Nowe zagrożenia dla Linuxa
ZdNet opublikował interesujący artykuł dotyczący zmiany podejścia cyberprzestępców. Powołuje się w nim na fakt ujawnienia przez FBI i Narodową Agencję Bezpieczeństwa, że rosyjski wywiad wojskowy stworzył złośliwe oprogramowanie do atakowania systemów Linux. Nazywa to „najnowszym, dramatycznym zwrotem w nieustającej bitwie o cyberbezpieczeństwo”.
Obie agencje ujawniły, że rosyjscy hakerzy używają wcześniej nieujawnionego szkodliwego oprogramowania dla systemów Linux, zwanego Drovorub, w ramach swoich operacji cyberszpiegostwa. Złośliwe oprogramowanie umożliwiło hakerom kradzież plików i przejmowanie urządzeń.
Drovorub nie jest pierwszym złośliwym oprogramowaniem atakującym Linuksa; nie jest nawet pierwszym rosyjskim złośliwym oprogramowaniem atakującym urządzenia z systemem Linux. W zeszłym roku Microsoft ostrzegał przed złośliwym oprogramowaniem, które atakowało urządzenia Internetu rzeczy (IoT), a w 2018 r. ostrzegał przed szkodliwym oprogramowaniem VPN Filter- atakującymi routery. Linux nie musi się martwić tylko o hakerów wspieranych przez państwa; istnieją dowody na złośliwe oprogramowanie kradnące hasła, a nawet pewne sugestie, że gangi ransomware próbują również atakować Linuksa.
Wśród wielu specjalistów nadal istnieje niebezpieczne założenie, że złośliwe oprogramowanie jest problemem tylko dla systemu Windows. To mogłoby być bardziej wiarygodne dziesięć albo dwa lata temu. Ale rzeczywistość jest taka, że każdy system komputerowy, który zdobędzie znaczący udział w rynku lub zawiera wartościowe dane, będzie teraz celem. Linux jest w coraz większym stopniu podstawą wielu różnych systemów biznesowych i rozległych części chmury. Chociaż wciąż istnieje stosunkowo niewiele zagrożeń atakujących Linuksa, nie ma powodu, dla którego miałoby tak pozostać.
Artykuł nie ma na celu kwestionowania jakości wbudowanych zabezpieczeń Linuksa, które według wielu jest silniejsze z powodu otwartego charakteru kodu. Rzeczywiście, w tym przypadku złośliwe oprogramowanie działa tylko na stosunkowo starych wersjach jądra Linuksa. Jednak Drovorub przypomina, że hakerzy i twórcy złośliwego oprogramowania są coraz bardziej skłonni atakować każdy system, jeśli uważają, że istnieje zysk, jakakolwiek korzyść lub po prostu szansa na chaos.
Alexa niebezpieczna
Badacze bezpieczeństwa Check Point zidentyfikowali szereg luk, które potencjalnie stwarzały możliwość dla różnych ataków wymierzonych w Alexę, wirtualną asystentkę Amazona.
Ataki obejmowały błędną konfigurację Cross-Origin Resource Sharing (CORS) i błędy Cross Site Scripting (XSS) zidentyfikowane w subdomenach Amazon i Alexa, co ostatecznie umożliwiło badaczom wykonywanie różnych działań w imieniu uprawnionych użytkowników.
Pomyślne wykorzystanie tych luk w zabezpieczeniach może pozwolić napastnikowi na uzyskanie danych osobowych użytkownika Alexa, a także historii jego głosu z Alexą, ale także zainstalowanie aplikacji w imieniu użytkownika.
„Pomyślna eksploatacja wymagałaby tylko jednego kliknięcia w link do Amazon, który został specjalnie spreparowany przez atakującego” – wyjaśniają badacze bezpieczeństwa firmy Check Point, którzy opublikowali film demonstrujący wady. Aby przeprowadzić atak, przeciwnik musiałby utworzyć złośliwy odsyłacz, który przekieruje użytkownika na stronę amazon.com, wysłać go do ofiary i nakłonić do kliknięcia. Osoba atakująca potrzebowałaby możliwości wstrzyknięcia kodu na stronie docelowej. Następnie osoba atakująca wysyła żądanie Ajax z plikami cookie użytkownika na stronę amazon.com/app/secure/your-skills-page, co umożliwia im pobranie listy „umiejętności” zainstalowanych na koncie Alexa ofiary.
Odpowiedź, jak twierdzi Check Point, zawiera również token CSRF, za pomocą którego atakujący może usunąć jedną wspólną „umiejętność” z listy. Następnie atakujący może użyć tej samej frazy wywołania, aby zainstalować „umiejętność”, w wyniku czego użytkownik aktywuje „umiejętność” atakującego zamiast oryginalnej.
Badacze bezpieczeństwa zauważają, że chociaż Amazon nie rejestruje danych logowania do banku, osoba atakująca może uzyskać dostęp do interakcji użytkowników z umiejętnościami bankowymi i pobrać historię danych. Co więcej, nazwy użytkowników i numery telefonów można również odzyskać w oparciu o zainstalowane umiejętności.
Amazon został powiadomiony o wykrytych lukach w czerwcu 2020 roku i już się nimi zajął. Firma posiada mechanizmy bezpieczeństwa, które zapobiegają publikowaniu złośliwych „umiejętności” w jej sklepie.
„Bezpieczeństwo naszych urządzeń jest najwyższym priorytetem i doceniamy pracę niezależnych badaczy, takich jak Check Point, którzy zgłaszają nam potencjalne problemy. Naprawiliśmy ten problem wkrótce po tym, jak zwrócono nam na to uwagę i kontynuujemy dalsze wzmacnianie naszych systemów Nie wiemy o żadnych przypadkach wykorzystania tej luki na naszych klientach ani o ujawnieniu jakichkolwiek informacji o klientach” – powiedział rzecznik Amazon w rozmowie z SecurityWeek.
Tysiące kont rządowych zhakowanych w Kanadzie
W sobotę władze Kanady poinformowały, że podczas cyberataków, tysiące kont użytkowników internetowych usług rządowych zostało zhakowanych. Ataki były wymierzone w usługę GCKey, z której korzysta około 30 departamentów federalnych w tym te odpowiadające za rachunki Kanadyjskiej Agencji Skarbowej – wyjaśnił Sekretariat Ministerstwa Skarbu Kanady w komunikacie prasowym.
Hasła i nazwy użytkowników 9 041 posiadaczy kont GCKey „zostały pozyskane w sposób oszukańczy i użyte do prób uzyskania dostępu do usług rządowych” – czytamy w komunikacie.
Wszystkie konta, których dotyczy problem, zostały zlikwidowane.
Władze podały, że celem tego i innego ataku było około 5500 kont Kanadyjskiej Agencji Skarbowej, dodając, że dostęp do tych kont został zawieszony w celu ochrony informacji o podatnikach.
Władze podały, że dochodzenie zostało wszczęte przez rząd i policję federalną w celu ustalenia, czy doszło do naruszenia prywatności i czy uzyskano informacje z tych kont.
Według CBC, wielu Kanadyjczyków zgłosiło od początku sierpnia, że ich informacje bankowe powiązane z kontami Kanadyjskiego Urzędu Skarbowego zostały zmienione.