SAMSUNG_112021 SAMSUNG_112021 SAMSUNG_112021 Advertisement

Vírusový radar: Leto kyberzločinu / Odpočúvanie vlád, kradnutie kreditných kariet a útoky aj na naše vládne úrady

Bezpečnosť
1
Ako všetci na Slovensku a vlastne po celom svete aj „eseťáci“ a naši výskumníci využili lockdownové uvoľnenia a oddýchli si po náročných mesiacoch na letných dovolenkách. To však neznamená, že sme úplne zaháľali. Aj počas leta sme dokončili niekoľko výskumov, ktoré odhalili množstvo závažných incidentov, taktík kybernetických zločincov či zneužití softvérových zraniteľností. Najvýznamnejší publikovaný výskum (bez akejkoľvek skromnosti) je príspevok našej výskumníčky Zuzany Hromcovej na americkej konferencii BlackHat USA o nových hrozbách pre webové servery v podobe odpočúvania vlád či útokov na platobné transakcie.

Počas posledných mesiacov výskumníci Zuzana Hromcová a Anton Cherepanov objavili desať doposiaľ nezdokumentovaných rodín malvéru, ktoré sú implementované ako škodlivé rozšírenia pre webový server Internet Information Services (IIS). Táto rôznorodá skupina škodlivého kódu odpočúva komunikáciu servera a manipuluje s ňou. Cieľom je špehovanie vládnych e-mailových schránok, online transakcií v internetových obchodoch, ako aj pomoc pri distribúcii malvéru. Tento rok sa šírilo najmenej päť IIS backdoorov prostredníctvom zneužitia zraniteľnosti v e-mailových serveroch Microsoft Exchange. O tejto zraniteľnosti som písal v jednom z predchádzajúcich stĺpčekov.

Medzi obeťami týchto hrozieb boli vlády v juhovýchodnej Ázii a desiatky spoločností z rôznych priemyselných odvetví, ktoré sa nachádzajú najmä v Kanade, Vietname a Indii, ale aj v USA, na Novom Zélande, v Južnej Kórei a ďalších krajinách.

Naša hĺbková analýza sa špecificky zamerala na tri konkrétne hrozby. IIStealer – trójsky kôň odpočúvajúci transakcie servera s cieľom ukradnúť informácie o platobných kartách. IISpy – backdoor schopný zaistiť dlhodobú špionáž na napadnutých serveroch. A do tretice IISerpent – trójsky kôň používaný na manipuláciu s hodnotením webových stránok tretích strán (tzv. SEO).

Samozrejme, Zuzana má aj niekoľko rád, ako webové servery čo najlepšie ochrániť: používanie jedinečných, silných hesiel a viacfaktorovej autentifikácie na administráciu IIS serverov, pravidelnú aktualizáciu operačného systému, používanie brány firewall pre webové aplikácie či nasadenie endpoint bezpečnostného riešenia pre server. A pravidelná kontrola konfigurácie IIS servera s cieľom overiť, či sú všetky nainštalované rozšírenia legitímne. Ak vás téma zaujala, rozsiahly výskumný príspevok s názvom Anatómia natívneho IIS malvéru je dostupná v anglickom jazyku na našej stránke WeLiveSecurity.com.

Naši kolegovia v americkom San Diegu zas v júli ostro sledovali útoky gangu REvil na dodávateľský reťazec spoločnosti Kaseya, ktorá vyrába IT management softvér, a prostredníctvom neho zas na jeho používateľov. Spolu ich malo byť prinajmenšom 1500. Po infikovaní servera  ransomvér zatvoril administrátorské prístupy a začal so šifrovaním dát. Po dokončení šifrovania následne od obete požadoval zaplatenie výkupného.

Na rozdiel od iného známeho útoku cez dodávateľský reťazec SolarWinds tentoraz cieľom útočníkov nebola kybernetická špionáž, ale starý dobrý cash. Nakoniec sa však spoločnosti Kaseya podarilo dostať k dekryptoru na spomínaný ransomvér, ktorým si mohli obete šifrované dáta odomknúť. Podľa vyjadrenia spoločnosti ho nezískali zaplatením gangu kybernetických kriminálnikov.

A do tretice sa naši výskumníci v Bratislave a kanadskom Montreale pozreli na cielenú phi­shingovú kampaň, ktorá útočila na slovenské vládne úrady od februára tohto roka. Medzi nimi bol aj malvér priživujúci sa na názve Národného bezpečnostného úradu. Za týmto útokom stála neslávne známa skupina APT29 (Dukes, Nobelium, Cozy Bear). Tá istá skupina, ktorá nesie zodpovednosť aj za incident SolarWinds v USA.

Útoky prebiehali prakticky počas celého tohto roka a cieľom neboli iba Slováci – cielili na diplomatov a think-tanky až v 13 európskych krajinách. Konzistentne pritom zneužívali softvér na emuláciu útokov CobaltStrike.

Ako vidieť, keďže ani kybernetickí útočníci si neurobili letnú prestávku, úplne si ju nakoniec nemohli urobiť ani naši výskumníci. A tento mesiac, keď sa očakáva, že sa vlna s vlnou stretne, vám okrem bezpečného surfovania želám pevné zdravie. Verím, že rovnako ako my pomáhame technológiami zvládnuť kybernetické infekcie, aj vy ste dali vášmu imunitnému systému ten najlepší manuál na zvládnutie covidu v podobe očkovania.

 

Branislav Ondrášik, ESET

Všetky autorove články

1 komentár

Očkovanie zahusťuje krv, nechceme dostať trombózu alebo zgegnúť :( reakcia na: Vírusový radar: Leto kyberzločinu / Odpočúvanie vlád, kradnutie kreditných kariet a útoky aj na naše vládne úrady

16.10.2021 17:10
Očkovanie zahusťuje krv, nechceme dostať trombózu alebo zgegnúť :( Ľudia, veď sa už zobuďte, koľkí na to už doplatili životom? My sa očkovať nedáme, máme zdravý rozum, videli sme v televízií reportáže o trombóze, či zápale srdcového svalu z očkovacej látky. A čo, ak to chytí práve nás?
Reagovať

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať