CERT RSS

Sigurnosni su stručnjaci otkrili dvije "zero day" ranjivosti (ranjivost za koju još nije izdana sigurnosna zakrpa) u aplikaciji Foxit Reader koja napadačima omogućava pokretanje proizvoljnog programskog koda na ciljanom računalu, osim u slučajevima kada korisnik zaraženu datoteku otvori u Safe Reading Mode funkcionalnosti.

Prvu ranjivost, oznake CVE-2017-10951, otkrio je sigurnosni stručnjak Ariele Caltabiano u suradnji sa skupinom Zero Day Initiative, a drugu, oznake CVE-2017-10952, otkrio je sigurnosni stručnjak iz tvrtke Offensive Security Steven Seeley.

Ove ranjivosti mogu biti iskorištene ako korisnik na računalu otvori posebno oblikovani zlonamjerni .pdf dokument koji se distribuira phishing porukama. Potencijalni udaljeni napadači ranjivosti mogu iskoristiti za izvršavanje proizvoljnog programskog koda.

Foxit je navedene ranjivosti odbio zakrpati zato što vjeruju kako ne bi radile ispravno uz Safe Reading Mode funkcionalnost. Foxit je u izjavi naveo kako "Foxit Reader i PhantomPDF imaju ugrađenu "Safe Reading Mode" funkcionalnost koja je automatski uključena, a za koju vjeruju kako može uspješno zaštiti računalo od neautoriziranih JavaScript napada".

Međutim, sigurnosni stručnjaci vjeruju kako ova funkcionalnost ne uklanja opasnost u potpunosti te smatraju kako bi napadači u budućnosti mogli zaobići ovu zaštitu te iskoristiti postojeće ranjivosti.

Ako se služite aplikacijama Foxit Reader i PhantomPDF, svakako uključite funkcionalnost "Safe Reading Mode". Također, mogućnost napada možete umanjiti i isključivanjem opcije "Enable JavaScript Actions" unutar postavki zahvaćenih aplikacija.

Korisnicima se preporuča da s posebnim oprezom na računala preuzimaju te otvaraju datoteke koje su primili iz nepoznatih izvora.

Ranije ovog tjedna, Adobe je objavio zakrpu za ranjivost u Adobe Flash Player programskom paketu koja je napadačima omogućavala pribavljanje Windows povjerljivih korisničkih podataka za prijavu na računalo. Napadima ove vrste podložni su programski paketi Microsoft Office 2010, 2013 i 2016 te preglednici Firefox i Internet Explorer. 

Sigurnosnom je propust u dodijeljena oznaka CVE-2017-3085, a pogađa aplikaciju Flash player od inačice 23.0.0.162 do 26.0.0.137 podržan na operacijskim sustavima Windows XP, 7, 8.x i 10.

Ranjivost je otkrio stručnjak za računalnu sigurnost Björn Ruytenberg, a riječ je novijoj inačici propusta kojoj je dodijeljena oznaka CVE-2016-4271 za koju je Adobe izdao zakrpu u rujnu 2016. godine.

Tada je Ruytengerg otkrio kako putem Flash datoteke može ostvariti vezu između računala i udaljenog SMB poslužitelja te s računala preuzeti podatke za prijavu. Nakon što je Adobe izdao zakrpu, napadačima nije trebalo mnogo vremena za pronalazak načina kako zaobići zaštitu, a detaljan opis moguće je pronaći na Ruytenbergovom blogu.

U opisu što ga je poslao portalu Bleeping Computer, Ruytenberg navodi kako postoji više različitih vektora napada.

• Internetska stranica

   Posjećivanjem kompromitirane stranice koja koristi Flash aplikaciju sa zlonamjernim sadržajem

• Elektronička pošta, Windows dijeljenje datoteka

      Otvaranjem HTML datoteke sa zlonamjernim Flash sadržajem na računalu

• Microsoft Office

      Otvaranjem dokumenta u kojem je ugrađen zlonamjerni Flash sadržaj.

Sama prijetnja ocijenjena je relativno niskom ocjenom na CVSS (Common Vulnerability Scoring System) indeksu, ali sigurnosni stručnjaci napominju kako se ovaj propust može veoma uspješno koristiti u usmjerenim phishing napadima na pojedine tvrtke ili pojedince.

Stručnjaci za sigurnost iz tvrtke Google poslali su upozorenje svim programerima koji razvijaju dodatke za preglednik Google Chrome zbog povećanog broja uspješno izvedenih phishing napada putem kojih su napadači ostvarili pristup nizu popularnih dodataka.

U prethodnoj smo novosti pisali o preuzimanju dva dodatka za Google Chrome putem kojih su napadači korisnicima u prikaz stranice ubacivali reklamni sadržaj, a nove informacije o ovoj kampanji prenosi portal Bleeping Computer. Naime, otkriveno je kako su veoma diskretni napadi na razvojne programere krenuli prije gotovo dva mjeseca. Sve su sporne poruke sadržavale isti tekst u kojem se napadač predstavljao kao djelatnik tvrtke Google i u kojem je stajalo kako je dodatak prekršio pravila korištenja usluge Chrome Web Store.

