Ohlédnutí za zajímavými incidenty CSIRT.CZ v roce 2014

V uplynulém roce jsme zaznamenali několik zajímavých incidentů a událostí, které určitě stojí za to, abychom se k nim ještě jednou, takto vrátili. Mimochodem, jen množství řešených incidentů vzrostlo z 495 za rok 2013 na 939 incidentů v roce minulém. A nebyly to často jen tak ledajaké události.

Asi nejznámější incident v minulém roce byl ten, který se týkal zranitelnosti ROM-0 v některých routerech TP-LINK a toho, že tato zranitelnost, začala být aktivně využívána útočníky k útokům na klienty bank v České republice. O této zranitelnosti již bylo napsáno mnoho článků a tak snad pouze připomenu, že po úspěšném napadení routeru útočník změnil nastavení DNS serverů v routeru a oběť tak přesměroval na vlastní verze některých populárních vyhledávačů, kde pak nabídl obětem soubor s údajným update pro Flash Player, který však ve skutečnosti obsahoval malware.

Další, spíše preventivní akce, se týkala opět routerů. V tomto případě routerů Asus, kdy jsme na serveru Pastebin našli seznam těchto routerů, které měly špatně nakonfigurovaný FTP přístup a umožňovaly tak přístup k připojenému disku jen s pomocí výchozího hesla. Informaci o zranitelných routerech jsme na základě IP adresy distribuovali příslušným správcům.

Se serverem Pastebin souvisí i další nález, tentokráte seznamu 1800 e-mailových adres českých uživatelů doplněných o heslo k dané schránce. I v tomto případě se náš tým postaral o distribuci informace k příslušným správcům daných e-mailových služeb.

V uplynulém roce jsme také čelili spam kampaním, které pod různými záminkami šířily především bankovní trojské koně. Jedna z těchto kampaní zneužívala značku České pošty; ta nejvýraznější a dle našeho názoru nejúspěšnější pak adresáta informovala o údajném dluhu. U těchto kampaní bylo zajímavé sledovat postupné zvyšování nátlaku, kdy první kampaně pouze informovaly o údajně nezaplaceném dluhu, následné vlny pak již vyzývaly k úhradě dluhu před exekucí. Podle našich odhadů měla nejhorší dopad první vlna, v jejímž případě ještě uživatelé netušili, že by se mohlo jednat o podvod. Na druhou stranu malware v ní obsažený nebyl ještě tak sofistikovaný a tak se nám podařilo velmi rychle zjistit, kde se v systému ukrývá, a nabídnout uživatelům návod na jeho odstranění. V této souvislosti bych rád poděkoval společnosti Microsoft, která našemu týmu zdarma poskytuje přístup do své databáze MSDN, tak abychom tyto analýzy malware mohli realizovat.

V uplynulém roce se nám také podařilo medializovat problematiku najímání takzvaných bílých koní, ke kterému docházelo v České republice. Podle zpětné vazby od kolegů z bankovního sektoru se tato akce setkala s dobrou odezvou a uživatelé sami začali hlásit bankám, pokud po nich někdo požadoval realizaci podezřelých finančních transakcí.

Naší zemi se bohužel nevyhýbají ani špionážní kampaně a tak zatímco před dvěma lety jsme řešili špionážní malware Red October, letos jsme ve spolupráci s vládním CSIRTem řešili incident, který se vztahoval k útokům špionážní skupiny známé pod názvem DragonFly.

O incidentech a preventivních akcích, které náš tým řešil či realizoval v minulém roce by se dalo psát ještě dlouho. Proto jsem se pokusil vybrat takové, které dle mého názoru zároveň naznačují možné trendy do roku dalšího, či takové, které nás budou i v dalším roce nejspíše doprovázet.

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..