Bezpečnostní přehled: MySQL.com hacknut, anonymizér útočníky neochránil

ČR se hned dvakrát objevila v článcích na zahraničních webech: zaznamenán byl růst Avastu, naopak je Česko ale také zmiňováno v souvislosti s akcí proti botnetu Kelihos. Web MySQL.com byl hacknut a šířil malware. Nejvíce útoků se provádí proti zranitelnostem v implementaci Javy. Následuje pravidelný čtvrteční bezpečnostní přehled.

Rusko bývá pokládáno za obvyklý zdroj kybernetických útoků. Místní subjekty ale bývají stejně tak i jejich obětí. Společnost Trend Micro nyní zveřejnila informace o operaci Lurid (jméno použitého trojského koně, jeho jiný název je Enfal), která se zaměřovala především na cíle v Rusku, Kazachstánu a Vietnamu, ať už šlo o firmy, vládní a jiné kosmické agentury nebo výzkumná centra. Servery, z nichž byly tyto útoky vedeny, se nacházely v USA a Velké Británii.

Příslušný trojský kůň byl poprvé zaznamenán už v roce 2009. Útok využíval dobře známé bezpečnostní zranitelnosti, nikoliv chyby zero day. Na infikovaných počítačích vyhledával určité dokumenty a odesílal je na řídicí servery. Obsah uniklých souborů není znám.

Zdroj: HelpNet Security

Microsoft Windows

Microsoft se chlubí likvidací dalšího botnetu jménem Kelihos. Tento malware kradl informace z kompromitovaných počítačů (včetně přístupových údajů k platebním službám) a byl schopen vygenerovat až 4 miliardy spamových zpráv denně.
Microsoft dosáhl soudního příkazu k likvidaci 21 adres spojených s provozem botnetu. Z pohledu ČR je zajímavé, že se v této souvislosti zmiňuje v ČR sídlící služba cz.cc (registrace domén zdarma, přičemž řada z těchto domén byla používána k podvodným činnostem). Řídicí servery byly od Internetu odpojeny dříve, než si útočníci stihli připravit náhradní cestu, takže nyní zřejmě nemají jak ovládat asi 42 000 počítačů, které byly součástí botnetu

Kelihos byl možná „potomkem“ botnetu Waledac, který byl zlikvidován na počátku tohoto roku. V USA byli obviněni John Doe (dotFREE sro, opět registrována v ČR) a Dominique Alexander Piatti (cz.cc). Tyto služby byly zřejmě spojené i s dalšími podvody, např. šířením falešného antiviru MacDefender.

Zdroj: The Register, HelpNet Security

lulzsec

V USA byli zatčeni údajně další členové skupin LulzSec a Anonymous. Např. 23letý Cody Andrew Kretsinger (přezdívka recursion) byl obžalován z podílu na útoku proti síti Sony. 47letý Christopher Doyon (Commander X) a 26letý Joshua John Covelli (Absolem, Toxic) jsou zase obviněni z DDoS útokům proti serverům města Santa Cruz a na systém PayPal.

Na vysledování útočníků se podíleli i provozovatelé anonymizační služby HideMyAss, kterou obvinění použili. Provozovatelé služby uvádějí, že postupovali na soudní příkaz a ostatně v podmínkách použití je jasně uvedeno, že anonymizace nesmí sloužit k nezákonné činnosti (ve smyslu britského práva – např. obcházení cenzury je tedy legální, útoky na weby nikoliv).

Zdroj: CNet, HelpNet Security

MacOS X Lion

Malware pro Mac OS X už funguje velmi podobně jako ten pro Windows. Tak se např. objevily útoky pomocí podvržených PDF dokumentů (zatím byly zachyceny soubory, které předstírají, že přinášejí informace o ostrovech Senkaku, na něž si činí nárok Čína i Japonsko), po jejichž otevření dojde ke spuštění škodlivého kódu. Příslušné útočné kódy byly nahrány do služby VirusTotal, možná si tedy útočník chtěl zkusit, nakolik stávající nástroje dokážou jeho malware odhalit.
Objevil se rovněž nástroj RAT, který umožňuje na dálku řídit kompromitované počítače s MacOS X.

Zdroj: The Register, CNet

Server MySQL byl hacknut a šířil malware. Použitými útočnými metodami byly cross-site scripting a SQL injection. Ukradená data se útočníci pokoušeli prodávat na podzemních fórech.
Z pohledu návštěvníků probíhal útok přes tag iFrame a automatické přesměrování na podvodné weby. Zde byla nasazena sada Black Hole, která slouží ke zneužívání zranitelností ve webových prohlížečích včetně plug-inů (Adobe Flash, Adobe Reader, Java…). Společnost Amorize tvrdí, že kvůli tomu se malware zřejmě dostal do počítačů řady návštěvníků webu MySQL.com, stačilo pouze zobrazit stránku. Malware dále komunikoval s počítači ve Finsku a na Floridě. Jedná se o další kompromitovaný open source projekt v posledních měsících; trochu ironické je, že šířený malware byl ovšem určen výhradně pro Windows.

Všem uživatelům MySQL.com, kteří zde mají účet a stejné heslo používají i jinde, se důrazně doporučuje heslo pro druhou službu ihned změnit.

Přístup s oprávněními root k serverům MySQL.com byl na prodej za 3 000 dolarů. Útočníci se však s tímto zřejmě spokojili a nepokoušeli se měnit zdrojové kódy MySQL v repozitářích.

Zdroj: BetaNews.com, HelpNet Security, CNet

Dánská bezpečnostní firma CSIS provedla analýzu příčin infekce počítačů v domácnostech i firmách. Zaměřila se na útoky typu drive-by download, ne tedy např. na kompromitování počítače poté, co si někdo z podvodného webu nainstaluje „kodek“ apod. Výsledek: Za nejvíce průniků byla odpovědná Java (37 %), následoval Adobe Reader (32 %) a Flash Player (16 %). Pouze za 10 % infekcí mohly zranitelnosti v Internet Exploreru, za 3 % v samotných Windows a ve 2 % případů byl na vině Apple QuickTime. Opět se potvrdilo, že největším rizikem dnes není chybovost operačního systému nebo samotných prohlížečů, ale plug-inů.
Velká většina zneužívaných zranitelností není typu zero day, k ochraně by stačilo nasazovat včas aktualizace.

Zdroj: The Register,

Další statistiky a celá studie zde.

Avast

Akvizice prováděné Avastem už stojí za pozornost i zahraničním webům. Nyní Avast koupil firmu ITAgents, která dodává zabezpečení pro Android a Symbian. Aplikace Theft Aware nabízí ochranné funkce pro případ krádeže zařízení, např. vzdálené řízení přístroje přes SMS. Finanční podmínky transakce nebyly zveřejněny. Avast chce uvést vlastní zabezpečení pro Android ještě letos. Produkt založený na Theft Aware se bude prodávat samostatně i jako součást komplexnější bezpečnostní sady.

Zdroj: CNet

Exit mobile version