U tekstu poruke bila je dostavljena poveznica uz uputu kako se treba prijaviti s njihovim korisničkim računima kako bi im se pokazao status dodatka.

Nakon što se niz žrtava na lažnoj stranici prijavio, napadači su iskoristili njihove podatke kako bi napravili izmjene na dodacima te ih proširili na uređaje korisnika.

Razvojni programer OinkAndStuff, pojedinac iza dodataka Blue Messenger i Websta for Instagram, također je jedna od potencijalnih žrtava ove kampanje. Poruku elektroničke pošte koja je pristigla na njegovu adresu prenosimo u nastavku:

OinkAndStuff je primijetio adresu pošiljatelja te je o mogućoj prijetnji veoma brzo obavijestio Google koji je onemogućio pristup stranici što nije spriječilo napadače u daljnjim pokušajima s različitih adresa. Nakon nekoliko prijava i velikog broja blokiranih stranica, Google je odlučio stati na kraj ovim napadima te je svim razvojnim programerima poslao obavijest koju prenosimo u nastavku:  

Pojedinac koji stoji iza dodatka za preglednik Google Chrome nazvanog Web Developer ponovno je stekao kontrolu nad njime nakon što je nepoznati napadač uspio ostvariti pristup njegovom korisničkom računu te putem spomenutog dodatka širiti zlonamjerni sadržaj.

Razvojni programer Chris Pederick objavio je kako je 2. kolovoza primio zlonamjernu phishing poruku elektroničke pošte putem koje je napadač ostvario pristup njegovom Google računu razvojnog programera.

Napadač je pristup iskoristio kako bi u proširenje ubacio zlonamjerni sadržaj te kako bi zaraženu inačicu ( 0.4.9 ) učinio javno dostupnom za gotovo milijun korisnika. Zlonamjerni je sadržaj, nakon što se našao na računalima korisnika, u prikaz internetskih stranica koje su korisnici posjećivali ubacivao reklamni sadržaj. Google je nakon nekoliko sati uklonio zlonamjerni sadržaj te je već istog dana, nakon što je Pederick pristupio svojem korisničkom računu, objavljena nova inačica ( 5.0 ) bez zlonamjernog sadržaja.

Pederick je detalje samog napada opisao na svojem blogu, a izvješću o napadu se može pristupiti putem poveznice.

Napadi ovakvog tipa nisu rijetkost te svakako valja spomenuti kako je unazad zadnjih tjedan dana zabilježen još jedan slučaj gotovo istovjetnog napada. Napadači su pomoću phishing poruke elektroničke pošte ostvarili pristup korisničkom računu tima razvojnih programera zaslužnih za Google Chrome proširenje imena Copyfish te su, putem navedenog proširenja, korisnicima u prikaz internetskih stranica ubacivali reklamni sadržaj.

Cyber kriminalci svakog dana pronalaze nove mogućnosti zaraze računala te su sve vještiji, inovativniji i prikriveniji. Dosadašnje tradicionalne tehnike zamijenili su novim, diskretnijim tehnikama koje koriste puno veći broj vektora napada te ih je puno teže otkriti i spriječiti.

Česta je pojava i prilagođavanje postojećeg zlonamjernog sadržaja te dodavanje novih funkcionalnosti kojima bi se zlonamjernom sadržaju proširio krug mogućnosti za zarazu, ali i za opseg napada. Upravo je isti proces prošao i zlonamjerni sadržaj imena Svpeng, koji spada u skupinu mobilnih bankarskih trojanaca te je dobro poznat sigurnosnim stručnjacima.

U posljednoj inačici ovog zlonamjernog sadržaja, koja je objavljena sredinom prošlog mjeseca, uočeno je kako mu je dodana funkcionalnost koja omogućava praćenje pritisaka tipaka uređaja koji je zaražen. Koristeći propust u opcijama za olakšanu pristupačnost uređaju, Svpeng prikuplja podatke o svom tekstu pisanom na uređaju bez obzira na aplikaciju te onemogućava korisniku uklanjanje spornog sadržaja s uređaja.

Svpeng je, u studenom prošle godine, zarazio preko 318 000 uređaja diljem svijeta putem Google AdSense reklamnog sadržaja. Kampanja novom inačicom nije još uzela zamaha, ali izvješća govore kako su slučajevi zabilježeni u 23 zemlje, a uključuju i Rusiju, Njemačku, Tursku, Poljsku i Francusku. Valja istaknuti kako zlonamjerni sadržaj ne cilja uređaje koji koriste ruski jezik što, po nekim autorima, sugerira kako je riječ o kampanji koja je pokrenuta s područja Rusije. Naime, nakon preuzimanja na uređaj, Svpeng utvrđuje koji jezik uređaj koristi te se, u slučaju ruskog, ne pokreće.

Sve prikupljene informacije, koje mogu činiti preslike zaslona uređaja i povijest unosa teksta, prenose se na udaljeni poslužitelj napadača. Napadač također može poslati naredbe zaraženom uređaju te na taj način doći do dodatnih podataka.

