Bezpečnostní přehled: Regin, další malware tajných služeb?

Mimořádná oprava Microsoftu. Regin cílí i na stanice GSM. Levná zařízení s Androidem prý obsahují předinstalovaný malware. Co firmy provozují na fyzické a co na virtualizované infrastruktuře? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou opravu pro zranitelnost MS14-068 v implementaci autentizačního protokolu Kerberos. Chyba umožňuje běžnému uživateli získat oprávnění správce domény. De facto to znamená, že kdokoliv omylem spustí škodlivý software, může při tom ohrozit celou síť: útočník získá nejprve práva příslušného uživatele a pak si může dělat, co chce. Problém se týká všech podporovaných verzí Windows od Windows Vista, speciálně má smysl samozřejmě aktualizovat na straně serverů (od Windows Server 2003 po 2012 R2), klientské systémy asi útočníky v tomto případě moc zajímat nebudou. Za upozornění na chybu Microsoft děkuje firmě Qualcomm. Již byly zaznamenány ojedinělé, ale zato údajně velmi cílené pokusy o zneužití zranitelnosti.

Od roku 2008 probíhá kampaň Regin zaměřená na sledování firem, vládních i výzkumných organizací. Převládajícím cílem byly firmy z oblasti energetiky, zdravotnictví a telekomunikací. Nejvíce zasažených počítačů je v Rusku a Saúdské Arábii, následuje Mexiko a Irsko. Způsob sledování používá několika maskovacích technik (především zakrytí stop, komu malware slouží, jde prý do krajnosti) a jeho cílem je dlouhodobý sběr dat. Dokáže instalovat další trojské koně, fungovat jako keylogger, zaznamenávat screenshoty a obnovovat smazané soubory, sleduje poštu i síťový provoz, zkouší zachytit oprávnění administrátora. Vyspělost použitého malwaru údajně naznačuje, že za akcí je některá z vlád nebo skupin disponujících obdobnými prostředky.

Regin se v zásadě srovnává s kampaněmi, jako byl Stuxnet nebo Duqu. Využívá hned několik technik, např. jednu zero day chybu v programu Yahoo Messenger. Možné je, že původně byl malware směřován proti konkrétnímu cíli a podobně jako v případě Stuxnetu jeho tvůrci další rozšíření už ani nezamýšleli. Každopádně zasažených systémů je i tak dnes omezený počet, v řádu stovek. I proto tak dlouho možná Regin nestál bezpečnostním firmám příliš za pozornost. Na problém nyní upozornila společnost Symantec. Jeden modul platformy Regin dokáže monitorovat ovládání základnových stanic GSM a sbírat data o buňkách GSM a infrastruktuře sítě. Během jediného měsíce, konkrétně dubna 2008, útočníci nasbírali administrátorské údaje, které jim umožnily manipulovat GSM síť v jedné ze zemí na Blízkém východě. Česká republika mezi zeměmi zasaženými špionáží Regin není.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Microsoft uvádí, že malware poprvé zaznamenal v roce 2011. Finská společnost F-Secure tvrdí, že o existenci kampaně Regin úmyslně neinformovala na žádost svého zákazníka (poznámka: ech, to se, když už se to dělá, takhle přiznává?), pouze jej zařadila do antimalwarových definic svých produktů. Podle F-Secure jde téměř jistě o akci s podporou nějakého státu.
Regin nevytváří botnet a nesnaží se zcizovat třeba hesla k internetovému bankovnictví. Má to naznačovat, že maskování je prioritou, cílem byly instituce, tvůrcům nešlo o to vydělat okrádáním běžných uživatelů. The Register spekuluje, že protože nákaza se prakticky nevyskytuje v USA a Velké Británii, mohlo by jít o dílo americké nebo britské tajné služby.

Vietnam, Indie a Indonésie budou novým významným zdrojem útoků DDoS. Tyto útoky budou vycházet především z infikovaných smartphonů. Tolik alespoň prognóza Shawn Marck; aktuálně útoky DDoS vycházejí prý hlavně z USA, Ruska, Číny a Německa.

Trojský kůň Citadel, který se pokouší především krást hesla k internetovému bankovnictví, se objevil v nové variantě. Ta je specializovaná tak, aby po nákaze počítače rozpoznala, zda oběť nepoužívá nějaký z častějších správců hesel. Identifikuje spuštění tohoto programu a odposloucháváním kláves ukradne heslo hlavní.

