Bezpečnostní přehled: Regin, další malware tajných služeb?

Pavel Houser , 27. listopad 2014 08:00 1 komentářů
Bezpečnostní přehled: Regin, další malware tajných služeb?

Mimořádná oprava Microsoftu. Regin cílí i na stanice GSM. Levná zařízení s Androidem prý obsahují předinstalovaný malware. Co firmy provozují na fyzické a co na virtualizované infrastruktuře? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou opravu pro zranitelnost MS14-068 v implementaci autentizačního protokolu Kerberos. Chyba umožňuje běžnému uživateli získat oprávnění správce domény. De facto to znamená, že kdokoliv omylem spustí škodlivý software, může při tom ohrozit celou síť: útočník získá nejprve práva příslušného uživatele a pak si může dělat, co chce. Problém se týká všech podporovaných verzí Windows od Windows Vista, speciálně má smysl samozřejmě aktualizovat na straně serverů (od Windows Server 2003 po 2012 R2), klientské systémy asi útočníky v tomto případě moc zajímat nebudou. Za upozornění na chybu Microsoft děkuje firmě Qualcomm. Již byly zaznamenány ojedinělé, ale zato údajně velmi cílené pokusy o zneužití zranitelnosti.

Od roku 2008 probíhá kampaň Regin zaměřená na sledování firem, vládních i výzkumných organizací. Převládajícím cílem byly firmy z oblasti energetiky, zdravotnictví a telekomunikací. Nejvíce zasažených počítačů je v Rusku a Saúdské Arábii, následuje Mexiko a Irsko. Způsob sledování používá několika maskovacích technik (především zakrytí stop, komu malware slouží, jde prý do krajnosti) a jeho cílem je dlouhodobý sběr dat. Dokáže instalovat další trojské koně, fungovat jako keylogger, zaznamenávat screenshoty a obnovovat smazané soubory, sleduje poštu i síťový provoz, zkouší zachytit oprávnění administrátora. Vyspělost použitého malwaru údajně naznačuje, že za akcí je některá z vlád nebo skupin disponujících obdobnými prostředky.

Regin se v zásadě srovnává s kampaněmi, jako byl Stuxnet nebo Duqu. Využívá hned několik technik, např. jednu zero day chybu v programu Yahoo Messenger. Možné je, že původně byl malware směřován proti konkrétnímu cíli a podobně jako v případě Stuxnetu jeho tvůrci další rozšíření už ani nezamýšleli. Každopádně zasažených systémů je i tak dnes omezený počet, v řádu stovek. I proto tak dlouho možná Regin nestál bezpečnostním firmám příliš za pozornost. Na problém nyní upozornila společnost Symantec. Jeden modul platformy Regin dokáže monitorovat ovládání základnových stanic GSM a sbírat data o buňkách GSM a infrastruktuře sítě. Během jediného měsíce, konkrétně dubna 2008, útočníci nasbírali administrátorské údaje, které jim umožnily manipulovat GSM síť v jedné ze zemí na Blízkém východě. Česká republika mezi zeměmi zasaženými špionáží Regin není.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Microsoft uvádí, že malware poprvé zaznamenal v roce 2011. Finská společnost F-Secure tvrdí, že o existenci kampaně Regin úmyslně neinformovala na žádost svého zákazníka (poznámka: ech, to se, když už se to dělá, takhle přiznává?), pouze jej zařadila do antimalwarových definic svých produktů. Podle F-Secure jde téměř jistě o akci s podporou nějakého státu. Regin nevytváří botnet a nesnaží se zcizovat třeba hesla k internetovému bankovnictví. Má to naznačovat, že maskování je prioritou, cílem byly instituce, tvůrcům nešlo o to vydělat okrádáním běžných uživatelů. The Register spekuluje, že protože nákaza se prakticky nevyskytuje v USA a Velké Británii, mohlo by jít o dílo americké nebo britské tajné služby.


Aktuální opravy Microsoftu údajně kolidují s bezpečnostním softwarem firmy Avast. Poslední aktualizace Avastu se prý nemají rády s kumulativní aktualizací Microsoftu KB3000850; v zásadě by se problém měl omezit na to, že se nějakou z aktualizací nepodaří nainstalovat. Další aktualizace Avastu by již kolizi měla řešit, i když podle některých uživatelů problémy přetrvávají.

Vietnam, Indie a Indonésie budou novým významným zdrojem útoků DDoS. Tyto útoky budou vycházet především z infikovaných smartphonů. Tolik alespoň prognóza Shawn Marck; aktuálně útoky DDoS vycházejí prý hlavně z USA, Ruska, Číny a Německa.

Trojský kůň Citadel, který se pokouší především krást hesla k internetovému bankovnictví, se objevil v nové variantě. Ta je specializovaná tak, aby po nákaze počítače rozpoznala, zda oběť nepoužívá nějaký z častějších správců hesel. Identifikuje spuštění tohoto programu a odposloucháváním kláves ukradne heslo hlavní.