Zaštititi se možete prateći naputke u nastavku:

• Sav sadržaj na uređaj preuzimajte isključivo iz provjerenih izvora, kao što su trgovina Google Play i Apple App Store.
• Ponekad se zlonamjerni sadržaj može naći i na navedenim servisima te stoga preporučamo da prilikom preuzimanja sadržaja provjerite i razvojni studio.
• Svakako onemogućite instalaciju neslužbenih aplikacija iz nepoznatih izvora u postavkama uređaja. Ovoj se opciji pristupa putem izbornika "Postavke". Potom je potrebno odabrati "Napredne postavke" te na kraju "Sigurnost". U izborniku "Sigurnost" treba onemogućiti instalaciju neslužbenih aplikacija čime osiguravate instalaciju aplikacija preuzetih isključivo s trgovine Google Play.
• Redovito izvršavajte nadogradnje operacijskog sustava, aplikacija te antivirusnih programa na uređaju.
• Ne koristite nepoznate i nesigurne Wi-Fi pristupne točke, a Wi-Fi, kada ga ne koristite, držite isključenim.

Aplikacija WhatsApp se ponovno zloupotrebljava za prijevaru (scam kampanju) čiji je cilj prikupljanje bankovnih podataka korisnika. Napadači korisnicima šalju poruke koje se doimaju legitimnima, a u kojima stoji kako je potrebno platiti pretplatničku naknadu za nastavak služenja aplikacijom. 

Tekst poruke na hrvatskom i engleskom jeziku prenosimo u nastavku: 

"Imamo informaciju o isteku jednogodišnjeg pokusnog korištenja WhatsAppa. Nakon isteka ova aplikacija vam neće biti više dostupna te preko nje nećete moći slati niti primati poruke. Kako bi WhatsApp i dalje neometano koristili, savjetujemo vam da se pretplatite na jednu od navedenih opcija."

"Our records indicate that your WhatsApp trial service is exceeding the one-year period. At the completion of your trial period your WhatsApp will no longer be able to send or receive message. To continue using WhatsApp without interuption, we need you to subscribe for any of our subscription periods.” 

U nastavku poruke stoji poveznica do "korisničkog sučelja" u kojem bi korisnik trebao upisati svoje bankovne podatke kako bi izvršio uplatu te nastavio koristiti aplikaciju.

Ova kampanja je zanimljiva jer vješto koristi informacije kako bi korisnika navela na izvršavanje uplate. Naime, javno je poznato kako je aplikacija WA koristila pretplatnički sustav, ali nakon što je Facebook preuzeo aplikaciju, takav je sustav odbačen te je aplikacija postala u potpunosti besplatna. Starijim je korisnicima aplikacije ovakva informacija mogla promaknuti te se vjeruje kako je upravo ova skupina korisnika bila metom napadača.

Kampanje ovog tipa nisu novost, pogotovo kada se uzme u obzir činjenica kako WhatsApp dnevno koristi preko milijardu korisnika, a svaki se dan pošalje 55 milijardi poruka i 4,5 milijardi slika.

WhatsApp upozorava korisnike kako ovakve kampanje nisu neuobičajene te savjetuju korisnicima blokiranje nepoznatih pošiljatelja sumnjivih poruka te da same poruke obrišu. Također nude i smjernice korisnicima kako bi lakše prepoznali potencijalnu prijetnju koje prenosimo u nastavku:

1.) Pošiljatelj tvrdi kako predstavlja WhatsApp.

2.) U poruci stoji uputa kako ju korisnik treba proslijediti svojim kontaktima. Također, u tekstu poruke stoji kako se prosljeđivanjem sporne poruke može izbjeći ukidanje računa.

3.) Poruka se sastoji od nagrade, poklona ili kupona koji mogu biti vezani uz WhatsApp, neku drugu tvrtku, ali i poznatu osobu.

Nekompilirani izvorni kod jedne od najstarijih i najpopularnijih skupina Android zlonamjernog ransomware sadržaja objavljen je čime je postao dostupan kiberkriminalcima koji ga mogu iskoristiti za razvijanje sve opasnijih i složenijih inačica.

Nekompilirani izvorni kod za zlonamjerni ransomware sadržaj imena SLocker objavio je na stranicama GitHuba te učinio dostupnim za preuzimanje korisnik iza pseudonima "fs0c1ety". Značajno je kako je u zadnjih pola godine zabilježen višestruko veći broj zaraza različitim inačicama ovog zlonamjernog sadržaja.

SLocker ili Simple Locker je zlonamjerni sadržaj koji onemogućava korisniku korištenje uređaja tako što zaključava početni zaslon te šifrira podatke. Zlonamjerni sadržaj, nakon preuzimanja na uređaj, korisniku pokazuje poruku u kojoj stoji kako je uređaj zaključala policija ili neka od drugih nadležnih službi te se zahtijeva uplata otkupnine.

SLocker je postao poznat tijekom 2016. godine kada je zaraženo tisuće uređaja, a ponovni je uzlet doživio u svibnju ove godine kada je otkriveno gotovo 400 inačica ovog zlonamjernog sadržaja. U lipnju je doveden u vezu sa zlonamjernim sadržajem imena WannaCry jer su pojedine inačice SLockera koristile korisničko sučelje kakvo je koristio i WannaCry.