PayPal opravil kritickou bezpečnostní zranitelnost umožňující vzdálené spuštění kódu Stalo se to nicméně až 18 měsíců poté, co byla provozovateli systému chyba reportována. Výzkumníci ze společnosti Vulnerability Lab uvádějí, že zranitelnost byla v samotné webové aplikaci/API a zneužít šla prostě jako příkazový řádek z adresního řádku webového prohlížeče.
Demonstrace zranitelnosti – video na YouTube

Ruská bezpečnostní společnost Dr.Web tvrdí, že malware se dokonce na některých mobilních zařízeních s Androidem vyskytuje nachází už předinstalován. Malware Becu v podobě souboru Cube_CJIA01.apk byl prý objeven v systémovém adresáři, je operačním systémem podepsán a má přidělena veškerá potřebná oprávnění. Funguje de facto jako součást firmwaru a lze běžnými prostředky velmi obtížně odstranit (a navíc při tom hrozí ztráta veškerých uložených informací). Becu především lape SMS. Objeven byl na levných smartphonech UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 a ALPS H9500.

V listopadu Microsoftem opravená kritická chyba v Internet Exploreru (CVE-2014-6332) je již aktivně zneužívána. Výzkumníci společnosti Eset upozornili, že podvodníci např. kompromitovali populární bulharský zpravodajský web a pomocí příslušného exploitu pak servírovali návštěvníkům malware. A to ještě zneužití nebylo ani zahrnuto do sad typu Blackhole. Předpokládá se, že pro útočníky je tato zranitelnost velmi zajímavá, protože umožňuje obejít i např. sandbox (Enhanced Protected Mode) v Internet Exploreru 11.

Méně než třetina společností drží své virtualizační servery ve firmě a spravuje je jejich vlastní IT personál. Vyplývá to z průzkumu Kaspersky Lab mezi 3 900 IT profesionály v 27 zemích, včetně ČR. 29 % z dotazovaných firem má stroje fyzicky v místech svého podnikání a spravují je interní zaměstnanci. 17 % spoléhá zcela na služby třetích stran. Zhruba polovina využívá kombinaci obojího.

Podle odpovědí firem, které nějakou formu virtualizace využívají, je poměr služeb či aplikací na virtuální a fyzické infrastruktuře následující:

• E-mail a aplikace pro komunikaci – 68 % používá virtuální infrastrukturu
• Databázové aplikace – 65 % používá virtuální infrastrukturu
• Platformy CRM – 65 % používá virtuální infrastrukturu
• Aplikace pro finanční správu a účetnictví – 56 % používá virtuální infrastrukturu

Zdroj: tisková zpráva společnosti Kaspersky Lab

Kartový systém FollowMe Embedded od společnosti Ringdale je k dispozici pro multifunkční tiskárny OKI řad MC700, MB700 a ES94x5 s platformou Smart Extendable Platform (sXP). Řešení poskytuje uživatelské rozhraní pro zabezpečený tisk, řízení práv tisku jednotlivých uživatelů i přiřazování nákladů na tisk.

Zdroj: tisková zpráva společnosti OKI

Sophos oznamuje rozšíření svého portfolia produktů o nové možnosti zabezpečení serverů, které budou dostupné pro zákazníky služby Amazon Web Services (AWS). Nový Sophos Secure OS kombinuje operační systém CentOS s předinstalovanou ochranou před malwarem v jediném AMI (Amazon Machine Instance). Kromě toho přichází Sophos nově také s možností testování svých řešení pro zabezpečení koncových bodů pomocí administračního nástroje Sophos Enterprise Console, které bude dostupné v rámci programů AWS Test Drive.

Zdroj: tisková zpráva společnosti Sophos

AVG oznámila prodloužení obchodního partnerství s Alcatel Onetouch.

Zdroj: tisková zpráva společnosti AVG

IBM představila Verse, řešení podnikové komunikace a spolupráce. Bezpečnostní prvky jsou založeny na cloudové platformě SoftLayer.

Zdroj: tisková zpráva společnosti IBM

Na téma zabezpečení na ITBiz viz také:
Ruský server pirátsky zveřejnil záběry z tisíců kamer ve světě
V Česku je na dotyčném serveru evidováno 75 kamer, například z Prahy, Brna či Děčína. Ze Slovenska jich je 20.