Postřehy z bezpečnosti: nelegální těžba kryptoměn

9. 9. 2019
Doba čtení: 3 minuty

Sdílet

V dnešním díle postřehů se podíváme na malware těžící kryptoměny, úniky dat nejen ve Foxit Software, varování expertů před zákeřnou SMS, chyby USBAnywhere a na další zajímavosti ze světa IT.

XMR malware těžící kryptoměny

Populární výzkumník z Akamai SIRT Larry Cashdollar oznámil, že pozoroval těžařský malware, který dříve napadal pouze zařízení internetu věcí založené na platformě ARM, jak útočí na zařízení typu Intel.

Výzkumník oznámil, že byl takto napaden jeden z jeho honeypotů na platformě Intel běžící na Linuxu. XMR malware byl optimalizován pro procesory Intel x86 (jak 32 tak 64bitový).

Malware se snaží připojit na SSH na portu 22 a doručit sebe jako archiv typu gzip. Malware mimo jiné spustí shell skript pro komunikaci s řídícím serverem a zajistí svou persistenci pomocí položek v crontabu.

Únik dat ve Foxit Software

Pokud máte online účet u firmy Foxit Software, měli byste okamžitě změnit heslo, neboť došlo k úniku osobních dat a přihlašovacích údajů.

Foxit Software je firma, která je známá především díky svým produktům Foxit PDF Reader a PhantomPDF, které jsou používány více než 525 miliony uživateli.

Z prohlášení firmy není jasné, zda jsou uniklá hesla chráněna robustním hash algoritmem se solením, aby se dala pouze těžko prolomit.

Podle blogu firmy uniklá data obsahovala e-mailové adresy, hesla, uživatelská jména, telefonní čísla, jména firem a IP adresy. Firma rovněž ujistila, že neunikla žádná data typu detailů platebních karet nebo jiných osobních údajů.

Chyby USBAnywhere na serverech Supermicro

Jednoduše zneužitelné chyby můžou i ne příliš vzdělanému vzdálenému útočníkovi dát neomezenou kontrolu nad serverem a jeho obsahem.

Ověřovací zranitelnosti v BMCs (baseboard management controllers) serverů Supermicro X9-X11 umožňují vzdálenému útočníkovi se jednoduše připojit k serveru a následně připojit jakékoliv virtuální USB zařízení dle svého výběru.

Po úspěšném připojení k serveru může útočník kromě exfiltrace dat také nabootovat server z nedůvěryhodného obrazu OS, nebo provádět přímé manipulace systému pomocí virtuální klávesnice a myši.

Únik dat zákazníků Yves Rocher

Mezinárodní kosmetická značka Yves Rocher zjistila únik dat milionů svých zákazníků prostřednictvím úniku dat třetí strany.

Výzkumníci z vpnMentor objevili nechráněný Elasticsearch server vlastněný firmou Aliznet, což je firma poskytující konzultační služby jiným velkým firmám jako IBM, Salesforce či Sephora.

Server obsahoval data o značce Yves Rocher včetně osobních dat dovolujících plnou identifikaci milionů jejích zákazníků. Vystavená data zákazníků zahrnovala jména, příjmení, telefonní čísla, e-mailové adresy, data narození a poštovní směrovací čísla.

Data dále zahrnovala objednávky včetně výše platby, identifikátoru měny, stavu doručení, obchod a jméno zaměstnance realizujícího danou objednávku.

Experti varují před zákeřnou SMS

Miliarda uživatelů Androidu může být manipulována ke změně síťového nastavení pomocí phishingového útoku založeného na SMS.

Kdykoliv poprvé vložíte novou SIM kartu do vašeho mobilního telefonu, operátor vám pošle zprávu OMA CP (Open Mobile Alliance Client Provisioning) zahrnující síťové nastavení (včetně případné HTTP proxy) pro připojení k datovým službám.

Kromě nastavení HTTP proxy OMA CP může obsahovat také následující nastavení:

  • server MMS zpráv
  • proxy adresa
  • domovská stránka a záložky prohlížeče
  • poštovní server
  • adresářové servery pro synchronizaci kontaktů a kalendáře

Vzhledem k tomu, že málo lidí kontroluje tato síťová nastavení, může být jejich zařízení mj. nastaveno na používání proxy serveru pod kontrolou útočníka, což následně útočníkovi umožní odposlouchávat nešifrovanou komunikaci.

Zvuková napodobenina šéfa

Kybernetičtí podvodníci podvedli firmu použitím syntetizovaného hlasu šéfa, který urgoval převod peněz na bankovní účet, který měl údajně patřit maďarskému dodavateli s tím, že bude následně proplacen.

Cílový účet však patřil podvodníkům. Takto firma přišla o sumu 243 000 dolarů.

Po zaplacení této částky se podvodný hlas šéfa ozval znova, ale tentokrát firma odmítla další částku zaplatit.

bitcoin_skoleni

Z uvedeného vyplývá, že v dnešní době, kdy se k podvodům začíná stále více používat i umělá inteligence, nelze věřit jednoduchému telefonátu nebo videu, ale že je nutné používat vícefaktorovou identifikaci.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.