Od kada je prvi put zabilježen 2015. godine kao jedan od prvih zlonamjernih ransomware sadržaja namijenjenih Android uređajima, SLocker je razvijan te je kroz više inačica dobivao sve više funkcionalnosti. Od početne inačice koja je korisniku zaključavala zaslon, SLocker je kroz razne inačice dobivao funkcionalnosti poput upravljanja mikrofonom, zvučnicima i kamerom.

Sada kada je učinjen javno dostupnim, SLocker predstavlja prijetnju veću nego ikada. Može ga se preuzeti putem GitHuba potpuno besplatno, za razliku od ostalih zlonamjernih sadržaja istog tipa koje je bilo potrebno platiti kako bi ih se moglo koristiti.

Zaštiti se od SLockera možete prateći sljedeće korake prilikom služenja uređajem s operacijskim sustavom Android: 

• Nikada ne otvarajte privitke u porukama elektroničke pošte koje su stigle s nepoznate adrese
• Nikada ne pristupajte poveznicama koje su poslane SMS ili MMS porukama
• U slučajevima kada stigne poruka koja se doima legitimnom, dvostruko provjerite pošiljatelja
• Svakako onemogućite instalaciju neslužbenih aplikacija iz nepoznatih izvora u postavkama uređaja. Ovoj se opciji pristupa putem izbornika "Postavke". Potom je potrebno odabrati "Napredne postavke" te na kraju "Sigurnost". U izborniku "Sigurnost" treba onemogućiti instalaciju neslužbenih aplikacija čime osiguravate instalaciju aplikacija preuzetih isključivo s trgovine Google Play.
• Redovito izvršavajte nadogradnje operacijskog sustava, aplikacija te antivirusnih programa na uređaju.
• Ne koristite nepoznate i nesigurne Wi-Fi pristupne točke, a Wi-Fi, kada ga ne koristite, držite isključenim.

Jučer je potvrđen "pad" dvaju najvećih tržišta na "Dark Webu", AlphaBay i Hansa, u koordiniranoj internacionalnoj operaciji u kojoj je sudjelovao FBI (Federal Bureau of Investigation), DEA (US Drug Enforcement Agency) te nizozemska policija u suradnji s Europolom. Radi se o jednoj od najsofisticiranijih operacija u borbi protiv cyber kriminala. Ugašena je infrastruktura velikog kriminalnog tržišta odgovornog za razmjenu više od 350 000 ilegalnih proizvoda uključujući drogu, vatreno oružje i zlonamjerne kodove korištene za hakiranje raznih servisa i usluga.   

AlphaBay je, nakon ukidanja Silk Road tržišta 2013. godine, bio najveće kriminalno tržište na dark webu, a korištenjem Tor servisa uspješno je prikrivao korisničke identitete i lokacije poslužitelja. AlphaBay je imao preko 200 000 korisnika i 40 000 prodavača, uključujući 250 000 proizvoda te više od 100 000 ukradenih i lažnih identifikacijskih dokumenata, krivotvorenu robu, zlonamjerne programe i ostale alate za hakiranje računala, vatreno oružje i ilegalne usluge. 

AlphaBay je ukinut početkom srpnja, a s povezanih Bitcoin računa povučena su sva sredstva, zbog čega su mnogi korisnici mislili da se radi o prevari koju je izveo AlphaBay. Ukidanje AlphaBaya bilo je moguće zbog ukidanja Hansa tržišta mjesec dana ranije. Hansa korisnici migrirali su svoje korisničke račune na AlphaBay, a sve to nadzirala je nizozemska policija. FBI i DEA identificirala je kreatora i administratora AlphaBaya kao Kanađanina koji je živio na Tajlandu. Uhićen je početkom srpnja, a zaplijenjena mu je sva kripto-valuta u vrijednosti od nekoliko milijuna dolara.

Nakon što je 2013. godine kompromitirano gotovo 360 milijuna Myspace korisničkih računa, ova društvena mreža 2016. je godine izjavila kako poduzimaju mjere radi poboljšanja sigurnosti svojih korisnika. Međutim, čini se da svatko može zatražiti novu lozinku za korisnički račun za koje zna ime osobe, korisničko ime i datum rođenja. 

Stručnjakinja za računalnu sigurnost, Leigh-Anne Galloway iz tvrtke Positive Technologies, ovaj je sigurnosni nedostatak prijavila Myspaceu još u travnju, no kako nije dobila odgovor detalje je objavila na svom web sjedištu. Myspace više nije najpopularnija društvena mreža, stoga vam nudi mogućnost oporavka svog korisničkog računa ako ste izgubili lozinku, nemate pristup e-mail adresi povezanoj s računom ili se ne sjećate Myspace korisničkog imena. No Myspace ne traži puno informacija za oporavak računa. S obzirom na to da su ime i korisničko ime dostupni na javnom Myspace profilu, dovoljno je da osoba koja želi "preuzeti" račun zna samo datum rođenja. Na formi za oporavak računa navedeno je da su polja poput e-mail adrese obavezna, no to u praksi nije tako. 

Nije poznato koliko je korisničkih računa zahvaćeno ovim propustom, Myspace već nekoliko godina ne daje informaciju o broju korisnika koje još ima, a nije ni poznato koliko dugo nakon neaktivnosti je moguće oporaviti korisnički račun. 

Portal BleepingComputer objavio je danas kako je njihov sigurnosni stručnjak pronašao zlonamjernu aplikaciju koja se predstavlja kao prilagođena inačica preglednika Tor.

Ta se zlonamjerna inačica, imena Rodeo, prvi puta spominje u YouTube video uradku u kojem se neiskusnim korisnicima pojašnjava na koji način mogu trgovati putem Dark Web trgovine The Rodeo. Prema riječima autora isključiva namjena preglednika Rodeo je pristup istoimenoj trgovini te se u opisu video uradka nalazi poveznica putem koje je Rodeo moguće preuzeti na računalo.

Nakon detaljnog uvida, sigurnosni su stručnjaci otkrili kako nije riječ o legitimnom pregledniku, već o zlonamjernom sadržaju koji s Tor preglednikom dijeli jedino izgled korisničkog sučelja. S lažnim je preglednikom isključivo moguće pristupiti padajućem izborniku u kojem se korisniku nudi opcija pristupa trgovini The Rodeo.

Nakon što korisnik pristupi stranici, ona se na prvi pogled ne doima drugačije od ostalih Dark Web trgovina. Korisnik se mora registrirati kako bi se stranicom koristio, profili prodavača djeluju legitimno, a moguće je naručiti više različitih kategorija proizvoda.

Nakon što je stranica otkrivena i analizirana, ustanovljeno je kako je sav sadržaj stranice lažan i pohranjen na udaljenom FTP poslužitelju. Također su pronađene mape u kojima se nalaze podaci o registriranim korisnicima poput korisničkog imena, lozinke, ali i poruke što su razmjenjivali s drugim korisnicima.

Vjeruje se kako se kontaktiranjem bilo kojeg od prodavača dolazi do istog pojedinca, koji žrtvi šalje Bitcoin adresu za uplatu. Do sada su pronađeni dokazi kako su najmanje tri žrtve uplatile novac autoru stranice.

Hakeri i kiberkriminalci svakim danom postaju sve prilagodljiviji, inovativniji te diskretniji što kao posljedicu nosi sve češće korištenje složenijih tehnika napada koje uključuju bezbroj vektora napada, podršku za više platforma te malu mogućnost otkrivanja.

Upravo jedan od takvih složenijih napada prijeti tvrtkama iz sektora zrakoplovstva sa sjedištima u Švicarskoj, Austriji, Ukrajini i u SAD-u, a sigurnosni su stručnjaci ustanovili kako je riječ o već otprije poznatom zlonamjernom trojancu imena Adwind.

Adwind, poznat još pod nazivima AlienSpy, Frutas, jFrutas, Unrecom, Sockrat, JSocket, i jRat, u razvoju je od 2013. godine te je sposoban zaraziti operacijske sustave Windows, Mac, Linux te Android. Adwind je u mogućnosti pregledavati povjerljive podatke, bilježiti pritiske tipaka, praviti preslike ekrana te prikupljati podatke. Također je sposoban zaraženi uređaj pretvoriti u bot te ga koristi za izvođenje DDoS napada.

Prema riječima sigurnosnih stručnjaka iz tvrtke Trend Micro, broj zaraza tijekom lipnja ove godine gotovo je dvostruko veći u odnosu na svibanj.

Prilikom svakog širenja korišten je socijalni inženjering te se žrtvu pokušalo navesti da pristupi poveznici unutar neželjene poruke elektroničke pošte koja se doimala legitimno.

Zlonamjerni sadržaj, nakon što dođe do preuzimanja na računalo, vrši prikupljanje informacija o zaraženom uređaju, što uključuje i informacije o svim programima za zaštitu što omogućuje lakši pristup napadačima.

U slučaju da na vašu adresu elektroničke pošte zaprimite poruku s nepoznatim privitkom nemojte isti otvarati već pokušajte utvrditi točno podrijetlo i svrhu dokumenta kako ne bi došlo do zaraze uređaja.

Pojedinac ili grupa iza aliasa Janus Cybercrime Solutions, poznatiji kao autor originalnog zlonamjernog ransomware sadržaja nazvanog Petya, objavio je ključ za dešifriranje svih podataka zaključanih trenutnom ili prošlim verzijama.

Ovaj ključ može poslužiti za dešifriranje svih podataka zaključanih zlonamjernim ransomware sadržajem Petya izuzev onih zaključanih zlonamjernim sadržajem NotPetya kojeg nije razvio isti autor.

Janus je ključ za dešifriranje podataka objavio putem Twittera u poveznici do šifrirane i lozinkom zaštićene datoteke postavljene na stranicu Mega.nz

Nakon što su sigurnosni stručnjaci otkrili lozinku te preuzeli navedenu datoteku, uspješno je izvedeno testiranje ključa za dešifriranje podataka. S ovim ključem moguće je razviti softver za lakše dešifriranje podataka, ali kako je glavnina računala zaražena originalnom inačicom zlonamjernog sadržaja Petya
prošle godine, broj računala kojima je ovaj ključ potreban svakim je danom sve manji.

