Bezpečnostní přehled: Regin, další malware tajných služeb?

Pavel Houser , 27. listopad 2014 08:00 1 komentářů
Bezpečnostní přehled: Regin, další malware tajných služeb?

Mimořádná oprava Microsoftu. Regin cílí i na stanice GSM. Levná zařízení s Androidem prý obsahují předinstalovaný malware. Co firmy provozují na fyzické a co na virtualizované infrastruktuře? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou opravu pro zranitelnost MS14-068 v implementaci autentizačního protokolu Kerberos. Chyba umožňuje běžnému uživateli získat oprávnění správce domény. De facto to znamená, že kdokoliv omylem spustí škodlivý software, může při tom ohrozit celou síť: útočník získá nejprve práva příslušného uživatele a pak si může dělat, co chce. Problém se týká všech podporovaných verzí Windows od Windows Vista, speciálně má smysl samozřejmě aktualizovat na straně serverů (od Windows Server 2003 po 2012 R2), klientské systémy asi útočníky v tomto případě moc zajímat nebudou. Za upozornění na chybu Microsoft děkuje firmě Qualcomm. Již byly zaznamenány ojedinělé, ale zato údajně velmi cílené pokusy o zneužití zranitelnosti.

Od roku 2008 probíhá kampaň Regin zaměřená na sledování firem, vládních i výzkumných organizací. Převládajícím cílem byly firmy z oblasti energetiky, zdravotnictví a telekomunikací. Nejvíce zasažených počítačů je v Rusku a Saúdské Arábii, následuje Mexiko a Irsko. Způsob sledování používá několika maskovacích technik (především zakrytí stop, komu malware slouží, jde prý do krajnosti) a jeho cílem je dlouhodobý sběr dat. Dokáže instalovat další trojské koně, fungovat jako keylogger, zaznamenávat screenshoty a obnovovat smazané soubory, sleduje poštu i síťový provoz, zkouší zachytit oprávnění administrátora. Vyspělost použitého malwaru údajně naznačuje, že za akcí je některá z vlád nebo skupin disponujících obdobnými prostředky.

Regin se v zásadě srovnává s kampaněmi, jako byl Stuxnet nebo Duqu. Využívá hned několik technik, např. jednu zero day chybu v programu Yahoo Messenger. Možné je, že původně byl malware směřován proti konkrétnímu cíli a podobně jako v případě Stuxnetu jeho tvůrci další rozšíření už ani nezamýšleli. Každopádně zasažených systémů je i tak dnes omezený počet, v řádu stovek. I proto tak dlouho možná Regin nestál bezpečnostním firmám příliš za pozornost. Na problém nyní upozornila společnost Symantec. Jeden modul platformy Regin dokáže monitorovat ovládání základnových stanic GSM a sbírat data o buňkách GSM a infrastruktuře sítě. Během jediného měsíce, konkrétně dubna 2008, útočníci nasbírali administrátorské údaje, které jim umožnily manipulovat GSM síť v jedné ze zemí na Blízkém východě. Česká republika mezi zeměmi zasaženými špionáží Regin není.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Microsoft uvádí, že malware poprvé zaznamenal v roce 2011. Finská společnost F-Secure tvrdí, že o existenci kampaně Regin úmyslně neinformovala na žádost svého zákazníka (poznámka: ech, to se, když už se to dělá, takhle přiznává?), pouze jej zařadila do antimalwarových definic svých produktů. Podle F-Secure jde téměř jistě o akci s podporou nějakého státu. Regin nevytváří botnet a nesnaží se zcizovat třeba hesla k internetovému bankovnictví. Má to naznačovat, že maskování je prioritou, cílem byly instituce, tvůrcům nešlo o to vydělat okrádáním běžných uživatelů. The Register spekuluje, že protože nákaza se prakticky nevyskytuje v USA a Velké Británii, mohlo by jít o dílo americké nebo britské tajné služby.


Aktuální opravy Microsoftu údajně kolidují s bezpečnostním softwarem firmy Avast. Poslední aktualizace Avastu se prý nemají rády s kumulativní aktualizací Microsoftu KB3000850; v zásadě by se problém měl omezit na to, že se nějakou z aktualizací nepodaří nainstalovat. Další aktualizace Avastu by již kolizi měla řešit, i když podle některých uživatelů problémy přetrvávají.

Vietnam, Indie a Indonésie budou novým významným zdrojem útoků DDoS. Tyto útoky budou vycházet především z infikovaných smartphonů. Tolik alespoň prognóza Shawn Marck; aktuálně útoky DDoS vycházejí prý hlavně z USA, Ruska, Číny a Německa.

Trojský kůň Citadel, který se pokouší především krást hesla k internetovému bankovnictví, se objevil v nové variantě. Ta je specializovaná tak, aby po nákaze počítače rozpoznala, zda oběť nepoužívá nějaký z častějších správců hesel. Identifikuje spuštění tohoto programu a odposloucháváním kláves ukradne heslo hlavní.

