Postřehy z bezpečnosti: hacktivista zveřejnil data kyberšpionážní společnosti

11. 8. 2014
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů se podíváme na 40 GB dat společnosti Gamma Group, která stojí za špionážním softwarem FinFisher, exploit pro Symantec SEP, techniky komunikace backdooru, možnosti infikace spamerů, kritickou XML chybu ve WordPressu a Drupalu, krádež 1,2 miliardy přihlašovacích údajů a další.

Gamma Group International je britská společnost, která vyvíjí software používaný ke špionáži počítačů v zemích jako Amerika, Německo, Rusko, Irán a tak podobně. O jednom z jejich hlavních produktů jste možná již slyšeli. Je jím FinFisher/FinSpy, který drží krok s moderními postupy pro maskování v systému, infiltrování, vzdálené administraci, či hledání dat. Umí zaznamenat data nejen z webových formulářů, ale také pořídit záznam ze Skype hovoru, webové kamery a existuje i verze pro mobilní telefony. Není zatím jasné, kdo je hlavním odběratelem, protože stopy vedou jak k vládám, tak i soukromým organizacím.

Neznámý (nevím jak lépe ho definovat) hacktivista se naboural do systémů této společnosti a zveřejnil na Internetu 40 GB dat. Tento balík dat obsahuje spoustu interních dokumentů, důvěrných technických manuálů, zdrojové kódy programů a komunikaci s ostatními společnostmi. Víme díky tomu, že Gamma Group byla odběratelem služeb společnosti VUPEN, nejznámější to společnost na tvorbu 0day exploitů. Vztahy mezi společnostmi byly očividně blízké (na fotografii Martin Münch (Gamma Group) a Chaouki Bekrar (VUPEN)). Díky tomu bylo možné nainstalovat FinFisher téměř na jakýkoliv systém bez povšimnutí (nulová detekce antivirovým programem je téměř standard).

Dokumenty také popisují produkt s názvem FinFly ISP, umožňující zachytit internetový provoz a simulovat jakoukoliv internetovou stránku a vložit do ní škodlivý malware pro infikování počítačů. Pak tu máme dešifrování Silent Circle (nepotvrzené), TrueCryptu, Bitlockeru a spousty dalšího softwaru. Ceník produktů je přiložen :) Podrobnější článek rozebírající data obsažená v balíku najdete zdeNáš neznámý navíc připravil brožuru pro další hacktivisty a radí jim, jak začít s nabouráváním dalších podobných společností a vyzývá tím ostatní, aby bojovali proti kyberšpionáži.

Naše postřehy

Symantec Endpoint Protection obsahoval 0day chybu umožňující eskalaci práv. Nyní k videu ukazující úspěšnou eskalaci přibyl i použitý exploit. Objeven byl výzkumníky společnosti Offensive Security během penetračních testů. Společnost je známá především školením v oblasti bezpečnosti a distribucí Kali.

Zajímá vás, jaké techniky komunikace můžou využívat zadní vrátka nainstalovaná na vašem počítači? Poradit vám může studie společnosti TrendMicro.

Hacking spammers for dummies. Pěkný příběh na jehož začátku byl jeden spam a na konci exploitování administrace Zeusu, infikování počítače spammera a fotka z webové kamery.

Drupal i WordPress jsou náchylné na útok typu XML Quadratic Blowup. Jedná se o útok na XML parser způsobující spotřebování všech dostupných paměťových prostředků. Nebezpečí tohoto útoku tkví hlavně v jeho jednoduchosti. Podobným druhe útoku je Billion Laughs attack.

Původně jsem to chtěl dát do sekce pro pobavení, ale tam, jak si všimnete, je obrázek. Jde jen o to, že ministerstvo vnitra zadalo zakázku na dekódování šifrované komunikace pro policejní složky. Jako vždy se to zabalí do boje proti terorismu, organizovaném zločinu, dětské pornografie, či do jiné, veřejností akceptovatelné, výmluvě. Hodně štěstí a hlavně nezapomeňte na rozdíl mezi dešifrováním a dekódováním, páni odborníci. Pan Marian Kechlibar ze společnosti CircleTech navíc podle údajů ve článku asi nikdy neslyšel o ZRTP. Klidně mi napište, mám hotové řešení, kdy i když vám předám svůj telefon, tak nezjistíte zpětně nic. :)

Údajně největší krádež přihlašovacích údajů odhalila společnost Hold Security. Ve zprávě se mluví až o čísle 420 tisíc webových stránek a FTP účtů a celkem asi 1,2 miliardy hesel. Napadeny byly jak malé, tak velké cíle.

Kritická chyba byla objevena v posledních verzích Samby. Chyba se týká přetečení bufferu a spouštění kódu na vzdáleném serveru pod právy roota. Oprava chyby je ve verzi 4.1.11 a 4.0.21.

Google chce použít algoritmus pro ohodnocení míry bezpečnosti HTTPS na vašem webu/serveru a podle výsledku, jak dobře máte nastavené parametry HTTPS, zlepšit váš page rank. Cílem je, aby všechny weby přešly na HTTPS a tím se zvýšila bezpečnost vaší komunikace.

V dřívějším díle Postřehů jsme informovali o velmi pokročilém malwaru Uroboros/Turla. Výzkumníci společnosti Kaspersky tuto kampaň nazvali „Epic Turla“ a sestavili podrobnou technickou zprávu, kterou stojí za to přečíst.

Dvoufaktorovou autentizaci PayPalu lze obejít, avšak tuto chybu neopravili ani po dvou měsících. Tak Joshua Rogers zveřejnil kompletní postup i za cenu toho, že nedostane odměnu z programu Bug Bounty.

bitcoin_skoleni

Nová verze Cryptolockeru s názvem SynoLocker, se zaměřuje na NAS od společnosti Synology a opět vyžaduje platbu pro dešifrování. Podle zprávy společnosti exploit využívá chybu (CVE-2013–6955 a CVE-2013–6987) umožňující vzdálené spuštění kódu. Případu se podrobně věnujeme v článku SynoLocker: disková pole Synology terčem vyděračů.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.