Navedeni ključ ne može dešifrirati podatke šifrirane zlonamjernim ransomware sadržajem NotPetya koji se globalno proširio prije dva tjedna jer nije riječ o istim inačicama zlonamjernog sadržaja.

Stručnjaci za informacijsku sigurnost otkrili su kritičnu ranjivost u GnuPG kriptografskoj biblioteki koja omogućava probijanje RSA-1024 kriptografskog algoritma i otkrivanje tajnog RSA ključa za dešifriranje podataka.

Gnu Privacy Guard (GnuPG ili GPG) je popularan softver otvorenog koda korišten za šifriranje kod mnogih operativnih sustava kao što su Linux, FreeBSD, Windows, macOS X i drugi.

Otkrivenoj ranjivosti dodijeljena je oznaka CVE-2017-7526, a potencijalnim lokalnim napadačima omogućuje izvođenje FLUSH+RELOAD "side-channel" napada.

Tim stručnjaka iz nekoliko visokoobrazovnih učilišta otkrila je kako "left-to-right sliding window" matematička metoda šifriranja korištena kod Libgcrypt programske biblioteke omogućuje otkrivanje znatno više informacija o dijelovima ključa nego kod right-to-left sliding window" metode, što omogućuje potpuno otkrivanje RSA ključa.

L3 Cache Side-Channel napad mogao bi se iskoristiti ako napadač pokrene proizvoljni softver na hardveru na kojem je korišten RSA ključ. Napad potencijalnom napadaču omogućuje otkrivanje tajnog kriptografskog ključa sa zahvaćenog sustava analiziranjem uzoraka korištene memorije ili elektromagnetskih izlaznih podataka na uređaju koji su rezultat procesa dešifriranja.

Izdana je zakrpa za ranjivost programske biblioteke Libgcrypt verzije 1.7.8. za operacijske sustave Debian, Ubuntu i Fedora. Svim korisnicima savjetuje se primjena izdane zakrpe.

Svakim danom sve više sigurnosnih stručnjaka smatra kako je cilj kampanje zlonamjernim sadržajem Petya bio destruktivne naravi, a posljednji koji su stali u obranu ovakvog stava su stručnjaci iz sigurnosnih tvrtki Cisco Talos, F-Secure te Malwarebytes.

Ova se teorija prvi put spominje u javnosti 28. lipnja kada su stručnjaci iz tvrtki Comae Technologies i Kaspersky Lab pronašli pokazatelje kako zlonamjerni ransomware sadržaj šifrira podatke bez mogućnosti povrata, ali i da nasumično generira podatke za identifikacijski broj pojedine zaraze.

Obje su tvrtke na više mjesta istaknule činjenicu kako jednom šifrirani podaci ne mogu biti vraćeni što može biti indikativno kada se dovede u vezu s činjenicom kako je napad najveći zamah uzeo upravo u Ukrajini i to dan prije proslave nacionalnog praznika.

Inicijalne su zaključke u protekla dva dana potvrdile i druge sigurnosne tvrtke te dodaju kako je od svih komponenata samog zlonamjernog sadržaja najsofisticiranija upravo komponenta zadužena za širenje što sugerira kako su napadači prvenstveno naglasak stavili na širenje sadržaja na što veći broj uređaja.

Sve su tvrtke složne u stavu kako jednom šifrirane podatke nije moguće vratiti te kako je u slučaju ove kampanje teško govoriti o novčanoj dobiti. Zaključci doneseni ispitivanjem zlonamjernog sadržaja Petya veoma su brzo prošireni te je zadnja uplata na račun napadača izvršena prije dva dana.

U tijeku je nova kampanja zlonamjernim ransomware sadržajem te su slučajevi zaraze zabilježeni u Ujedinjenom Kraljevstvu, Rusiji, Indiji, Nizozemskoj, Španjolskoj, Danskoj i drugima. Trenutna su meta računala raznih korporacija, energetskih postrojenja te banaka.

Prema više različitih izvora, nova inačica zlonamjernog ransomware sadržaja nazvanog Petya (negdje Petwrap) munjevito se širi koristeći više Windows ranjivosti. Iako se još ne zna točan izvor širenja zlonamjernog sadržaja, moguće je da Petya koristi EternalBlue ranjivost (ranjivost SMBv1  protokola za koju je izdana zakrpa MS17-010), istu onu koji je koristio i WannaCry u prošloj velikoj kampanji, u kombinaciji s ranjivosti Microsoft Office paketa koja je zakrpana u travnju a odnosi se na oznaku CVE-2017-0199.

Petya je složen zlonamjerni sadržaj koji djeluje veoma različito od ostalih vrsta zlonamjernog ransomware sadržaja te, za razliku od ostalih, ne šifrira podatke na računalu redom i zasebno. Petya, nakon zaraze, ponovno pokreće računalo korisnika te šifrira MFT datoteku (engl. master file table) te onemogućava rad MBR zapisu (engl. master boot record) što rezultira ograničenim pristupom uređaju.

U slučaju uspješno izvedenog napada, Petya će zamijeniti MBR zapis vlastitim zlonamjernim kodom što onemogućava računalu pokretanje. Na samom zaslonu zaraženog računala pokazat će se poruka u kojoj su sadržani podaci za uplati te poruka napadača koju prenosimo u nastavku:

"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service."

Prema riječima sigurnosnim stručnjacima iz tvrtke VirusTotal, samo je 13 od 61 sigurnosnih usluga u mogućnosti otkriti Petya zlonamjerni sadržaj.

Ovaj ransomware zlonamjerni sadržaj kao kontakt podatke koristi adresu elektroničke pošte wowsmith12345@posteo.net i kao naknadu za dešifriranje podataka traži isplatu 300 američkih dolara u Bitcoin valuti.

Točni načini ubrzanog širenja zlonamjernog sadržaja Petya nisu utvrđeni, ali prevladava mišljenje kako je riječ o korištenju SMBv1 EternalBlue ranjivosti na računalima koja nisu izvršila nadogradnju svojeg operacijskog sustava Windows. Potencijalni vektor širenja je i maliciozni Word dokument koji korisnici dobivaju kao privitak u e-mailu. 

Zaštititi se možete hitnom nadgradnjom vašeg računala (pogotovo nadgradnje koje se odnosi na EternalBlue - MS17-010) te onemogućavanjem SMBv1 protokola za dijeljenje podataka, kao i primjenom zakrpe CVE-2017-0199.

Preporuka je također da redovito radite sigurnosnu kopiju Vaših podataka te da ju držite odvojenu od računala. Važno je da na uređaju imate instaliran valjan, ažuran i aktivan antivirus te da se prilikom služenja internetom ponašate odgovorno i oprezno. Ne otvarajte privitke u sumnjivim mailovima i po primitku ih izbrišite. 

Sedam banaka u Južnoj Koreji zaprimilo je poruke elektroničke pošte u kojima ih se traži plaćanje iznosa od gotovo 315 000 dolara kako bi izbjegli DDoS napade koji bi uzrokovali prekid dostupnosti njihovih servisa javnosti.

Zahtjeve o plaćanju potpisuje hakerska grupa naziva "Armanda Collective" koja se prvi puta pojavljuje 2015. godine kada zajedno s grupom DD4BC (DDoS-for-Bitcoin) popularizira "ransom DDoS" (RDDoS) napade.

Radware, tvrtka za računalnu sigurnost koja svakodnevno prati RDDoS napade, tvrdi kako je navedena hakerska grupa prošla dvije velike faze. U prvoj su fazi, još 2015. godine, ciljali manji broj kompanija iz istog sektora demo DDoS napadima kako bi dokazali da su napadi itekako izvedivi. Druga je faza otpočela 2016. godine kada je grupa krenula s prijetnjama velikom broju kompanija iz različitih sektora. Specifično je za drugu fazu kako prijetnje, u većini slučajeva, nisu realizirane što je zajedničko velikom broju RDoS grupa.

Prošlog je tjedna, nakon dužeg perioda zatišja, grupa Armada Collective poslala zahtjeve za plaćanje otkupnine na adrese sedam banaka i to samo dva dana nakon javnog pritiska na jednog južnokorejskog pružatelja usluge udomljavanja internet stranica koji je platio otkupninu za ransomware u iznosu većem od milijun dolara. Armada Collective bankama je poslala obavijest u kojoj stoji kako će DDoS napade pokrenuti 26. lipnja, u slučaju da do danog roka novac ne bude isplaćen na njihove račune. U vrijeme pisanja ovog članka napadi još nisu pokrenuti, no još nije isključeno da grupa stvarno može izvesti ovakav napad.

Prošlog je tjedna 55 prometnih kamera u Australiji zaraženo zlonamjernim ransomware sadržajem WannaCry. Prema trenutnim informacijama, do zaraze je došlo tijekom održavanja, tj. u trenutku kada je tehničar spojio zaraženi USB s uređajima koji koriste operacijski sustav Windows.

Kamere nisu spojene na internet te se zlonamjerni sadržaj zadržao na uređaju bez mogućnosti neposrednog daljnjeg širenja. Unatoč tome što su bile zaražene, kamere su nastavile raditi te je jedini pokazatelj zaraze zlonamjernim sadržajem bila činjenica kako su se kamere svakih nekoliko minuta ponovo pokretale.

Iz nadležne su službe objavili kako je ranjivost otklonjena te kako trenutno traje proces čišćenja zaraženih kamera.

Slučajevi zaraze zlonamjernim ransomware sadržajem WannaCry zabilježeni su ovog mjeseca i u tvornici automobila Honda gdje je zbog širenja došlo do prekida proizvodnje. Unatoč tome što je glavnina štete napravljena sredinom svibnja, WannaCry je još uvijek aktualan zato što velik broj korisnika još uvijek nije poslušao savjet Microsofta te preuzeo najnoviju zakrpu.

Stručnjaci za informacijsku sigurnost otkrili su ranjivost staru više od desetljeća u nekoliko Unix baziranih operacijskih sustava uključujući Linux, OpenBSD, NetBSD, FreeBSD i Solaris. Otkrivenu ranjivost potencijalni napadači mogli bi iskoristiti za stjecanje root ovlasti, a time i preuzimanje kontrole nad zahvaćenim sustavom. 

Ova ranjivost nazvana je "Stack Clash", a dodijeljena joj je oznaka CVE-2017-1000364. Uzrokovana je načinom na koji se memorija dodjeljuje stogu koji se koristi za pohranjivanje kratkoročnih podataka. Stog se automatski širi i skuplja za vrijeme izvođenja bilo kojeg programa, ovisno o potrebama. Prema riječima stručnjaka iz tvrtke Qualys koji su prijavili ovu ranjivost, maliciozni program može iskoristiti više memorijskog prostora nego je dostupno na stogu, što može dovesti do prepisivanja sadržaja memorije.

Za iskorištavanje "Stack Clash" ranjivosti napadač bi trebao imati lokalni pristup ranjivom sustavu, ali ovisno o određenim aplikacijama moguće ju je iskoristiti i udaljeno. Na primjer, zlonamjerni korisnik s nisko privilegiranim korisničkim računom kod nekog pružatelja usluge udomljavanja internet stranica ovu ranjivost mogao bi iskoristiti za dobivanje pristupa nad drugim web sjedištem koji se nalazi na istom poslužitelju ili za udaljeno stjecanje pristupa i izravno izvršavanje malicioznog koda. 

Napadači bi mogli kombinirati "Stack Clash" ranjivost s drugim kritičnim ranjivostima koje su nedavno otkrivene, kao što je sudo ranjivost za koju je nedavno izdana zakrpa, zatim izvršiti proizvoljni programski kod s najvećim ovlastima. 

Stručnjaci za sigurnost razvili su sedam načina iskorištavanja ranjivosti (exploits) i sedam dokaza koncepta (proofs of concept - PoCs), međutim još ih nisu objavili kako bi korisnicima i sistem administratorima dali dovoljno vremena da primjene sigurnosne zakrpe. Sigurnosne preporuke za pojedine operacijske sustave možete pronaći na ovoj stranici. 

Otkriven je propust u zlonamjernom ransomware sadržaju imena Jaff koji se već mjesec dana širi putem Necurs botnet mreže.

Sigurnosni stručnjaci iz tvrtke Kaspersky Lab iskoristili su pronađeni propust kako bi omogućili povratak šifriranih podataka s računala. Napominju kako je ključ za dešifriranje što su ga razvili namijenjem svim inačicama zlonamjernog sadržaja Jaff te kako mogu dešifrirati sve datoteke šifrirane .jaff, .wlu, .sVn nastavcima.

Jaff je proširen putem spam kampanje koja je uključivala slanje PDF privitka u koji je bio ugrađen Microsoft Word dokument pomoću kojeg je na računalo preuziman zlonamjerni ransomware sadržaj.

Pojedinci iza napada su za povrat podataka tražili od 0,5 do 2 Bitcoina što iznosi od 1,500 do 5,000 američkih dolara, a najveći je broj slučajeva zabilježen na prostoru Kine, Rusije, Egipta te Njemačke.

Besplatan ključ za dešifriranje podataka moguće je preuzeti ovdje.

U preko 800 različitih Android aplikacija pronađena je zlonamjerna programska biblioteka koja u pozadini prikuplja podatke o korisniku uređaja, a putem koje se može ostvariti pristup uređaju. Zaražene su aplikacije s Google Play trgovine preuzete više milijuna puta, a u njima je pronađena zlonamjerna programska biblioteka nazvana "Xavier" koja je prvotno otkrivena u rujnu 2016. godine. "Xavier" pripada skupini zlonamjernih programa nazvanoj "AdDown".

Kako je 90 posto svih Android aplikacija slobodno za preuzimanje, oglašavanje čini glavni izvor dobiti pojedincima koji ih razvijaju. Uobičajen je postupak ugrađivanje Android SDK Ads biblioteke koja, ako je ispravno podešena, ne utječe na rad same aplikacije.

Prema sigurnosnim stručnjacima iz tvrtke "Trend Micro", zlonamjerna programska biblioteka već je ugrađena u cijeli niz aplikacija kao što su aplikacije za uređivanje fotografija, aplikacije za preuzimanje melodije zvona i pozadine te u cijelom nizu alata za pronalazak mobitela, podešavanje glasnoće te upravljanje radom uređaja.

Prethodne su inačice zlonamjernog sadržaja "Xavier" napadačima služile kako bi stekli dobit putem pristupa reklamama, ali su imale i mogućnost preuzimanja te instalacije aplikacija u pozadini. Posljednja inačica, uz spomenute funkcionalnosti, također posjeduje mogućnost izbjegavanja otkrivanja, udaljenog izvršavanja programskog koda te prikupljanja podataka o korisniku.

Prema sigurnosnim stručnjacima, najviše je zaraženih korisnika s područja zemalja jugoistočne Azije, dok je manji broj zaraženih korisnika zabilježen i na području SAD-a te Europe.

Popisu 75 zaraženih Android aplikacija koje su uklonjene s Google Play trgovine možete pristupiti ovdje.