Postřehy z bezpečnosti: Operace Red Signature

27. 8. 2018
Doba čtení: 3 minuty

Sdílet

V dnešním dílu se podíváme na supply chain attack provedený v Jižní Koreji, na open data à la Čína, na chybu v SSH, novou verzi jezevce a na přátelské pošťuchování mezi americkou vládou a Facebookem ohledně šifrovaných hovorů.

Analytici společnosti Trend Micro odhalili „supply chain attack“ nazvaný operace „Red Signature“, který cílil na organizace v Jižní Koreji. K útoku byl zneužit kompromitovaný update serveru poskytovatele řešení pro vzdálený přístup. Samotný kód, který se z update serveru šířil byl remote access trojan známý jako 9002 RAT.

Kód byl podepsaný platným, avšak ukradeným certifikátem. Kód, který byl ukryt v souboru update.zip, byl následně umístěn na server útočníka (207[.]148[.]94[.]157). Útočníci pak kompromitovali update server a nastavili ho tak, aby jejich „záplata“ byla doručena jen firmám s určitým IP rozsahem. Pokud tedy provedl kontrolu klient z určité IP adresy, byl mu podstrčen soubor update.zip ze serveru útočníka a následně byl na daném zařízení spuštěn.

Operace Red Signature

Pokud došlo k napadení systému, použili pak útočníci 9002 RAT ke stažení dalších nástrojů. Jednalo se například o nástroje k exploitování Internet Information Services (IIS) 6 WebDav, nástroj pro získání hesel z SQL databází, dsquery pro prohledávání objektů active directory, nástroj pro získání hesel uložených v prohlížeči a řadu dalších.

Naše postřehy

Čínská globální vývojářská firma Sungy Mobile, známá také jako GOMO, mohla přijít o informace týkající se padesáti a půl milionů zákazníků, především pak dětí. Nezávislý analytik vystupující pod pseudonymem „Flash Gordon“ našel tato data vystavena na portu 80 bez jakéhokoliv požadavku na přihlášení. Data se týkala uživatelů z 301 zemí s 273 různými jazyky a obsahovala e-mailové adresy, hesla chráněná bcryptem, data narození, pohlaví, IMSI a další. Nejednalo se však pouze o data zákazníků. Mezi „nabízenými“ daty byly i interní dokumenty, věci týkající se vývoje nebo informace o systémech. Stát se to v EU, tak by GDPR šiml dostal infarkt.

Minulý týden byla objevena zranitelnost (CVE 2018–15473) v OpenSSH včetně verze 7.7, jejíž zneužití umožňuje enumeraci uživatelů. Pokud útočník ve fázi „SSH2_MSG_USERAUTH_REQUEST“ zašle serveru specificky upravený packet, bude se odpověď lišit v závislosti na tom, jestli uživatel existuje nebo ne. Na základě tohoto rozlišení pak může útočník postupně zjišťovat, jací uživatelé na systému existují a jací nikoliv. Ke zranitelnosti existuje i „proof-of-concept“. Tento způsob enumerace uživatelů přes SSH je podstatně snazší než předchozí varianty, které byly založeny převážně na časovém rozdílu v odpovědích.

Electronic Frontier Foundation (EFF) vydala vylepšenou verzi jezevce na ochranu soukromí. Tento doplněk pro prohlížeče zvaný Privacy Badger blokuje trackery, které se na stránkách mohou nacházet a sledovat uživatelův pohyb po Internetu. Na rozdíl od běžných trackerů blokujících doplňků nespoléhá Privacy Badger na blacklistování, ale přináší vlastní heuristické rozpoznávání trackerů. Proto také ve starších verzích jezevec nezačal blokovat hned po nainstalování, nýbrž až po nějakém čase, ve kterém se „učil“ trackery rozpoznávat. Nyní však vývojáři přidali předpřipravené záznamy o trackerech, které získali návštěvou zhruba tisícovky nejnavštěvovanějších stránek, ze kterých jezevec získává zkušenosti, kterými disponuje hned po instalaci a zlepšuje tak ochranu uživatele od prvního momentu používání.

Americká vláda se snaží donutit Facebook k prolomení šifrování v telefonních hovorech prováděných skrze aplikaci Messenger. Případ, který není projednávaný veřejně, momentálně řeší federální soud v Kalifornii ve městě Fresno a týká se gangu MS-13. Spor vznikl poté, co Facebook odmítl vykonat soudní příkaz k odposlouchávání. Informaci předaly agentuře Reuters tři anonymní zdroje.

ict ve školství 24

Podobný spor vyvstal mezi FBI a společností Apple v roce 2016, kdy Apple odmítl odemknout iPhone patřící člověku odpovědnému za teroristický útok, při kterém zemřelo čtrnáct lidí. FBI od požadavku upustila poté, co jim telefon pomohla odemknout jiná společnost. Nutno dodat, že zatímco telefonní a video hovory skrze aplikaci Messenger disponují end-to-end šifrováním, běžné zprávy jsou v průběhu přenosu dešifrované pro marketingové a další účely a jejich odposlech je tedy naprosto bezproblémový.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdruženíCESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.