Bezpečnostní přehled: Hacknuté satelity a falešné antiviry na ústupu

Tvrzení, že trojan DuQu je dílem stejných autorů jako červ Stuxnet, není přijímáno jednoznačně. Společnost SecureWorks tvrdí, že podobnost se týká pouze malého podílu komponent, z nichž je DuQu vytvořen. SecureWorks např. soudí, že i obdobné použité falešné certifikáty mohli tvůrci malwaru získat řadou způsobů. Jediná další výraznější podobnost se má týkat techniky použité pro vsunutí vlastního kódu; ostatní použité techniky (ovladač jádra pro dešifrování a načtení šifrovaných DLL souborů, ukládání těchto souborů s koncovkou .PNF, způsoby skrývání rootkitu...) nemají být nijak specifické a najdeme je i ve zcela nepříbuzných vzorcích malwaru. Výzkumníci SecureWorks se domnívají, že DuQu rozhodně není Stuxnet 2.0 a přímý vztah mezi oběma kódy je v nejlepším případě neprokázaný. Liší se i cíle těchto hrozeb (manipulace s průmyslovými systémy vs. špionáž) a typy institucí, na něž jsou primárně zaměřeny.

HelpNet Security

O DuQu/Stuxnet 2.0 viz také jeden z minulých bezpečnostních přehledů.

Objevena byla chyba zabezpečení Facebooku, která umožňuje nahrát a sdílet spustitelné soubory. Facebook sice má bezpečnostní mechanismus, který připojení spustitelných souborů ke zprávě brání, to však lze obejít (mj. přejmenováním souboru). Přílohu pak lze poslat i někomu, s nimž se útočník „nepřátelí“.

Na druhé straně je ale otázkou, zda tato metoda má pro útočníky nějaký speciální přínos oproti nejčastějšímu postupu – totiž rozesílání odkazů na podvodné weby (které se již mohou pokusit provádět automatický útok typu drive-by download).

Bezpečnostní manažer Facebooku Ryan McGeehan tvrdí, že popsaný postup funguje zatím pouze jako proof-of-concept a v praxi s ní nesetkali. Firma navíc provádí antivirové skenování nahrávaných souborů. Poslaný spustitelný soubor se nespustí automaticky, musí to provést oběť (a pokud útočník použije soubor ZIP, je rozdíl jen v tom, že musí příjemce přimět oběť, aby provedl o jedno kliknutí víc). Navíc útočník může rovnou vložit odkaz na exe soubor umístěný někam na web, který zamaskuje pomocí služeb pro zkracování URL. McGeehan shrnuje, že příslušný problém tedy rizika nijak nezvyšuje. Facebook je ve stejné situaci jako provozovatelé dalších webových služeb a ochránit uživatele se snaží především další vrstvou zabezpečení – skenováním všeho, co protéká jeho sítí.

ZDNet

Kybernetická kriminalita zdaleka nemusí být tak výnosný byznys, jak se mnohdy uvádí. Čísla o podzemní ekonomice bývají často víceméně vycucaná z prstu. Bezpečnostní výzkumníci Microsoftu Dinei Florencio a Cormac Herley ve své nové knize Sex, Lies and Cyber-Crime Surveys uvádějí, že odhady (např. až miliarda dolarů ročně) bývají založeny na malých vzorcích respondentů, kteří navíc mohou přehánět. Ukazují, jak v odhadech i renomovaných institucí bývají často meziročně velké „skoky“, tedy jediná lež/chyba statistiky při malém vzorku dat naprosto vychýlí.

Ani všudypřítomný farmaceutický spam ve skutečnosti moc nevydělává, v rozsáhlejším sledovaném vzorku byly objeveny jen dvě skupiny, jimž tato aktivita za rok mohla vynést přes milion dolarů. Je tedy možné, že hlavním nákladem činnosti podvodníků jsou ve skutečnosti obranná opatření a útoky fungují trochu jako rozbíjení výloh – způsobí škodu, ale nepřinesou zisk (nebo jen zanedbatelný).

Test Mathewa J. Schwartze na InformationWeek odkazuje i na celou řadu dalších studií, které se snaží vyčíslit zisky z kybernetického zločinu.

InformationWeek

Studie Kaspersky Lab současně uvádí, že v posledních měsících poklesla i hrozba/výskyt falešných antivirů. Trend se dává do souvislosti se zesíleným zájmem FBI a dalších bezpečnostních složek stejně jako s narušením platebních sítí, které podvodníci využívali (např. v Rusku zřejmě prostřednictvím služby ChronoPay). Vyacheslav Zakorzhevsky z Kaspersky Lab nicméně zmiňuje i snahu podvodníků inovovat, vývoj nových falešných antivirů i metod jejich šíření. Nový falešný antivirus OpenCloud se např. snaží oběti namluvit, že zabezpečí i cloud – tento koncept/slovo je dnes zjevně natolik populární, že se ho chytají i podvodníci.

Zdroj: SC Magazine

V letech 2007 a 2008 se hackerům údajně podařilo několikrát na několik minut ovládnout satelity NASA (roku 2007 Landsat-7 a o rok později Terra AM-1). Mohli z nich stahovat data, ale také je řídit a údajně dokonce i nechat spadnout. Dokázali by satelit i jinak poškodit nebo manipulovat data, která vysílal. Zpráva má přídech jisté senzacechtivosti a skočila po ní ochotně i naše domácí nespecializovaná média včetně těch bulvárních.

Jako obvykle, určité indicie prý nasvědčují vazbě útočníků na Čínu a to včetně nějaké formy podpory z čínských oficiálních míst (zpráva vyšetřovací komise amerického Kongresu však připouští, že zde není žádný důkaz), ta však jakýkoliv podíl rovněž tak pochopitelně popírá. Čínští představitelé prohlašují, že jejich země není původcem podobných útoků, ale často naopak jejich obětí.

Není jisté, zda činnost satelitů byla nějak ovlivněna, podle všeho ale nikoliv. Mohlo jít o demonstraci možností (třeba s cílem následného vydírání nebo prostě pro uspokojení útočníka z vlastních schopností) i o zkoušku, která měla ověřit, zda by se podobný útok nedal provést i naostro např. v případě válečného konfliktu.

K satelitům se zřejmě útočníci dostali přes hacknutí řídicí stanice Svalbard na norských Špicberkách; příslušné počítače zde byly připojené k Internetu.

Problém je to podle všeho docela vážný a úspěchu útočníků nejspíš napomohlo nějaké zanedbání povinností a bezpečnostních zásad.

HelpNet Security

Společnost Microsoft odvolává tvrzení, že by do provozu botnetu Kelihos byla zapletena v ČR registrovaná firma dotFree nebo její majitel Dominique Alexander Piatti.

DotFree nabízí registraci domén v subdoméně cz.cc. Právník Richard Boscovich z divize Microsoftu zaměřené na potírání kybernetické kriminality nyní prohlásil, že dotFree byla sama spíše obětí a její služby zneužívaly automaty provozovatelů botnetu. Předešlé prohlášení Microsoftu bylo nezvyklé v tom, že se hned na počátku projednávání kauzy snažilo označit konkrétní viníky. Nyní bude Microsoft pokračovat v právním tažením proti 22 údajným provozovatelům botnetu, zatím identifikovaných jen na základě IP adresy. Piatti slíbil, že domény zneužívané podvodníky zruší nebo převede na Microsoft.

Akce Microsoftu proti botnetu Kelihos není ojedinělá. Loni se Microsoft takto zaměřil na botnet Waledac, letos na jaře na Rustock. The Register poznamenává, že Microsoft se tak snaží prezentovat jako hrdina bojující proti všeprostupující internetové kriminalitě.

The Register

O obvinění v ČR registrované firmy z podílu na provozu botnetu Kelihos se zde již psalo ve starším bezpečnostním přehledu.