Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 14 grudnia 2022 roku
Błędy w aplikacjach MyHyundai i MyGenesis pozwoliły hakerom na zdalne przejęcie kontroli nad samochodami takich marek jak: BMW, Honda, Hyundai, Genesis, Land Rover, Lexus, Nissan, Subaru i Toyota. Potrzebowali do tego jedynie adresu e-mail.
Phishing
Trojan Schoolyard Bully kradnie dane do logowania do Facebooka
Kolejna odsłona kampanii złośliwego oprogramowania Schoolyard Bully Trojan, która od 2018 r. zebrała na swoim koncie ponad 300 000 ofiar.Według analityków z Zimperium zLabs malware podszywają się pod legalnie działające aplikacje edukacyjne. Złośliwe oprogramowanie wysyła do użytkownika prośbę o zalogowanie się przez konto Facebooka podstawiając w tym celu fałszywą stronę do złudzenia przypominającą prawdziwe okno logowania FB. Strona wyświetlana za pomocą WebView zawiera złośliwy kod w JavaScript. Po kradzieży danych uwierzytelniających tj. adres e-mail, hasło i numer telefonu wprowadzonych przez nieświadomego użytkownika - dane przesyłane są na skonfigurowany serwer Firebase C2.
Trojan jest w stanie wykraść z konta ofiary dane uwierzytelniające, identyfikator konta, nazwę użytkownika, nazwę urządzenia, pamięć RAM urządzenia i interfejs API. Oprogramowanie antywirusowe na Androidzie nie jest w stanie wykryć zagrożenia, gdyż malware wykorzystuje biblioteki natywne do ukrywania złośliwego kodu. Co ciekawe, kampania atakuje przede wszystkim wietnamskich czytelników.
Złośliwe oprogramowanie
Cyberprzestępcy podpisali malware certyfikatem Microsoftu
Wyciek danych
Kolejny atak ransomware Play?
Na początku grudnia Urząd Marszałkowski Województwa Mazowieckiego poinformował o cyberataku na infrastrukturę Węzła Regionalnego.Incydent cyberbezpieczeństwa polegał na zaszyfrowaniu systemu EZD (czyli Elektronicznego Zarządzania Dokumentami) i przesłaniu żądania okupu w zamian za odzyskanie dostępu do plików. Mamy tu więc do czynienia z klasycznym przykładem działania złośliwego oprogramowania typu ransomware.
Grupa cyberprzestępców ransomware Play sprawiła, że przez zaszyfrowanie zasobów EZD wszystkie systemy pracujące w ramach Węzła Regionalnego stały się niedostępne.
Na chwilę obecną Urząd Marszałkowski nie potwierdził wycieku danych, jednakże czas na zapłacenie okupu upływa 14 grudnia. Czy dziś dojdzie do ujawnienia danych?
W niedzielę 11 grudnia 2022 roku, w darknecie pojawiła się informacja, że grupa ransomware Play jest w posiadaniu ponad 557 GB danych z Antwerpii - drugiego największego miasta Belgii. Atak, który spowodował paraliż infrastruktury miasta został potwierdzony przez rzecznika urzędu miejskiego w Antwerpii. Od kilku dni mieszkańcy nie mogą ubiegać się o wydanie dokumentu tożsamości, a nawet o pozwolenie na parkowanie. Pracownicy w urzędach nie mogą korzystać z systemów informatycznych i są zmuszeni do wypełniania wniosków ręcznie.
Wyciek danych ma nastąpić 19 grudnia 2022 roku - do publicznej wiadomości mogą przedostać się dane osobowe, paszporty, dowody osobiste oraz dokumenty finansowe mieszkańców Antwerpii. Nie wiadomo czy zostało wysłane żądanie okupu.
Podatności
Czy PING może mieć podatność?
Ciekawostki
Jak zdalnie przejąć kontrolę nad samochodami różnych marek? Wystarczy jedna luka w aplikacji
Aplikacje, które wykazały podatność to MyHyundai i MyGenesis. Oprogramowanie pozwala swoim użytkownikom na zlokalizowanie, uruchomienie, odblokowanie, wyłączenie, a nawet na użycie klaksonu czy włączenie świateł w swoich samochodach. Jak widać są to podstawowe funkcje, do których osoby niepowołane nie powinny mieć dostępu.
Analitycy zauważyli, że uwierzytelnianie użytkownika odbywa się za pomocą adresu e-mail, który jest dołączany do żądania. W celu dokładniejszego zbadania funkcjonowania aplikacji, założyli nowe konto na prawdziwy adres e-mail użytkownika, ale z dodatkowym znakiem specjalnym na końcu. Finalnie wysłali zapytanie HTTP do punktu końcowego Hyundai’a ze spreparowanym adresem e-mail w nagłówku JSON i prawdziwym adresem w środku pliku JSON. Sprawdzili, że mogą wykorzystać ten sposób do odblokowania testowego samochodu.
Ze względu na prostotę i niezwykłą skuteczność ataku bardzo szybko powstał skrypt napisany w języku Pythona. Aby program spełnił swoje zadanie potrzebny był jedynie adres e-mail ofiary.
Analitycy poinformowali firmy Hyundai i SiriusXM o wykrytych podatnościach problemach bezpieczeństwa. Obie firmy natychmiast załatały podatności.
Podatnością zagrożone były samochody marki Hyundai i Genesis wyprodukowane po 2012 roku oraz samochody następujących marek wyprodukowane po 2015 roku: Acura, BMW, FCA, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.
Złote rady Scoffera odnośnie bezpieczeństwa w sieci
Grafika: OpenClipart-Vectors z Pixabay.
Grafika z robotem: Scoffer (zezwalam na kopiowanie, ale bez wprowadzania zmian - proszę o wstawienie odnośnika do mojej strony)