Zodpovědnost za krádeže virtuálních měn. Nový malware: Shamoon a Citadel. V Číně má být až 90 000 počítačových podvodníků. Hacknut (opět) Reuters a AMD. Následuje pravidelný čtvrteční bezpečnostní přehled.
Společnost Trusteer upozorňuje na akci, která směřuje proti mezinárodním letištím. Výsledek má podobu zneužití MiB (Man-in-the-Browser, tj. ovládnutí prohlížeče). Pokus o získání přístupových práv k interním aplikacím letišť probíhá přes malware zvaný Citadel. Tímto postupem byly ohroženy především virtuální privátní sítě. Dotčené letecké společnosti a vládní agentury vesměs jako reakci zakázaly vzdálený přístup ke svým kritickým aplikacím. Malware fungoval tak, že dokázal zjistit a zneužít nejen samotné přístupové jméno a heslo, ale i jednorázový autorizační kód.
Ukazuje se, že při zranitelnosti koncových bodů je problém uchránit citlivé systémy, i když se používají další bezpečnostní technologie – ostatně na podobném principu jako Citadel fungují např. bankovní botnety Zeus a SpyEye.
Zdroj: HelpNet Security
Kybernetická kriminalita je v Číně, jak se zdá, opravdu masovou záležitostí. Na temné straně síly funguje snad až 90 000 lidí. Jenže zatímco my logicky věnujeme pozornost především internetovým útokům, které z Číny míří ven, současně je jimi prý každoročně tak či onak postižena až čtvrtina uživatelů Internetu v zemi. Místní ekonomika kvůli tomu zaznamenává astronomické ztráty. Takový je alespoň závěr vědců z California University. Na rozdíl od západních zemí čínská podzemní internetová ekonomika mnohem více používá i oficiálních komunikačních kanálů, nabídky se zveřejňují na veřejně přístupných internetových fórech, inzerují se prostřednictvím místního majoritního vyhledávače Baidu atd.
Zdroj: The Register
Poznámka: Trochu otázka je, co znamená být postižen kybernetickou kriminalitou. Asi se tím nemyslí spamy, které projdou přes filtr a je třeba je mazat ručně, pak by oběťmi byli všichni všude. Výše uvedený výzkum ovšem trochu vágně uvádí, že zahrnuje třeba i ztráty výkonu v důsledku toho, že ovládnutý počítač provádí i další činnosti atd. Tj. nejedná se (např.) výhradně o peníze ukradené z bankovních účtů nebo virtuálních měn.
Další významná firma se stala objetí narušení vlastních systémů, tentokrát jde o výrobce procesorů AMD. Skupina útočníků vystupující pod jménem r00tbeersec dokázala ovládnout oficiální blog AMD fungující na platformě WordPress. Ukradena byla zřejmě hesla asi 200 registrovaných uživatelů, ta však již byla zneplatněna. Ironií je, že pro rozlámání hesel získaných původně v zašifrované podobě byl prý použit grafický čip AMD Radeon. Vážnější důsledky by incident pro AMD ale zřejmě mít neměl.
Zdroj: SecurityNewsDaily
Symantec a izraelská bezpečnostní firma Seculert hlásí nový malware napadající systémy energetických firem – Shamoon. Možná právě tento kód způsobil, že bylo nutné odstavit systémy ropné společnosti Saudi Arabian Oil, ačkoliv samotné dodávky ropy tím údajně ovlivněny nebyly. Shamoon některými vlastnostmi připomíná kód Flame, ale tyto podobnosti jsou spíše nepřesvědčivé (alespoň Kaspersky Lab např. o příbuznosti pochybuje). Spíše jde o imitaci.
