Postřehy z bezpečnosti: hlasitý útočník

4. 6. 2018
Doba čtení: 4 minuty

Sdílet

V tomto díle se podíváme na útok pomocí zvuků, inovaci bankovních trojanů, dvě banky v ohrožení, autopilota vozu Tesla a nový botnet VPNFilter ohrožující bezpečnost na domácích zařízeních.

Denial of Service jak ho neznáte. Tento způsob se nezaměřuje na webové stránky a online služby, ale na klasické plotnové pevné disky. Výzkumníci z University of Michigan a Zhejiang University zjistili, že je možné fyzicky poškodit disk skrze přehrávání zvuku přímo z reproduktoru počítače. Jak toho dosáhnout? Jeden ze způsobů spočívá v tom, že se využije zvuk v rozsahu slyšitelném lidským uchem. Tento zvuk rozvibruje čtecí a zápisové hlavy nad určitou toleranci, což může dojít až k hardwarovému i softwarovému poškození. Zkrátka i počítače pracují hůře, když se na ně křičí.

Druhý způsob naopak využívá pro lidské ucho neslyšitelný ultrazvuk a zaměřuje se na šokové senzory disků. Ty běžně slouží k tomu, aby detekovaly potenciální nebezpečí (například pád) a zabránily poškození diskové plotny čtecí hlavou, která je v takových případech odsunuta a tím je znemožněné čtení nebo zápis na disk. Výzkumníkům se podařilo ultrazvukem šokové senzory přesvědčit o hrozícím nebezpečí a ty tak pozastavily činnost čtení a zápisu. Na testovaných počítačích s Windows 10 měl tento útok nečekaný efekt – operační systém po chvíli spadl do neslavné BSOD.

Naše postřehy

Spojené síly antivirových společností a vývojářů prohlížečů způsobily propad bankovních trojanů. Vytvořit malware, který by úspěšně vysál konto online bankovnictví, se začalo stávat natolik těžké, že kriminálníci přesunuli svou zlotřilou aktivitu k jiným ziskuchtivým způsobům zločinu. Objevují se například trojany, které v clipboardu změní číslo kryptopeněžky. Článek na serveru We live security sleduje skupinu, která vyvíjí inovativní techniku vykradení banky. Skupina je velmi aktivní a vydává updaty téměř každý den s výjimkou víkendů. Oběť jej chytí standardně v příloze e-mailu za pomoci jiného malware, který se postará o stáhnutí do počítače. Stáhne se známá aplikace (jako je 7Zip, FileZilla Server), která je ale upravena.

Běžná metoda kradení je ta, že jakmile trojan běží v paměti, na úrovni systému se napojí na ty procedury prohlížeče, které jsou zodpovědné za zpracování HTTP požadavků (po či před zašifrováním do HTTPS). U Firefoxu jsou tyto funkce k dispozici v DLL knihovně a Chromium je má schovány hluboko v binárce, kde jsou obtížně dohledatelné. Takže nebohá hackerská skupina musí vydat novou verzi viru pro každou verzi Chromia. Malware pak podvrhuje platnost certifikátů a vkládá do prohlížeče úplně jiný obsah. Protože však upravení paměti a změna funkcí je detekovatelná antivirem, přišli hackeři na jednoduchý trik, který zatím odolává pozornosti všech bezpečnostních opatření. Jakmile zjistí, že jste v prohlížeči na stránce banky, začne psát na klávesnici za vás – skočí vám do adresního řádku, odtamtud spustí škodlivý kód, který stránku banky pod rukama změní a pak tam vrátí původní adresu, abyste si ničeho nevšimli.

Dvě kanadské banky oznámily, že můžou být obětí útoku, poté co je kontaktovali dva útočníci. Ti tvrdili, že mají přístup k osobním informacím zákazníků, včetně přístupu k jejich účtům. Banka, jež má 7 milionů zákazníků, uvedla, že podle dostupných informací může být ohroženo přibližně 40 000 uživatelů a dodala, že je ochotná vrátit veškeré ztracené peníze klientům. Útočníci navíc požadovali výkupné a vyhrožovali, že zveřejní odcizené informace, pokud nedostanou zaplaceno. To, že se hackeři domáhali výkupného, může naznačovat, že informace, ke kterým se dostali, nebyly zase až tak cenné. Na závěr je v hlášení banky doporučení, aby si její klienti změnili přihlašovací údaje, pravidelně kontrolovali své účty a hlásili každou podezřelou aktivitu.

Policie vyšetřuje havárii vozu Tesla modelu S, které na parkovišti nabouralo do policejního auta. Řidič vozidla utrpěl drobná poranění a při výpovědi oznámil, že vozidlo řídil autopilot. Mluvčí společnosti Tesla uvedl, že při používání autopilota by měl řidič neustále udržovat ruce na volantu a dohlížet tak na kontrolu vozidla. Navíc autopilot je určený hlavně na vysokorychlostní silnice, kde je dobré značení pruhů. Společnost Tesla oznámila, že autopilot není určený k samostatnému řízení vozidla, ale především ke zvýšení bezpečnosti, kdy při potenciálním selhání řidiče dokáže zabránit nehodě. Bohužel si někteří řidiči myslí, že si koupili auto s řidičem, a ohrožují nejen sebe, ale i ostatní.

bitcoin_skoleni

Nová hrozba pojmenovaná jako VPNFilter, na kterou upozornila i FBI, postihla přes 500 000 domácích routerů a NAS zařízení. Mezi napadená zařízení patří výrobky společnosti Linksys, Mikrotik, Netgear, QNAP a TP-Link. FBI zároveň převzala kontrolu nad doménou toknowall.com vedoucí na C&C server a vydala doporučení pro uživatele zranitelných modelů, aby restartovali svá zařízení. FBI rovněž tvrdí, že autorem nového botnetu je ruská kyberšpionážní skupina APT28 (také známá jako Fancy Bear, Sofacy nebo Grizzly Steppe). Společnost Cisco dodává, že se pravděpodobně jednalo o přípravu útoku na Ukrajinu, protože právě tam směřovala největší snaha o získání botů. Ukrajinská tajná služba si myslí, že se jednalo o přípravu útoku na finále UEFA. Jak je vidno „zabezpečení“ domácích zařízení je nekonečné téma.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.