PayPal opravil kritickou bezpečnostní zranitelnost umožňující vzdálené spuštění kódu Stalo se to nicméně až 18 měsíců poté, co byla provozovateli systému chyba reportována. Výzkumníci ze společnosti Vulnerability Lab uvádějí, že zranitelnost byla v samotné webové aplikaci/API a zneužít šla prostě jako příkazový řádek z adresního řádku webového prohlížeče. Demonstrace zranitelnosti – video na YouTube

Ruská bezpečnostní společnost Dr.Web tvrdí, že malware se dokonce na některých mobilních zařízeních s Androidem vyskytuje nachází už předinstalován. Malware Becu v podobě souboru Cube_CJIA01.apk byl prý objeven v systémovém adresáři, je operačním systémem podepsán a má přidělena veškerá potřebná oprávnění. Funguje de facto jako součást firmwaru a lze běžnými prostředky velmi obtížně odstranit (a navíc při tom hrozí ztráta veškerých uložených informací). Becu především lape SMS. Objeven byl na levných smartphonech UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 a ALPS H9500.

V listopadu Microsoftem opravená kritická chyba v Internet Exploreru (CVE-2014-6332) je již aktivně zneužívána. Výzkumníci společnosti Eset upozornili, že podvodníci např. kompromitovali populární bulharský zpravodajský web a pomocí příslušného exploitu pak servírovali návštěvníkům malware. A to ještě zneužití nebylo ani zahrnuto do sad typu Blackhole. Předpokládá se, že pro útočníky je tato zranitelnost velmi zajímavá, protože umožňuje obejít i např. sandbox (Enhanced Protected Mode) v Internet Exploreru 11.

Méně než třetina společností drží své virtualizační servery ve firmě a spravuje je jejich vlastní IT personál. Vyplývá to z průzkumu Kaspersky Lab mezi 3 900 IT profesionály v 27 zemích, včetně ČR. 29 % z dotazovaných firem má stroje fyzicky v místech svého podnikání a spravují je interní zaměstnanci. 17 % spoléhá zcela na služby třetích stran. Zhruba polovina využívá kombinaci obojího.

Podle odpovědí firem, které nějakou formu virtualizace využívají, je poměr služeb či aplikací na virtuální a fyzické infrastruktuře následující:

  • E-mail a aplikace pro komunikaci – 68 % používá virtuální infrastrukturu
  • Databázové aplikace – 65 % používá virtuální infrastrukturu
  • Platformy CRM – 65 % používá virtuální infrastrukturu
  • Aplikace pro finanční správu a účetnictví – 56 % používá virtuální infrastrukturu

Zdroj: tisková zpráva společnosti Kaspersky Lab

Kartový systém FollowMe Embedded od společnosti Ringdale je k dispozici pro multifunkční tiskárny OKI řad MC700, MB700 a ES94x5 s platformou Smart Extendable Platform (sXP). Řešení poskytuje uživatelské rozhraní pro zabezpečený tisk, řízení práv tisku jednotlivých uživatelů i přiřazování nákladů na tisk.

Zdroj: tisková zpráva společnosti OKI

Sophos oznamuje rozšíření svého portfolia produktů o nové možnosti zabezpečení serverů, které budou dostupné pro zákazníky služby Amazon Web Services (AWS). Nový Sophos Secure OS kombinuje operační systém CentOS s předinstalovanou ochranou před malwarem v jediném AMI (Amazon Machine Instance). Kromě toho přichází Sophos nově také s možností testování svých řešení pro zabezpečení koncových bodů pomocí administračního nástroje Sophos Enterprise Console, které bude dostupné v rámci programů AWS Test Drive.

Zdroj: tisková zpráva společnosti Sophos

AVG oznámila prodloužení obchodního partnerství s Alcatel Onetouch.

Zdroj: tisková zpráva společnosti AVG

IBM představila Verse, řešení podnikové komunikace a spolupráce. Bezpečnostní prvky jsou založeny na cloudové platformě SoftLayer.

Zdroj: tisková zpráva společnosti IBM

Na téma zabezpečení na ITBiz viz také: Ruský server pirátsky zveřejnil záběry z tisíců kamer ve světě V Česku je na dotyčném serveru evidováno 75 kamer, například z Prahy, Brna či Děčína. Ze Slovenska jich je 20.


Komentáře

Jamicon #0
Jamicon 30. listopad 2014 08:54

Widle sa dajú použiť jedine ako herná konzola. Určie sa na nich nedá normálne pracovať bez každodenného strachu o svoje dáta.
Vôbec sa nečudujem že operátori prišli o svoje dáta keď ich zverili takej čiernej diere od M$.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Starší zprávičky

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů

Facebook v Německu spustí systém pro ověřování pravdivosti zpráv

ČTK , 16. leden 2017 07:00

Internetová sociální síť Facebook v příštích týdnech zavede v Německu systém pro ověřování pravdivos...

Více 0 komentářů

Yahoo Japan zvažuje třídenní víkend, chce zaměstnance motivovat

ČTK , 15. leden 2017 15:00

Japonská internetová společnost Yahoo Japan zvažuje, že by do roku 2020 zavedla třídenní víkend. Chc...

Více 0 komentářů

Uber se dohodl s Google na využití jeho map

ČTK , 15. leden 2017 12:32

Internetová firma Google nově propojila své mapy s poskytovatelem přeprav Uber. S novou aktualizací ...

Více 1 komentářů