Bezpečnostní přehled: MySQL.com hacknut, anonymizér útočníky neochránil

Pavel Houser , 29. září 2011 10:06 2 komentářů
Bezpečnostní přehled: MySQL.com hacknut, anonymizér útočníky neochránil

ČR se hned dvakrát objevila v článcích na zahraničních webech: zaznamenán byl růst Avastu, naopak je Česko ale také zmiňováno v souvislosti s akcí proti botnetu Kelihos. Web MySQL.com byl hacknut a šířil malware. Nejvíce útoků se provádí proti zranitelnostem v implementaci Javy. Následuje pravidelný čtvrteční bezpečnostní přehled.

Rusko bývá pokládáno za obvyklý zdroj kybernetických útoků. Místní subjekty ale bývají stejně tak i jejich obětí. Společnost Trend Micro nyní zveřejnila informace o operaci Lurid (jméno použitého trojského koně, jeho jiný název je Enfal), která se zaměřovala především na cíle v Rusku, Kazachstánu a Vietnamu, ať už šlo o firmy, vládní a jiné kosmické agentury nebo výzkumná centra. Servery, z nichž byly tyto útoky vedeny, se nacházely v USA a Velké Británii.

Příslušný trojský kůň byl poprvé zaznamenán už v roce 2009. Útok využíval dobře známé bezpečnostní zranitelnosti, nikoliv chyby zero day. Na infikovaných počítačích vyhledával určité dokumenty a odesílal je na řídicí servery. Obsah uniklých souborů není znám.

Zdroj: HelpNet Security

Microsoft Windows
Microsoft Windows
Microsoft se chlubí likvidací dalšího botnetu jménem Kelihos. Tento malware kradl informace z kompromitovaných počítačů (včetně přístupových údajů k platebním službám) a byl schopen vygenerovat až 4 miliardy spamových zpráv denně. Microsoft dosáhl soudního příkazu k likvidaci 21 adres spojených s provozem botnetu. Z pohledu ČR je zajímavé, že se v této souvislosti zmiňuje v ČR sídlící služba cz.cc (registrace domén zdarma, přičemž řada z těchto domén byla používána k podvodným činnostem). Řídicí servery byly od Internetu odpojeny dříve, než si útočníci stihli připravit náhradní cestu, takže nyní zřejmě nemají jak ovládat asi 42 000 počítačů, které byly součástí botnetu

Kelihos byl možná „potomkem“ botnetu Waledac, který byl zlikvidován na počátku tohoto roku. V USA byli obviněni John Doe (dotFREE sro, opět registrována v ČR) a Dominique Alexander Piatti (cz.cc). Tyto služby byly zřejmě spojené i s dalšími podvody, např. šířením falešného antiviru MacDefender.

Zdroj: The Register, HelpNet Security

lulzsec
lulzsec
V USA byli zatčeni údajně další členové skupin LulzSec a Anonymous. Např. 23letý Cody Andrew Kretsinger (přezdívka recursion) byl obžalován z podílu na útoku proti síti Sony. 47letý Christopher Doyon (Commander X) a 26letý Joshua John Covelli (Absolem, Toxic) jsou zase obviněni z DDoS útokům proti serverům města Santa Cruz a na systém PayPal.

Na vysledování útočníků se podíleli i provozovatelé anonymizační služby HideMyAss, kterou obvinění použili. Provozovatelé služby uvádějí, že postupovali na soudní příkaz a ostatně v podmínkách použití je jasně uvedeno, že anonymizace nesmí sloužit k nezákonné činnosti (ve smyslu britského práva – např. obcházení cenzury je tedy legální, útoky na weby nikoliv).

Zdroj: CNet, HelpNet Security

MacOS X Lion
MacOS X Lion
Malware pro Mac OS X už funguje velmi podobně jako ten pro Windows. Tak se např. objevily útoky pomocí podvržených PDF dokumentů (zatím byly zachyceny soubory, které předstírají, že přinášejí informace o ostrovech Senkaku, na něž si činí nárok Čína i Japonsko), po jejichž otevření dojde ke spuštění škodlivého kódu. Příslušné útočné kódy byly nahrány do služby VirusTotal, možná si tedy útočník chtěl zkusit, nakolik stávající nástroje dokážou jeho malware odhalit. Objevil se rovněž nástroj RAT, který umožňuje na dálku řídit kompromitované počítače s MacOS X.