Shamoon na současný nenápadný malware vykazuje neobvyklé chování, přepisuje totiž spouštěcí sektor MBR tak, že počítač následně nenobootuje. Kód je tudíž prvoplánově destruktivní a odhalí se de facto sám. Přitom malware se předtím šíří i sítí a jako špionážní software odesílá informace řídicímu serveru. Funguje tedy „divně“, do hlavy jeho tvůrcům ovšem pochopitelně nevidíme…
Zdroj: ZDNet, The Register
Google ještě zvyšuje odměny za nalezení exploitů pro prohlížeč Chrome. Už letos Google na své soutěži Chromium v rámci soutěže Pwn2Own nabídl za předvedení zranitelnosti v Chrome až 60 000 dolarů s tím, že firma byla ochotna celkem vynaložit částku až 1 milion dolarů. Nyní se tento celkový cenový fond ještě zdvojnásobuje. Zvýšeny byly i odměny za kompromitaci Chrome pomocí chyb v softwaru třetích stran, včetně např. operačních systémů Microsoftu.
Zdroj: ZDNet
FBI údajně intervenovala v Bílém domě, aby firmy jako Facebook, Google, Microsoft a Twitter ve svém softwaru byly povinné ponechávat zadní vrátka umožňující (na příkaz soudu) odposlouchávání komunikace. Odpůrci na to namítají, že podobné díry by potenciálně aplikace učinily náchylné i k jiným útokům.
Zdroj: SecurityNewsDaily
Agentura Reuters se skutečně nemůže zbavit smůly. Tento měsíc byla hacknuta již potřetí. Tentokrát se zde objevila falešná zpráva o smrti Saud al-Faisala, ministra zahraničí Saudské Arábie, i když byla velmi rychle zase odstraněna. Postižen byl opět blog systému Reuters; zda šlo znovu o nějaký problém se systémem WordPress není známo. Politicky se podobně jako v minulých případech dává incident do souvislosti s občanskou válkou v Sýrii (Saudská Arábie se zde též angažuje).
Zdroj: CNet, The Register
O předcházejících dvou útocích viz: Bezpečnostní přehled: Útok pomocí RTF souboru.
Oracle vydal mimořádnou opravu zranitelností, které byly zveřejněny na konferenci BlackHat.
O konferenci viz také: Black Hat 2012 přinesl Stephensona, kybernetické zbraně i odvetné útoky
Společnost jinak své záplaty uvolňuje ve čtvrtletních cyklech. Nynější oprava databázového serveru se týká možnosti zvýšení oprávnění, samotní uživatelé aplikaci tímto způsobem ohrozit nemohou. Zneužití nelze podle všeho provést ani vzdáleně. Exploit je nicméně již ve volném oběhu, doporučuje se proto aktualizovat databázi Oracle 10.2.x a 11.1.x.
Zdroj: The Register
Adobe musela týden po své pravidelné dávce záplat (2. úterý v měsíci, jako Microsoft) vydat novou mimořádnou opravu. Jedná se o aktualizaci APSB12-19 pro Flash Player a Adobe AIR. Opraveno je 6 chyb, z toho 5 je hodnoceno jako kritické. Postiženy byly verze softwaru napříč platformami.
Zdroj: Adobe
Máme zde zajímavý spor týkající se odpovědnosti vydavatele a dealera virtuální měny. Čtyři uživatelé žalují provozovatele serveru Bitcoinica, kde došlo k bezpečnostnímu průniku, o 460 000 dolarů. Na webu bylo možné převádět bitcoin na dolary. Samotná kauza je poměrně komplikovaná, nicméně zajímavé bude sledovat, jak se justice postaví k virtuální měně – jinak řečeno, zda jí přisoudí obdobný statut jako měnám produkovaným centrálními bankami.
Zdroj: The Register
V červenci byl už třetí měsíc po sobě celosvětově nejrozšířenější hrozbou malware INF/Autorun s globální mírou infekce 5,46 %, v Evropě pak obsadil druhou pozici s 3,72 %. Na druhé příčce ve světě se umístila hrozba HTML/ScrInject.B s podílem 3,37 %, která zároveň dominovala evropskému žebříčku s celkovým podílem 4,50 %. Škodlivý kód Win32/Conficker zaujal globálně třetí místo s 3,29% podílem, zatímco malware HTML/Iframe.B (3,52 %) obsadil tuto pozici v Evropě.
Zdroj: tisková zpráva společnosti Eset