките със софтуер за копаене на криптовалути (cryptojacking атаки) са сравнително нова заплаха за бизнеса. Целта им е да използват изчислителната мощ на устройствата във фирмата, за да копаят криптовалути. Проблемът е, че това може да доведе до по-бързото износване на хардуера и да увеличи размера на сметките за електричество.

През първата половина на 2018 г. компанията за информационна сигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г. Според анализ на Palo Alto Networks този тип атаки са донесли поне 143 млн. долара печалби на техните организатори.

Опасно безразличие

В същото време бизнесът продължава да пренебрегва тази заплаха, тъй като не вижда негативните ефекти. Такива обаче има.

„Щетите от зловредните копачи на криптовалути не са толкова видими като негативните ефекти от рансъмуера. Това обаче не означава, че фирмите не плащат за тези щети. Копачите на криптовалути крадат изчислителните ресурси на фирмата. Това може да се отрази върху състоянието на мрежата и доведе до амортизация на хардуера, което пък води до по-кратък полезен живот и по-високи разходи за електричество. Копачите на криптовалути са по-незабележима заплаха в сравнение с други форми на малуер. Ако останат под радара, това може да създаде фалшиво усещане за сигурност“, коментират от TrendMicro.

Много вектори на атака

Cryptojacking атаките могат да се случат по много и различни канали. Ето само няколко примера:

Сайтове, в които има скрипт за копаене на криптовалути;

Реклами, в които има вграден cryptojacking скрипт;

Cryptojacking скрипт, който се представя за нов аверсия на Flash Player;

Kомпютър, който използва незащитен отдалечен достъп чрез Remote Desktop Protocol;

Фишинг;

Как да намалите риска от cryptojacking атака

Обучения на служителите

Обучаването на служителите е превантивна мярка както срещу cryptojacking атаки, така и срещу други киберзаплахи. Когато те са инструктурани да не отварят имейли от съмнителен източник или потенциално опасни сайтове, това намалява риска за цялата фирма.

Защита на работните станции

Използвайте софтуер за защита и анализ на работните станции, за да следите активността им и да изолирате онези, в които установите проблем.

Софтуер за блокиране на реклами

Cryptojacking скриптовете могат да стигнат до компютъра през онлайн рекламите (включително и в сайтове като Youtube). Блокирането на онлайн рекламите с Ad blocker намалява риска от заразяване по този канал;

Защита на сървъри

Ако сървърите ви са уязвими, на тях може да се инсталира зловреден софтуер, който копае криптовалути и го натоварва. Използвайте софтуерни решения за защита на сървъри, както и базови правила за защита като силни пароли и многофакторна автентикация.

Политики на достъп

Задайте правила за достъп на служителите до информационни ресурси. Ограничавайки достъпа им до съмнителни сайтове, вие намалявате възможността за cryptojacking атака.

Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

„Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

Как да се предпазите

Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на  компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

• Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
• Използвайте антивирусен софтуер;
• Налагайте политики за достъп и мониторинг на системата;
• Редовно обновявайте операционната система;
• Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.

 

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.

 

Последен ъпдейт на 27 ноември 2018 в 14:57 ч.

 

Когато през април 2015 г. екип на Google прави експеримент и разхвърля почти 300 флашки в американски кампус, той остава изненадан от резултатите. Буквално минути, след като са били „изгубени“, флашките започват да изчезват.

Оказва се, че 290 (от общо 297) са прибрани от студенти на Университета на Илинойс в Ърбана-Шампейн. От тях поне 135(или 45% от цялото количество) са включени в компютър и е отворен поне един от записаните на тях файлове.

Силно подценяван риск

Защо резултатите са изненадващи? „Тези хора не са технически некомпетентни спрямо връстниците си, нито пък са склонни да поемат повече рискове“, коментират авторите на доклада, изготвен след приключването на експеримента. Въпреки това почти половината от тях включват в лаптопа си USB флаш памет, без да знаят какво има на нея. А това носи значителен риск за сигурността на техните устройства.

USB устройствата са основен вектор за кибератаки. Той е толкова значим, че един от тестовете за нивото на информационна сигурност в една компания е да се разхвърлят флашки и да се следи колко служители ще ги приберат и ще се опитат да видят съдържанието им.

Водеща заплаха за бизнеса

Почти половината от флашките съдържат зловредни или съмнителни файлове, показва проучване на Honeywell сред компании от различни индустрии. Анализът на компанията е установил, че една от четири флашки съдържат заплаха, която „има потенциала да причини огромно смущение в производствените процеси“. Сред заплахите, засечени в опасните флашки, са някои добре познати заплахи като ботмрежата Mirai, рансъмуерът WannaCry и дори опостушителният червей Stuxnet.

Според авторите на изследването това доказва, че тези заплахи съществуват в ежедневието на фирмата, а не са просто резултат от лабораторни тестове. „Притеснително е, че тези високорискови заплахи са открити на USB устройства, които имат достъп до приложения за контрол на индустриални системи“, коментират авторите на доклада.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за системни администратори

Обучавайте служителите си за рисковете от USB флашките. Те не трябва да прибират и тестват случайно намерени USB устройства на служебните компютри;

Използвайте софтуер за задаване на политики на достъп. С такъв софтуер можете да определяте кои лаптопи във фирмата могат да четат USB устройства и кои – не;

Обновявайте редовно операционната система и антивирусния софтуер;
[/box]

Компютърната мрежа на Геологическия топографски институт на САЩ е била заразена с малуер заради служител, който е разглеждал порнографско съдържание. Използвайки служебния си компютър, той е посетил над 9000 страници с порнографско съдържание, част от които са били заразени с малуер.

Вътрешен одит е установил, че малуерът първо се е инсталирал на лаптопа на служителя, откъдето е плъзнал в мрежата на института. Освен това служителят е запазил инфектирани с малуер изображения на USB памет, както и в смартфона си.

Хиляди страници с непозволено съдържание

„Одитът ни установи, че служителят посещава често порнографски сайтове. Много от посетените 9000 страници са били част от руски сайтове, заразени с малуер. Анализът ни потвърждава, че много от порнографските изображения са били запазени на непозволено USB устройство, както и на личния смартфон на служителя. Смартфонът също е бил инфектиран“, се казва в доклада.

Случаят е пример за това как дори само един служител може да представлява риск за информационната сигурност на цялата организация. Геологическият топографски институт на САЩ изрично забранява на служителите си да разглеждат порнографски сайтове и да използват USB флашки. Това очевидно не спира някои от тях да го правят.

Служителите: най-слабото звено

Около 52% от фирмите смятат, че служителите им са най-големия риск за информационната сигурност според проучване на Kaspersky Lab от 2017 г. Общо 44% от анкетираните компании казват, че непозволеното използване на информационни ресурси – например достъп до порно или използване на флашки – е водеща заплаха за бизнеса. Единствено споделянето на данни през мобилен телефон (47%) и загубата на преносими устройства (46%) се считат за по-големи рискове.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за бизнеса

• Създайте политика и правила за достъп на служителите до информационните ресурси в компанията. Трябва да е ясно кои служители до какви ресурси имат достъп;
• Използвайте софтуер за налагането на тези политики. По този начин ще можете да ограничите достъпа на служителите до съдържание, окоето не им трябва за изпълнение на служебните им задължения;
• Обучавайте служителите си да разпознават зловредни сайтове, опити за фишинг и имейли, инфектирани с малуер;

[/box]

Операционната система FreeRTOS има уязвимости, които позволяват изтичане на данни, компрометиране и блокиране на устройствата. Софтуерът може да се използва от много свързани към интернет устройства, включително и медицински уреди.

Анализаторите на Zimperium са открили общо 13 уязвимости, които засягат както FreeRTOS, така и нейните разновидности OpenRTOS и SafeRTOS. „Тези уязвимости позволяват на хакерите да блокират устройствата, да източат данни от паметта им, както и да инсталират и задействат зловреден код, който напълно да ги компрометира“, посочват от компанията.

Zimperium не дава повече технически детайли за уязвимостите. Такива ще се публикуват след около месец, за да може междувременно разработчиците да ъпдейтнат FreeRTOS до версия 1.3.2, в която уязвимостите са отстранени.

Софтуер с широко приложение

FreeRTOS се използва предимно в устройства, които работят с микроконтролери: например сензори, фитнес тракери, измервателни уреди и т.н. Според Zimperium операционната система намира приложение в много индустрии: умни градове, производство на автомобили, авиокосмическа индустрия, здравеопазване.

През 2017 г. Amazon придоби контрол върху FreeRTOS и в момента го предоставя безплатно на разработичците (има и платена версия). Плановете на компанията е да развива проекта като операционна система, която позволява на редица устройства лесно да се свързват към облака.

Милиарди IoT устройства

Няма официална статистика за броя на устройствата, които използват FreeRTOS. От Zimperium посочват, че операционанта система е „пазарен лидер“ в своя сегмент.

Броят на свързаните към интернет устройства ще достигне 31 млрд. през 2018 г. по данни на IHS Markit. Голяма част от тях няма да са смартфони и преносими компютри, а уреди, които досега никога не са имали връзка с интернет. Което може да означава всичко от камери за видеонаблюдение през кухненски уреди до водомери и медицински устройства като глюкомери.

Това неизбежно поставя и въпроса за сигурността на тези устройства, някои от които изпълняват животоспасяващи функции. За немалка част от потребителите идеята някой да хакне пейсмейкъра им все още звучи еретично. Но това е част от новата реалност, която интернет на нещата създава.

Oracle публикува пач за 301 уязвимости, свързани с нейни продукти и външни приложения, които работят със софтуера на компанията. Една от тях е с максималния възможен рейтинг 10, а други 45 са с рейтинг 9.8.

„Поради заплахата от осъществяване на успешна атака, Oracle препоръчва на клиентите си да инсталират пача възможно най-бързо“, съобщава компанията в информаицонни си бюлетин.

Както и при предишни ъпдейти, значителна част от пачовете са свързани с приложения на трети страни“, допълва Ерик Морис, директор „Контрол на сигурността“ в Oracle.

Уязвимостта с най-високия възможен рейтинг е маркирана като CVE-2018-2913 и засяга Oracle GoldenGate – софтуер за репликация на данни в реално време. Засегнати са версии 12.1.2.1.0, 12.2.0.2.0 и 12.3.0.1.0 на GoldenGate.

Според публикуваната информация тази уязвимост е лесна за експлоатиране и позволява на злонамерено лице да компрометира GoldenGate. Успешна атака може да доведе до получаване на пълен контрол над GoldenGate.

Общо три уязвимости са открити в GoldenGate. От Oracle посочват, че „всяка от тези уязвимости може да бъде експлоатирана от разстояние, без необходимостта от автентикация“. Това означава, че атаката може да се случи, дори ако авторът й не разполага с данни за достъп.

Последен ъпдейт на 15 октомври 2018 в 15:33 ч.

IQY файловете се използват за сваляне на данни от интернет и зареждането им в таблица в Excel. От средата на 2018 г. обаче те се използват и в спам и спиър фишинг кампании за инсталирането на малуер.

Такива кампании започват да се превръщат в тренд според Quick Heal. Фирмата за информационна сигурност анализира една от последните кампании, които разчитат на IQY файл, за да атакуват компютри. Атаката протича по следния начин:

1.Жертвата получава имейл с прикачен PDF файл, в който има вграден IQY файл;

2.Когато жертвата отвори PDF файла се задейства и отварянето на IQY файла;

3.Жертвата вижда предупреждение да потвърди, че желае да отвори IQY файла;

4.Ако потвърди се отваря ново предупреждение. То е част от вградената защита на Microsoft Office срещу потенциално опасни файлове и скриптове;

5.Ако жертвата пренебрегне и това предупреждение и натисне Enable се задейства PowerShell скрипт, който сваля на устройството инсталационни файлове за FlawedAmmyy;

FlawedAmmyy е троянизирана версия на софтуера за отдалечен достъп Ammyy. FlawedAmmyy действа като RAT (Remote Administration Tool) и за съществуването му се знае от 2016 г. Зловредният код позволява да се установи контрол върху заразеното устройство, да се преглеждат и управляват файловете на твърдия диск, да се прави скрийншот на екрана и др.

„Хакерите постоянно откриват нови начини да заразяват потребителите с малуер и IQY файловете са един от тях. Предпазливостта е най-доброто средство да се избегне заразяване. Потребителите трябва да внимават, когато отварят прикачени файлове от имейли, идващи от съмнителен източник“, коментират от Quick Heal.

IQY файловете добиха популярност като средство за разпространение на малуер сравнително скоро. Една от първите големи спам кампании с прикачен IQY файл, се появи през май 2018 г.

Necurs delivering Flawed Ammy RAT via IQY Excel Web Query files https://t.co/0GhJka2K00 pic.twitter.com/xDCWg4aEKB

— My Online Security (@dvk01uk) May 25, 2018

IQY могат да се разпространяват като прикачен файл в имейла, но могат и да са вградени в PDF файл, който от своя страна е прикачен към имейла. Такъв е и горепосоченият пример. Този тип атаки разчитат на една и съща уязвимост: потребителите неглижират системните предупреждения да не отварят файлове, които свалят данни от интернет.

Excel разполага с филтър за такива файлове. По подразбиране той е включен на Prompt user about Data Connections. Това означава, че ще получавате предупреждение всеки път, когато се опитвате да отваряте файл, който сваля данни от интернет. Можете да промените филтъра на Disable all Data Connections, което ще забрани отварянето на външни връзки от документа.

За да настроите филтъра, влезте в Excel и изберете:

File > Options > Trust Center > Trust Center Settings > External Content

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за бизнеса и потребителите

Обучавайте служителите си да не отварят имейли и прикачени файлове от неизвестен източник;

Използвайте антивирусен софтуер и антиспам филтри; [/box]