Zdroj: The Register, CNet

Server MySQL byl hacknut a šířil malware. Použitými útočnými metodami byly cross-site scripting a SQL injection. Ukradená data se útočníci pokoušeli prodávat na podzemních fórech. Z pohledu návštěvníků probíhal útok přes tag iFrame a automatické přesměrování na podvodné weby. Zde byla nasazena sada Black Hole, která slouží ke zneužívání zranitelností ve webových prohlížečích včetně plug-inů (Adobe Flash, Adobe Reader, Java...). Společnost Amorize tvrdí, že kvůli tomu se malware zřejmě dostal do počítačů řady návštěvníků webu MySQL.com, stačilo pouze zobrazit stránku. Malware dále komunikoval s počítači ve Finsku a na Floridě. Jedná se o další kompromitovaný open source projekt v posledních měsících; trochu ironické je, že šířený malware byl ovšem určen výhradně pro Windows.

Všem uživatelům MySQL.com, kteří zde mají účet a stejné heslo používají i jinde, se důrazně doporučuje heslo pro druhou službu ihned změnit.

Přístup s oprávněními root k serverům MySQL.com byl na prodej za 3 000 dolarů. Útočníci se však s tímto zřejmě spokojili a nepokoušeli se měnit zdrojové kódy MySQL v repozitářích.

Zdroj: BetaNews.com, HelpNet Security, CNet

Dánská bezpečnostní firma CSIS provedla analýzu příčin infekce počítačů v domácnostech i firmách. Zaměřila se na útoky typu drive-by download, ne tedy např. na kompromitování počítače poté, co si někdo z podvodného webu nainstaluje „kodek“ apod. Výsledek: Za nejvíce průniků byla odpovědná Java (37 %), následoval Adobe Reader (32 %) a Flash Player (16 %). Pouze za 10 % infekcí mohly zranitelnosti v Internet Exploreru, za 3 % v samotných Windows a ve 2 % případů byl na vině Apple QuickTime. Opět se potvrdilo, že největším rizikem dnes není chybovost operačního systému nebo samotných prohlížečů, ale plug-inů. Velká většina zneužívaných zranitelností není typu zero day, k ochraně by stačilo nasazovat včas aktualizace.

Zdroj: The Register,

Další statistiky a celá studie zde.

Avast
Avast
Akvizice prováděné Avastem už stojí za pozornost i zahraničním webům. Nyní Avast koupil firmu ITAgents, která dodává zabezpečení pro Android a Symbian. Aplikace Theft Aware nabízí ochranné funkce pro případ krádeže zařízení, např. vzdálené řízení přístroje přes SMS. Finanční podmínky transakce nebyly zveřejněny. Avast chce uvést vlastní zabezpečení pro Android ještě letos. Produkt založený na Theft Aware se bude prodávat samostatně i jako součást komplexnější bezpečnostní sady.

Zdroj: CNet


Komentáře

AX #1
AX 29. září 2011 12:45

To s obvinenim pana jmenem "John Doe" myslite vazne?
V puvodnim clanku je jasne napsane "A complaint filed in US District Court in Alexandria, Virginia, named 22 John Doe defendants..."
Wiki napovi:
"The name "John Doe" is used as a placeholder name in a legal action, case or discussion for a male party, whose true identity is unknown[1] or must be withheld for legal reasons."

Foo Bar 29. září 2011 13:35

Musím říct, že mě ten John Doe z dotFREE taky pobavil. Navíc bych byl trochu opatrný s tím obviněním. I ta žaloba Microsoftu rozlišuje "Piatti Defendants" a "Doe Defendants" a jde o to, že Piatti Defendants jsou zodpovědi za provoz CC domén botnetu, ale asi nikdo nepředpokládá, že ten botnet sami provozují.

(Tj. klasická bolístka všech free (as a beer) služeb.)

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

ÚOHS začal posuzovat změnu vlastníka AutoContu

ČTK , 23. říjen 2017 11:15

V IT má Komárkova skupina rychle rostoucí byznys datových center své firmy DataSpring....

Více 0 komentářů

Google investoval do alternativní taxislužby Lyft

ČTK , 23. říjen 2017 09:00

Už v květnu podepsal Lyft dohodu o spolupráci s divizí samořídících aut Alphabetu.

...

Více 0 komentářů

Objem digitálních plateb i nadále roste

Pavel Houser , 23. říjen 2017 08:00

Nastupuje nový platební ekosystém...

Více 0 komentářů

Starší zprávičky

ČSÚ: Volební weby byly nedostupné kvůli útoku DDoS

Pavel Houser , 22. říjen 2017 17:43

Výpadky prezentačních server vznikly na straně externího dodavatele komunikačních služeb. ...

Více 0 komentářů

Úřad pro ochranu osobních údajů vyšetřuje e-shop Mall.cz kvůli úniku hesel

ČTK , 22. říjen 2017 08:00

Obchodu Mall.cz odcizili hackeři údaje až ke 750 000 starších uživatelských účtů....

Více 0 komentářů

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů