Postřehy z bezpečnosti: doba koronavirových kyberútoků

11. 5. 2020
Doba čtení: 5 minut

Sdílet

Uplynulý týden byl bohatý na zprávy o únicích dat, do zájmu útočníku se opět dostal WordPress, objevil se nový terminus technicus „koronavirový kyberútok” a radnice Prahy 3 se potýkala s následky útoku.

GoDaddy úspěšně napaden

Co se dozvíte v článku
  1. GoDaddy úspěšně napaden
  2. Pluginy pro WordPress v hledáčku útočníků
  3. Koronavirus je zlatý důl pro hackery
  4. Praha 3 se stále nevzpamatovala z kybernetického útoku
  5. Mozilla pro soukromí a ochranu před spamem
  6. Ve zkratce
  7. Pro pobavení

Říká se, že Velký bratr nás sleduje. Velký táta nás zase sleduje málo. Mluvíme tady o největším světovém registrátoru doménových jmen, GoDaddy, jehož servery byly v říjnu minulého roku prolomeny. Neznámý útočník získal ne zcela jasnou část přihlašovacích údajů k webhostingových službám registrátora, který tak po několik měsíců mohl poměrně nerušeně kořenit velkou část Internetu malwarem a špehováním.

Pokud jste jedním ze zasažených zákazníků, měl by vám již zřejmě dorazit e-mail s informacemi a doporučením, ať provedete pečlivý audit svých stránek, neskrývá-li se na nich nějaká neplecha. K tomu účelu můžete zadarmo využít jinak prémiové služby jako Express Malware Removal, které registrátor nabízí.

GoDaddy má asi devatenáct milionů zákazníků, což je přibližně polovina počtu důvěrných osobních údajů o pákistánských občanech, které také minulý týden unikly jedné telekomunikační službě.

To více než deset milionů uživatelů služby CAM4 bude pravděpodobně nyní vystaveno dost přesně zaměřeným útokům. Může za to únik dat z této platformy zaměřené na zábavu pro dospělé. Díky špatně nakonfigurovanému Elasticsearch serveru unikla databáze obsahující 7 TB osobních údajů uživatelů a členů platformy nabízející zábavu pro dospělé. Kromě informací jako e-mail, jméno nebo používané zařízení jsou v databázi i informace o sexuálních preferencích dotčeného, IP adresy, platební karty a informace o platbách nebo třeba záznamy z chatu. Nicméně “platících” bylo méně než 1 000.

Bezpečně se nemohou cítit ani uživatelé, kteří před placenou erotikou dávají přednost vzdělávání. Databáze uživatelů vzdělávací platformy Unacademy je k dispozici za 2 000 USD. Dostupné informace naznačují, že k samotnému úniku došlo někdy po dvacátém šestém lednu tohoto roku.

Pluginy pro WordPress v hledáčku útočníků

Každý správce WordPressu by se měl ujistit, že každý plug-in na jeho stránkách je aktualizovaný. Podle Wordfence se v poslední době výrazně zvýšila snaha zneužití neaktualizovaných plug-inů. Útočníci se převážně soustředí na cross-site-scripting. Podle Wordfence během posledního měsíce bylo zaznamenáno více než devět set tisíc napadených sítí z více než dvaceti čtyř tisíc různých IP adres.

Všechny útoky se snažily injektovat podobný škodlivý kód, a to za účelem přesměrování návštěvníků na své podvodné stránky a získání vzdáleného přístupu do administrace webu. Útoky se snaží zneužívat několika zranitelností napříč různými plug-iny, například Easy2Map či BlogDesigner. Škodlivý JavaScript je navržen tak, aby přihlášenému uživateli podstrčil do záhlaví aktuální WordPress motivu škodlivý kód s cílem získat vzdálený přístup na web.

Koronavirus je zlatý důl pro hackery

Doslova záplavu koronovirového malwaru zaznamenali výzkumníci společnosti Check Point. Zaregistrovali téměř 70 000 domén, které jsou spojené s onemocněním Covid-19, a více než 4 000 domén, jež souvisejí s „koronavirovými" kompenzačními bonusy a stimulačními balíčky. Jejich registrace začaly stoupat teprve začátkem března, tedy v době, kdy se problém začal stupňovat v Evropě, přičemž maximum zaznamenaly v polovině března. Počet útoků naopak stále stoupá.

Experti Check Pointu tvrdí, že v současnosti průměrně každý den proběhne 14 000 „koronavirových" kyberútoků, což je šestkrát více než byl denní průměr v předchozích dvou týdnech. Zhruba 94 % „koronavirových" útoků během posledních čtrnácti dnů byl formou phishingu, ve třech procentech se jednalo o mobilní útoky. Množí se také zneužívání populárních konferenčních služeb, jako je třeba Zoom, jejichž použití výrazně stouplo s tím, jak začali lidé pracovat z domova. Není proto divu, že mnoho odborníků se snaží přispět k ochraně uživatelů.

COVID-19 Cyber Threat Coalition (koalice složená z dobrovolníků, velkých firem, firem zabývajících se bezpečností a antivirových firem) zveřejňuje seznam URL a domén, které mají souvislost s útoky na zdravotnictví, vládní organizace, velké společnosti nebo souvisí útoky zneužívající současnou pandemickou situaci. Seznam URL nyní obsahuje přes 13 000 položek a seznam domén přes 12 000. Tyto seznamy lze použít jako blocklisty v systémech typu DNS sinkhole, firewallech, bezpečnostních branách a dalších bezpečnostních řešeních. Individuální uživatelé mohou použít seznam domén (domain blocklist) k ochraně svých počítačů. Stačí přidat ke každé doméně adresu 127.0.0.1 a výsledek připojit do HOSTS souboru.

Praha 3 se stále nevzpamatovala z kybernetického útoku

Dne 7. dubna se ocitla radnice Prahy 3 pod kybernetickým útokem. Musela se kompletně odpojit od Internetu a dodnes nejsou některé technologie plně funkční. Ani skoro měsíc od bezpečnostního incidentu. Malwarová nákaza vyřadila systémy třetí pražské městské části takovým způsobem, že IT technici raději 7. dubna na celý den odstřihli radnici od Internetu a druhý den byla radnice pro veřejnost uzavřena z technických důvodů.

Ještě ani téměř měsíc po nákaze stále nejsou stále systémy žižkovské radnice v plné formě. Nefunguje třeba elektronická úřední deska, údajně radnice nedokáže ani například generovat spisové značky k novým případům.

Mozilla pro soukromí a ochranu před spamem

Společnost Mozilla pracuje na nové službě s názvem Private Relay, která uživatelům umožní generovat jednorázové e-mailové aliasy pro vyplnění do různých online formulářů a skryje tak jejich opravdový e-mail. Služba pak zprávy, které jsou zaslány na uživatelem používané aliasy, automaticky přepošle do jeho opravdové schránky. Pokud pak na nějaký z aliasů začne chodit nevyžádaná pošta, může ho uživatel jednoduše vypnout nebo úplně zrušit. Služba Private Relay bude nabízena formou doplňku pro prohlížeč Firefox.

bitcoin_skoleni

V současné chvíli je ve stádiu uzavřeného beta testování, do veřejné beta verze by se měla dostat do konce roku. Mozilla se tímto krokem stává druhým velkým hráčem připravujícím tuto službu, jako první oznámila podobnou službu společnost Apple v roce 2019 pro svůj login systém „Sign in with Apple".

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.