Bezpieczeństwo

Malware nie ginie, Lazarus czuwa

16 listopada 2017

Malware nie ginie, Lazarus czuwa

2009 rok. Wtedy, według „czynników rządowych” w USA miała się rozpocząć aktywność północnokoreańskich hakerów. Ich celem było uzyskanie dostępu do szeregu systemów w mniejszy lub większy sposób związanych z waszyngtońską administracją. Niekoniecznie po to, by siać zamęt – choć w opinii niektórych to właśnie kojarzona z Pyongyangiem grupa Lazarus ma stać m.in. za niedawną epidemią ransomware WannaCry, przypisywany jest jej także atak na naszą Komisję Nadzoru Finansowego. Spektakularne ataki to tylko ułamek ich „osiągnięć”. Najistotniejsze z punktu widzenia tego, co po angielsku nazywa się ładnie „nation sponsored cybercrime” jest znalezienie sobie wejścia do systemu i siedzenia tam tak cicho, żeby przypadkiem nikt nas nie zauważył…

Uśpiony malware

I wygląda na to, że Koreańczykom (przy założeniu, że grupa Lazarus to faktycznie podwładni Kim Jong-Una) całkiem nieźle się to udawało, przynajmniej w ostatnim czasie. Według najświeższego alertu wydanego wspólnie przez US-CERT i FBI wykryli oni aktywności kojarzonej z Lazarusem grupy znanej jako Hidden Cobra w wielu potencjalnie krytycznych lokalizacjach w sieci, związanych m.in. z przemysłem kosmicznym, telekomunikacyjnym i finansowym. Używane przez nich złośliwe oprogramowanie Fallchill to rozbudowany RAT (Remote Access Trojan, koń trojański pozwalający na zdalny dostęp do zainfekowanego urządzenia). W opinii autorów alertu fakt, iż Fallchill trafił na urządzenia w niemal 100 firmach/agendach rządowych dowodzi wcześniejszej infekcji innym, nieodkrytym uprzednio malwarem, wykorzystanym po okresie uśpienia w roli „droppera” kolejnego złośliwego kodu.

My też się bójmy. Na wszelki wypadek.

Dlaczego ma to być nasz problem? Choćby dlatego, że sieć nie zna granic. Udowodnił to przypadek Petya/NotPetya, gdzie „odłamkami” oberwała spora część Europy i nie tylko. To także określany pierwszą cyber-bronią Stuxnet, który – choć zaatakował jedynie wzbogacające uran wirówki w irańskim Natanz – został wykryty na komputerach w wielu częściach świata. Poza tym Lazarus/Hidden Cobra to tylko jednak z wielu grup korzystających na naiwności internautów. Wiara w to, że nas/naszej firmy nie warto przecież atakować, ociera się o dużą naiwność. Dlatego niezależnie od tego, czy boimy się Koreańczyków, nieprzerwanie warto pamiętać o:

  • nieklikaniu w linki w mailach od obcych, nieotwieraniu niezamówionych załączników
  • nie uruchamianiu makr w plikach Office jeśli nie mamy absolutnej pewności, że są ich niezbędnym elementem
  • uaktualnianiu systemu operacyjnego i używanych aplikacji
  • korzystaniu z oprogramowania skanującego ściągnięte z internetu pliki przed ich uruchomieniem
  • nieprzydzielaniu użytkownikom naszej sieci automatycznie dostępu do wszystkiego

Udostępnij: Malware nie ginie, Lazarus czuwa

Bezpieczeństwo

To nie jest mail od DHL!

5 października 2017

To nie jest mail od DHL!

O phishingu nigdy za mało tekstów. Tym bardziej, że – jak mawiał poeta – „Dziś prawdziwych wirusów już nieee maaa!”, czy jakoś tak. Dzisiaj, co warto powtarzać do znudzenia, malware instalujemy sobie sami, a skuteczny cyberprzestępca ma być przede wszystkim socjotechnikiem. Dlatego dziś na tapetę trafia phishing, udający mail od DHL.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost informacji o kolejnej kampanii phishingowej. Tym razem ofiary dostają „mail od DHL”, sugerujący – to ostatnio częsta sytuacja – oczekującą na nas domniemaną paczkę. W rubryce „nadawca” widnieje nazwa DHL Parcel (oczywiście adresat zespoofowany), zaś tytuł wiadomości brzmi „You Have a Package Coming! (Newegg Inc.)”. Nie nastawiajcie się jednak na tę konkretną nazwę, bowiem w innych kampaniach może być używana inna. Treść to informacja o paczce, terminie, w którym jest oczekiwana i oczywiście link do „obecnego statusu przesyłki”. Klikając w link instalujemy tzw. trojan droppera, otwierającego przestępcom dostęp do naszego komputera i możliwość instalacji kolejnych złośliwych modułów. O ile zawarty w mailu link jako zainfekowany oznaczają na chwilę publikacji 4 z 64 silników antywirusowych, to już plik, który w następnym etapie ściągamy, flaguje aż 36/60!

Edukujcie mniej świadomych!

Zapamiętajcie sami, pokażcie bliskim, wyedukujcie swoich mniej świadomych bliskich i/lub znajomych. Nie klikamy w linki w niezapowiedzianych mailach, jeśli spodziewamy się przesyłki, wchodzimy na stronę kuriera samemu wpisując adres i w odpowiednim miejscu podajemy numer listu przewozowego. O, ale przecież w tym mailu nie ma numeru listu! No właśnie…

Uważajcie. Jak zawsze. Choć akurat w tym przypadku, jeśli korzystacie z sieci Orange Polska, Wasz komputer dzięki CyberTarczy nie połączy się z serwerem przestępców.

Udostępnij: To nie jest mail od DHL!

Bezpieczeństwo

Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

21 września 2017

Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

Muszę się Wam przyznać, że po ostatnich dwóch tygodniach mam jakieś takie katastroficzne wizje. Generalnie jest źle, wszyscy nas śledzą, każdy chce zainfekować nasze komputery i nas wykorzystać w celach niecnych. Aha, a nasze dzieci w necie wpadają tylko na złych ludzi i fałszywe wiadomości. Taki jest efekt chodzenia na branżowe konferencje.

Zacznę od końca, czyli 11. Międzynarodowej Konferencji „Bezpieczeństwo Dzieci i Młodzieży w internecie”. Jeśli miałbym po niej wyciągnąć krótki jednozdaniowy wniosek, byłby to fakt, iż nauczyciele jako największe z cyberzagrożeń wciąż oceniają przemoc. Ja jednak bardziej zgadzam się z opiniami prof. dr hab. Jacka Pyżalskiego i Łukasza Wojtasika z Fundacji Dajemy Dzieciom Siłę. Obaj Panowie twierdzą, że rozdzielanie przemocy online i offline kompletnie mija się z celem. Jedno i drugie nie funkcjonuje oddzielnie, co więcej (to opinia, wynikająca z badań prof. Pyżalskiego) zdarzają się sytuacje, gdy ofiara w świecie online wchodząc do sieci, staje się sprawcą! Bo – to już moje wnioski – przecież tam jest anonimowość (lub przynajmniej jej pozory), bo nie widzę mojej ofiary twarzą w twarz, bo po prostu nie dostanę od niej w łeb (a przynajmniej nie od razu). We wtorek i środę obejrzałem sporo ciekawych prelekcji, odniosłem jednak wrażenie (jako stało gość konferencji, jej wielokrotny prelegent), że od kilku lat kręcimy się wokół własnego ogona, a dzieci i młodzież uciekają.

Bój się cyberzagrożeń

Gdybym miał wybrać prezentację, która najbardziej wbiła mi się w głowę tydzień wcześniej, podczas Security Case Study 2017 byłby to chyba występ Oleksija Jasińskiego z ukraińskiego ISSP Labs, traktujący o serii cyberataków na Ukrainę. Nie tylko dlatego, że Oleksij mówił po rosyjsku, a jego w pewnym sensie współ-prelegent tłumaczył to na angielski. Ba, nierzadko rozbawiał grupę starszych uczestników konferencji, wyłapujących szereg skrótów i uproszczeń. Przede wszystkim dlatego, że zdał nam wszystkim sprawę ze skali, poziomu ryzyk i nieuchronności ich wystąpienia. Wiecie, w sensie, że jeśli ktoś się na nas uprze, to nie ma siły, i tak da radę. Nie bez kozery „szef szefa mojego szefa”, Tomasz Matuła, odpowiedzialny w Orange Polska za infrastrukturę ICT i Cyberbezpieczeństwo na każdym kroku ostrzega, że nic wskazuje na to, by poziom cyberzagrożeń kiedykolwiek miał zacząć spadać. Niemal codziennie słyszymy, że przestępcy wykorzystują globalną sieć do wykradania danych lub działania na szkodę firm, instytucji a nawet krajów.

– To widać po statystykach CERT Orange Polska, który śledzi nieprzerwanie rosnące trendy – zaznacza Matuła. – W samym sierpniu zarejestrowaliśmy ponad 9 mld zdarzeń, obsługując średnio 45 poważnych incydentów bezpieczeństwa dziennie! – dodaje.

Jednym z popularniejszych zagrożeń w ostatnich miesiącach był RAT (Remote Access Trojan) znany pod nazwą Orcus. Przez ostatni czas bardzo dokładnie przyglądali mu się nasi eksperci. W efekcie możecie zapoznać się z całkiem sporą, 50-stronicową analizą jego aktywności i możliwości. Miłej lektury!

Udostępnij: Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

Bezpieczeństwo

Przyszło lato, kwitnie phishing

13 lipca 2017

Przyszło lato, kwitnie phishing

Lato, słoneczko, ciepło (no… relatywnie), wakacje, wypoczynek. Taaaa, jasne – może dla nas, bo dla przestępców to okres jak każdy inny (a wręcz czas wzmożonej pracy, taki „commercial period”). No bo przecież patrząc tęsknie za okno zza komputera w klimatyzowanym biurze odlatujemy myślami gdzieś daleko… a wtedy łatwiej damy się złapać na kolejny podstępny phishing!

Witam, przesyłam Państwu dwa załączniki
wystawię fakturę w oryginale po otrzymaniu przelewu, z dniem przelewu
– bardzo proszę potwierdzić kiedy płatność będzie realizowana.

Jeżeli pozostają jakiekolwiek braki do uzupełnienia po mojej stronie, proszę o kontakt.

Seems legit, jak mawia młodzież – prawda? Dodajmy jeszcze na koniec imię i nazwisko, numer telefonu. Kto by się nie złapał? Tzn. pewnie byliby tacy, ale mam wrażenie, że z kampanii na kampanię phishingi robią się coraz bardziej wyrafinowane. Ostatnie dni to wzrost liczby kampanii, których ostatecznym efekt może być infekcja trojanem Nymaim.

Dlaczego się na to łapiemy?

Bo nie mamy czasu, bo boimy się konsekwencji finansowych, bo jesteśmy ciekawi? Wszystkiego po trochu. Konia z rzędem temu, kto nie ma ochoty kliknąć i sprawdzić co to do licha jest? Dlaczego ktoś chce ode mnie jakieś pieniądze? I choć przestępcy używają rozwiązań wręcz prostackich, i tak się na nie łapiemy! Tak już jesteśmy skonstruowani, w zalewie wiadomości i innych bodźców, pewne kwestie rozwiązujemy podświadomie, szkoda nam czasu na myślenie. Dlatego ostatnio najczęściej spotykamy phishing zamaskowany jako dokumenty finansowe. Tego, że każą nam zapłacić coś, czego nie powinniśmy, wciąż się obawiamy – z obaw, że „zablokują nam konto” (nawet bankowe) już się wyleczyliśmy, wiemy, że w takim przypadku ryzyko trafienia na phishing jest bliskie 100 procent. No i pamiętajmy, że maile, które otrzymujemy, piszą najczęściej rodowici Polacy (albo przestępcy, ale wynajęci przez nich ludzie). Z rozrzewnieniem wspominam „erę phishingu łupanego”, gdy z otrzymanych treści można się było chociaż pośmiać.

Jak to działa?

Dobra, dałem się oszukać, kliknąłem otrzymanego XLSa, otworzył się plik… I co? W opisywanym przypadku trzeba jeszcze włączyć makra w dokumencie (naprawdę są jeszcze ludzie, którzy włączają makra w plikach otrzymanych mailem od obcych ludzi? Toż to podstawa bezpieczeństwa w sieci – jeśli nie wiesz, do czego to służy, nie klikaj!). Jeśli Wasi bliscy proszą, żebyście nauczyli ich czegoś o bezpieczeństwie, to ta zasada pomoże im ocalić swoje dane w znacznej większości przypadków. Co więcej, takie podejście uratuje nas nawet jeśli mamy wyjątkowego pecha, bowiem przestępcy wykorzystali podatność 0-day, która nie potrzebuje naszej dodatkowej (poza otwarciem pliku lub nawet uruchomieniem podglądu!) interakcji, wykorzystuje bowiem błąd w kodzie Worda, czy Excela. Wystarczy tyle, by ściągnąć na nasz komputer złośliwy kod, a potem czeka nas niechciana ingerencja w nasze konto bankowe, czy też konieczność zapłaty za odszyfrowanie ważnych plików.

A wystarczyło przeczytać, nawet spróbować zadzwonić pod umieszczony w mailu telefon. Jeśli przestępca podszywa się pod dużą firmę – dzwoniąc do niej dowiemy się, że pierwsze słyszą o takim mailu (za granicą przestępcy potrafią tworzy własne helpdeski (!), więc warto sprawdzić, czy numer w mailu jest prawdziwy), a jeśli mamy do czynienia z numerem prywatnym – może się okazać, jak napisał Niebezpiecznik, że przypadkiem przestępcom wylosował się istniejący numer i też dowiemy się, że mamy do czynienia z oszustwem. Podsumowując, jak mawiał w Czterech Pancernych szeregowy Czereśniak: „Nie bądź głupi, nie daj się zabić”. Tylko dlatego, że phishingów wtedy jeszcze nie było.

Udostępnij: Przyszło lato, kwitnie phishing

Bezpieczeństwo

Nowe pomysły na mobilny malware

1 czerwca 2017

Nowe pomysły na mobilny malware

Czego jak czego, ale pomysłowość cyber-przestępcom odmówić się nie da. Ale w sumie nie ma co się dziwić – malware w różnych odmianach to nieprzerwanie świetny biznes, niezależnie od tego, czy mówimy o ransomwarze, czy na przykład popularnych „niby niegroźnych” programach wstrzykujących w inne aplikacje reklamy, za które pieniądze trafiają do przestępców. Jednym z przykładów na ten ostatni typ jest malware Judy, odkryty ostatnio w sklepie Google Play i maskujący się w sposób genialny w swojej prostocie.

Od jakiegoś czasu w oficjalnym sklepie systemu z zielonym robotem trudniej jest trafić na złośliwą aplikację. To niewątpliwie spora zasługa „Bouncera”, czyl bramkarza (takiego np. dyskoteki, nie z boiska piłkarskiego) analizującego umieszczane w sklepie gry i programy pod kątem złośliwego kodu. Judy – nazwa pochodzi od umieszczenia go w aplikacjach koreańskiego developera Kiniwini, opowiadających (jak mniemam) o przygodach niejakiej Judy (Fashion Judy, Chef Judy, Animal Judy), w wielu wersjach – w sumie malware znaleziono w 41 aplikacjach, w sumie ściągniętych w blisko 40 milionach kopii! Badacze z Checkpoint Software odkryli, że problematyczne aplikacje ominęły zabezpieczenia Google, bowiem de facto… nie są malwarem. Ciężko przecież interpretować możliwość łączenia się z internetem jako złośliwą funkcję oprogramowania. Przynajmniej do momentu, gdy po zainstalowaniu bez wiedzy ofiary… łączy się z serwerem Command&Control botnetu, skąd pobiera już faktyczne złośliwe oprogramowanie. Co ciekawe, malware nie tylko podmienia właściwe reklamy, wyszukując miejsce, gdzie się znajdują i umieszczając tam własną treść, dodatkowo zarzuca użytkownika reklamami pop-up w takich ilościach, że chcąc dalej korzystać z telefonu – musi na nie kliknąć. Co więcej – skoro za pośrednictwem takiej aplikacji można ściągnąć adware, to co stanie na przeszkodzie, by przestępcy przesłali tą drogą coś znacznie groźniejszego?

Co robić, jak żyć? Powiedziałbym „patrzcie na średnią ocenę aplikacji”, ale to – jak wskazuje przykład Judy – może być mylące. Średnia 4,2 przy ponad 3,5 tys. pobrań to nie jest poziom, który zapaliłby nawet w mojej głowie czerwoną lampkę. Przede wszystkim nie instalować czegoś, czego nie potrzebujemy (a Google Play pełny jest bezwartościowych aplikacji). Ustalać z dziećmi, że nowe gry na swoich telefonach i tabletach instalują wspólnie z rodzicami (nie bez kozery celem przestępców były gry kierowane głównie do dzieci, które rzadko patrzą na co się zgadzają i co klikają), a my sami patrzmy na co się zgadzamy, zanim zaakceptujemy instalację. Jeśli jakiekolwiek wymagane przez aplikację uprawnienia wzbudzają nasz niepokój – naprawdę są aplikacje, bez których da się żyć.

Photo by Iphonedigital via Flickr (Creative Commons Attribution-ShareAlike 2.0 Generic (CC BY-SA 2.0)

Udostępnij: Nowe pomysły na mobilny malware

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej