Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 14 grudnia 2022 roku
Błędy w aplikacjach MyHyundai i MyGenesis pozwoliły hakerom na zdalne przejęcie kontroli nad samochodami takich marek jak: BMW, Honda, Hyundai, Genesis, Land Rover, Lexus, Nissan, Subaru i Toyota. Potrzebowali do tego jedynie adresu e-mail.
Newsy zostały podzielone na następujące kategorie:
Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.
Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.
Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.
Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.
Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.
Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.
Phishing
Trojan Schoolyard Bully kradnie dane do logowania do Facebooka
Kolejna odsłona kampanii złośliwego oprogramowania Schoolyard Bully Trojan, która od 2018 r. zebrała na swoim koncie ponad 300 000 ofiar.Według analityków z Zimperium zLabs malware podszywają się pod legalnie działające aplikacje edukacyjne. Złośliwe oprogramowanie wysyła do użytkownika prośbę o zalogowanie się przez konto Facebooka podstawiając w tym celu fałszywą stronę do złudzenia przypominającą prawdziwe okno logowania FB. Strona wyświetlana za pomocą WebView zawiera złośliwy kod w JavaScript. Po kradzieży danych uwierzytelniających tj. adres e-mail, hasło i numer telefonu wprowadzonych przez nieświadomego użytkownika - dane przesyłane są na skonfigurowany serwer Firebase C2.
Trojan jest w stanie wykraść z konta ofiary dane uwierzytelniające, identyfikator konta, nazwę użytkownika, nazwę urządzenia, pamięć RAM urządzenia i interfejs API. Oprogramowanie antywirusowe na Androidzie nie jest w stanie wykryć zagrożenia, gdyż malware wykorzystuje biblioteki natywne do ukrywania złośliwego kodu. Co ciekawe, kampania atakuje przede wszystkim wietnamskich czytelników.
Źródło:https://cyware.com/news/schoolyard-bully-trojan-steals-facebook-credentials-a1d20a7c
Złośliwe oprogramowanie
Cyberprzestępcy podpisali malware certyfikatem Microsoftu
Ostatnio Sophos poinformował, że wykrył w złośliwym oprogramowaniu typu ransomware sterownik jądra Windows, który był podpisany prawidłowym certyfikatem Microsoft WHDP. Windows wymaga, aby sterowniki miały wspomniane podpisy, by zapobiec nadużyciom i wyłączaniu zaawansowanych programów chroniących przed malware.
Sophos to firma specjalizująca się w produkcji oprogramowania zabezpieczającego. Warto śledzić odkrycia analityków tej firmy, nawet jak ich spostrzeżenia nie napawają optymizmem. Ich najnowsza analiza potwierdza obawy ekspertów, że hakerzy weszli na zupełnie nowy poziom i ich ataki będą od tej pory jeszcze bardziej skuteczne.
Źródło:https://news.sophos.com/en-us/2022/12/13/signed-driver-malware-moves-up-the-software-trust-chain
Wyciek danych
Kolejny atak ransomware Play?
Na początku grudnia Urząd Marszałkowski Województwa Mazowieckiego poinformował o cyberataku na infrastrukturę Węzła Regionalnego.Incydent cyberbezpieczeństwa polegał na zaszyfrowaniu systemu EZD (czyli Elektronicznego Zarządzania Dokumentami) i przesłaniu żądania okupu w zamian za odzyskanie dostępu do plików. Mamy tu więc do czynienia z klasycznym przykładem działania złośliwego oprogramowania typu ransomware.
Grupa cyberprzestępców ransomware Play sprawiła, że przez zaszyfrowanie zasobów EZD wszystkie systemy pracujące w ramach Węzła Regionalnego stały się niedostępne.
Na chwilę obecną Urząd Marszałkowski nie potwierdził wycieku danych, jednakże czas na zapłacenie okupu upływa 14 grudnia. Czy dziś dojdzie do ujawnienia danych?
W niedzielę 11 grudnia 2022 roku, w darknecie pojawiła się informacja, że grupa ransomware Play jest w posiadaniu ponad 557 GB danych z Antwerpii - drugiego największego miasta Belgii. Atak, który spowodował paraliż infrastruktury miasta został potwierdzony przez rzecznika urzędu miejskiego w Antwerpii. Od kilku dni mieszkańcy nie mogą ubiegać się o wydanie dokumentu tożsamości, a nawet o pozwolenie na parkowanie. Pracownicy w urzędach nie mogą korzystać z systemów informatycznych i są zmuszeni do wypełniania wniosków ręcznie.
Wyciek danych ma nastąpić 19 grudnia 2022 roku - do publicznej wiadomości mogą przedostać się dane osobowe, paszporty, dowody osobiste oraz dokumenty finansowe mieszkańców Antwerpii. Nie wiadomo czy zostało wysłane żądanie okupu.
Źródło:https://www.telepolis.pl/wiadomosci/bezpieczenstwo/play-ransomware-atak-mazowsze-antwerpia
Podatności
Czy PING może mieć podatność?
Ping, lagi to słowa, która zna każdy z graczy. Grasz w World of Tanks i masz lagi grając artylerią? Już wiesz, że równie dobrze możesz strzelać na ślepo, a Twoja drużyna może liczyć co najwyżej na friendly fire.
PING to podstawowe polecenie służące do diagnostyki połączenia sieciowego. Umożliwia pomiar liczby zgubionych pakietów oraz opóźnień w ich transmisji. PING to narzędzie diagnostyczne protokołu TCP/IP używane w wielu systemach operacyjnych. Co ciekawe, w jednym z tych systemów, PING doczekał się swojej podatności.
Informacja o krytycznej podatności w implementacji tak fundamentalnego polecenia jakim jest ping szybko stała się sensacją wśród specjalistów od cyberbezpieczeństwa na całym świecie. Zespół odpowiadający za system FreeBSD z pewnością nie chciał tego typu sławy.
Luka sklasyfikowana jako CVE-2022-23093 wykorzystuje sposób w jaki polecenie ping przetwarza nagłówki IP i ICMP odpowiadając na zapytania Echo Reply. Takie działanie prowadzi do przekroczenia bufora stosu, czego konsekwencją może być zawieszenie procesu ping, a nawet możliwość zdalnego wykonania kodu (RCE).
Podatność została załatana w najnowszych wersjach systemu FreeBSD.
Źródło:https://exatel.pl/wiedza/materialy/artykuly/krytyczna-podatnosc-w-implementacji-polecenia-ping-we-freebsd-moze-umozliwiac-rce
Ciekawostki
Jak zdalnie przejąć kontrolę nad samochodami różnych marek? Wystarczy jedna luka w aplikacji
Analitycy ds. cyberbezpieczeństwa z Yuga Labs odkryli podatność w aplikacji dla samochodów i przeprowadzili atak na potencjalnego użytkownika. Aplikacja ta należy do kategorii „smart vehicle” SiriusXM i co najciekawsze korzysta z niej wielu znanych producentów samochodów. Tak więc jedna luka w aplikacji pozwoliła na dostęp do samochodów takich marek jak m.in. BMW, Honda, Hyundai, Toyota, Nissan, Land Rover, Subaru, Lexus. Rozpoznałeś markę swojego samochodu? Nie martw się ta historia ma szczęśliwe zakończenie.
Aplikacje, które wykazały podatność to MyHyundai i MyGenesis. Oprogramowanie pozwala swoim użytkownikom na zlokalizowanie, uruchomienie, odblokowanie, wyłączenie, a nawet na użycie klaksonu czy włączenie świateł w swoich samochodach. Jak widać są to podstawowe funkcje, do których osoby niepowołane nie powinny mieć dostępu.
Analitycy zauważyli, że uwierzytelnianie użytkownika odbywa się za pomocą adresu e-mail, który jest dołączany do żądania. W celu dokładniejszego zbadania funkcjonowania aplikacji, założyli nowe konto na prawdziwy adres e-mail użytkownika, ale z dodatkowym znakiem specjalnym na końcu. Finalnie wysłali zapytanie HTTP do punktu końcowego Hyundai’a ze spreparowanym adresem e-mail w nagłówku JSON i prawdziwym adresem w środku pliku JSON. Sprawdzili, że mogą wykorzystać ten sposób do odblokowania testowego samochodu.
Ze względu na prostotę i niezwykłą skuteczność ataku bardzo szybko powstał skrypt napisany w języku Pythona. Aby program spełnił swoje zadanie potrzebny był jedynie adres e-mail ofiary.
Analitycy poinformowali firmy Hyundai i SiriusXM o wykrytych podatnościach problemach bezpieczeństwa. Obie firmy natychmiast załatały podatności.
Podatnością zagrożone były samochody marki Hyundai i Genesis wyprodukowane po 2012 roku oraz samochody następujących marek wyprodukowane po 2015 roku: Acura, BMW, FCA, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.
Aplikacje, które wykazały podatność to MyHyundai i MyGenesis. Oprogramowanie pozwala swoim użytkownikom na zlokalizowanie, uruchomienie, odblokowanie, wyłączenie, a nawet na użycie klaksonu czy włączenie świateł w swoich samochodach. Jak widać są to podstawowe funkcje, do których osoby niepowołane nie powinny mieć dostępu.
Analitycy zauważyli, że uwierzytelnianie użytkownika odbywa się za pomocą adresu e-mail, który jest dołączany do żądania. W celu dokładniejszego zbadania funkcjonowania aplikacji, założyli nowe konto na prawdziwy adres e-mail użytkownika, ale z dodatkowym znakiem specjalnym na końcu. Finalnie wysłali zapytanie HTTP do punktu końcowego Hyundai’a ze spreparowanym adresem e-mail w nagłówku JSON i prawdziwym adresem w środku pliku JSON. Sprawdzili, że mogą wykorzystać ten sposób do odblokowania testowego samochodu.
Ze względu na prostotę i niezwykłą skuteczność ataku bardzo szybko powstał skrypt napisany w języku Pythona. Aby program spełnił swoje zadanie potrzebny był jedynie adres e-mail ofiary.
Analitycy poinformowali firmy Hyundai i SiriusXM o wykrytych podatnościach problemach bezpieczeństwa. Obie firmy natychmiast załatały podatności.
Podatnością zagrożone były samochody marki Hyundai i Genesis wyprodukowane po 2012 roku oraz samochody następujących marek wyprodukowane po 2015 roku: Acura, BMW, FCA, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.
Źródło:https://www.instalki.pl/aktualnosci/bezpieczenstwo/57127-bug-w-aplikacji-hyundai-genesis-auta-dalo-sie-otworzyc-znajac-mail-wlasciciela.html
Złote rady Scoffera odnośnie bezpieczeństwa w sieci
Grafika: OpenClipart-Vectors z Pixabay.
Grafika z robotem: Scoffer (zezwalam na kopiowanie, ale bez wprowadzania zmian - proszę o wstawienie odnośnika do mojej strony)