PayPal opravil kritickou bezpečnostní zranitelnost umožňující vzdálené spuštění kódu Stalo se to nicméně až 18 měsíců poté, co byla provozovateli systému chyba reportována. Výzkumníci ze společnosti Vulnerability Lab uvádějí, že zranitelnost byla v samotné webové aplikaci/API a zneužít šla prostě jako příkazový řádek z adresního řádku webového prohlížeče. Demonstrace zranitelnosti – video na YouTube

Ruská bezpečnostní společnost Dr.Web tvrdí, že malware se dokonce na některých mobilních zařízeních s Androidem vyskytuje nachází už předinstalován. Malware Becu v podobě souboru Cube_CJIA01.apk byl prý objeven v systémovém adresáři, je operačním systémem podepsán a má přidělena veškerá potřebná oprávnění. Funguje de facto jako součást firmwaru a lze běžnými prostředky velmi obtížně odstranit (a navíc při tom hrozí ztráta veškerých uložených informací). Becu především lape SMS. Objeven byl na levných smartphonech UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 a ALPS H9500.

V listopadu Microsoftem opravená kritická chyba v Internet Exploreru (CVE-2014-6332) je již aktivně zneužívána. Výzkumníci společnosti Eset upozornili, že podvodníci např. kompromitovali populární bulharský zpravodajský web a pomocí příslušného exploitu pak servírovali návštěvníkům malware. A to ještě zneužití nebylo ani zahrnuto do sad typu Blackhole. Předpokládá se, že pro útočníky je tato zranitelnost velmi zajímavá, protože umožňuje obejít i např. sandbox (Enhanced Protected Mode) v Internet Exploreru 11.

Méně než třetina společností drží své virtualizační servery ve firmě a spravuje je jejich vlastní IT personál. Vyplývá to z průzkumu Kaspersky Lab mezi 3 900 IT profesionály v 27 zemích, včetně ČR. 29 % z dotazovaných firem má stroje fyzicky v místech svého podnikání a spravují je interní zaměstnanci. 17 % spoléhá zcela na služby třetích stran. Zhruba polovina využívá kombinaci obojího.

Podle odpovědí firem, které nějakou formu virtualizace využívají, je poměr služeb či aplikací na virtuální a fyzické infrastruktuře následující:

  • E-mail a aplikace pro komunikaci – 68 % používá virtuální infrastrukturu
  • Databázové aplikace – 65 % používá virtuální infrastrukturu
  • Platformy CRM – 65 % používá virtuální infrastrukturu
  • Aplikace pro finanční správu a účetnictví – 56 % používá virtuální infrastrukturu

Zdroj: tisková zpráva společnosti Kaspersky Lab

Kartový systém FollowMe Embedded od společnosti Ringdale je k dispozici pro multifunkční tiskárny OKI řad MC700, MB700 a ES94x5 s platformou Smart Extendable Platform (sXP). Řešení poskytuje uživatelské rozhraní pro zabezpečený tisk, řízení práv tisku jednotlivých uživatelů i přiřazování nákladů na tisk.

Zdroj: tisková zpráva společnosti OKI

Sophos oznamuje rozšíření svého portfolia produktů o nové možnosti zabezpečení serverů, které budou dostupné pro zákazníky služby Amazon Web Services (AWS). Nový Sophos Secure OS kombinuje operační systém CentOS s předinstalovanou ochranou před malwarem v jediném AMI (Amazon Machine Instance). Kromě toho přichází Sophos nově také s možností testování svých řešení pro zabezpečení koncových bodů pomocí administračního nástroje Sophos Enterprise Console, které bude dostupné v rámci programů AWS Test Drive.

Zdroj: tisková zpráva společnosti Sophos

AVG oznámila prodloužení obchodního partnerství s Alcatel Onetouch.

Zdroj: tisková zpráva společnosti AVG

IBM představila Verse, řešení podnikové komunikace a spolupráce. Bezpečnostní prvky jsou založeny na cloudové platformě SoftLayer.

Zdroj: tisková zpráva společnosti IBM

Na téma zabezpečení na ITBiz viz také: Ruský server pirátsky zveřejnil záběry z tisíců kamer ve světě V Česku je na dotyčném serveru evidováno 75 kamer, například z Prahy, Brna či Děčína. Ze Slovenska jich je 20.


Komentáře

Jamicon #0
Jamicon 30. listopad 2014 08:54

Widle sa dajú použiť jedine ako herná konzola. Určie sa na nich nedá normálne pracovať bez každodenného strachu o svoje dáta.
Vôbec sa nečudujem že operátori prišli o svoje dáta keď ich zverili takej čiernej diere od M$.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Výdaje Čechů za telekomunikační služby klesly na 429 Kč měsíčně

ČTK , 11. prosinec 2016 10:55

Výdaje Čechů za telekomunikační a poštovní služby klesly za posledních šest let o čtyři procenta na ...

Více 0 komentářů

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Starší zprávičky

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů