Security Week 08: кража мышей через свисток, операция «Блокбастер», Linux Mint с бэкдором

Новости Угрозы

Помимо обозначенных в заголовке новостей недели продолжает развиваться история с противостоянием Apple и ФБР или, более точно, борьба между вендорами и государством на поле законодательства. Более подробно я об этом написал в предыдущем дайджесте, в комментариях к которому было замечено одно показательное сомнение в важности данной темы. Дескать, какая разница, заставят Apple написать бэкдор к своему же устройству или не заставят, — все равно ЦРУ (АНБ, другие комбинации из трех букв) сломает и так, без суда.

Может ли ЦРУ (АНБ или еще кто-нибудь в таком духе) взламывать айфоны или не может — мы не знаем и достоверно не узнаем никогда. Но суть конфликта заключается в том, что Apple пытаются заставить «сломать» собственный смартфон самостоятельно. Компания же сопротивляется, выступая (не прямым текстом, конечно) за разделение труда: задача Apple максимально защитить персональные данные своих клиентов (от кого угодно), задача спецслужб — сделать так, чтобы защита не мешала расследованию преступлений.

Об этом говорится в поданном вчера ходатайстве Apple — там юридическим языком оформлены ранее публично высказанные претензии. Самое важное: по мнению Apple, ФБР просит слишком много. Типичное действие суда — потребовать у компании дать то, что у нее уже есть (данные из iCloud, логи, исходные коды софта). Но в данном случае от Apple требуют создать что-то новое — инструмент для взлома телефона, которого раньше у компании не было. В Apple назвали такой бэкдор GovtOS (или ГосОсь, если хотите).

Определилась ситуация и с возможными последствиями для индустрии. С одной стороны, если Apple заставят сделать бэкдор, это создаст прецедент для других подобных запросов, и не только в США. Как выяснилось, уже сейчас на рассмотрении находятся запросы минимум по десяти устройствам Apple, где суд требует от Apple сломать свою же защиту.

С другой стороны, независимо от результата судебных баталий данный кейс может заставить Apple решить проблему с помощью технологий, а именно изменить софт и железо будущих устройств так, что у производителя в принципе не будет возможности добыть пользовательские данные. Вообще никак. В New York Times, ссылаясь на анонимные источники, пишут, что работа уже начата.

А теперь к другим новостям. Все выпуски дайджеста — тут.

Несколько уязвимостей в беспроводных мышах позволяют получить полный контроль над компьютером удаленно

Новость. Детали исследования на сайте Bastille Networks.

Подшиваем новость к делу по двум категориям: «Пришла беда, откуда не ждали» и «Никогда такого не было, и вот опять». Если коротко, то в беспроводных мышах семи разных производителей, включая Lenovo, Dell, Microsoft и Logitech, нашли серию уязвимостей. В комплексе они позволяют удаленно подключаться к компьютеру без разрешения пользователя, передавать нажатия клавиш и движения мыши — и таким образом потенциально получать полный контроль над системой. В смысле незачем заражать компьютер вирусом, если код вируса можно удаленно «набрать» и выполнить прямо на системе жертвы, без спроса и в очень быстром темпе.

Уязвимости подвержены не Bluetooth-мыши, а устройства со своим приемником и проприетарным протоколом беспроводной передачи данных. А значит, мышами дело не ограничивается: если у вас беспроводная клавиатура с USB-приемником и к приемнику теоретически можно подключить и мышь тоже, то у вас проблемы. Список подверженных устройств исследователи также выложили.

Как так вышло? Очень просто. Требования по безопасности передачи данных к мышам оказались ниже, чем к клавиатурам. Специалисты из Bastille Networks выяснили, что трафик между клавиатурой и компьютером почти всегда зашифрован, в то время как обмен данными между компьютером и мышью не шифруется. Видимо, потому, что перехват нажатий клавиш дает очень опасную информацию, а движения мыши сами по себе ничего не раскрывают.

Далее выяснилось, что подключиться к приемникам можно вообще без спроса. По идее добавление новых устройств должно происходить только в специальном режиме спаривания, но по факту это ограничение можно обойти. Наконец, обозначив свое устройство мышью, можно передавать на компьютер и нажатия клавиш, и приемник будет эти нажатия принимать, несмотря на странность такой ситуации.

Ну дальше понятно: находим уязвимый приемник поблизости (до 100 метров), подключаемся, передаем Ctrl-Esc, cmd и так далее, и тому подобное. Получается крайне опасная штука, которая хоть и не позволяет следить за пользователем, но в режиме «Только запись» может стать способом получения полного контроля над системой. В исследовании отмечается, что далеко не все устройства в принципе можно «починить». И решение проблемы пока предоставила только Logitech.

Операция «Блокбастер» помогла раскрыть деятельность группы «Лазарь», ответственной в том числе за атаку на Sony Pictures Entertainment

Новость. Исследование «Лаборатории». Совместный отчет всех компаний — участниц расследования.

Взлом Sony Pictures Entertainment стал одной из самых обсуждаемых ИБ-новостей 2014 года. Он до сих пор является своего рода эталонным кейсом для демонстрации последствий от атаки: огромные денежные потери, потеря репутации, утечка огромного массива приватных данных, недоступность сервисов, как внешних, так и внутренних, в течение долгого времени. Естественно, сразу возник вопрос о том, кто причастен ко взлому. Но в индустрии безопасности этот вопрос не самый актуальный. Важнее понять, как: а) защититься от подобных атак; б) максимально снизить ущерб от будущих атак той же группы.

Чтобы снизить ущерб, требуется выйти за пределы конкретной атаки и проанализировать работу преступной группировки в целом. А это нелегко: киберпреступники не выпускают пресс-релизов о причастности к атаке, путают следы, меняют и обновляют средства взлома. Операция «Блокбастер» представляет собой редкий пример взаимодействия нескольких компаний с целью сбора и публикации полной информации о деятельности конкретной группы киберпреступников. Группу назвали «Лазарь». Совместная работа многих исследователей позволила атрибутировать этой группировке десятки атак по всему миру, включая и взлом Sony Pictures.

Как вообще можно объединить разные атаки? В нашем исследовании приводится один курьезный пример: в строке user agent одного из модулей, использованных в атаке, есть опечатка: Mozillar вместо Mozilla. По ней можно легко идентифицировать принадлежность. Но обычно анализ связей между атаками требует много времени — именно поэтому такое исследование стало возможным благодаря сотрудничеству нескольких компаний.

В итоге исследователям удалось идентифицировать принадлежность группы к атакам в разных странах, включая Южную Корею, Россию и США, начиная с 2010 года и по настоящее время. Кто же все-таки реально стоит за этими атаками? Факты: значительная часть модулей создавалась в локали корейского языка, метаданные говорят о нахождении группы в GMT+8 или GMT+9 (Северная и Южная Корея, значительная часть Азии), целью множества атак были южнокорейские ресурсы.

Взлом сайта позволил встроить бэкдор в официальные дистрибутивы Linux Mint

Новость. Пост в блоге мейнтейнеров. Исследование «Лаборатории».

Помните историю про один из самых древних багов? Тогда я упомянул баг из трекера Red Hat от 1999 года, в котором обсуждались вопросы проверки загружаемых обновлений для Linux. Тот баг — с оговорками — закрыли, но проблема осталась: если разработчик операционной системы плохо контролирует ее распространение, рано или поздно это может привести к появлению версий системы с вредоносной функциональностью. Именно поэтому дистрибутивы Linux желательно загружать с официального сайта, так как там гарантируется отсутствие закладок.

Или не гарантируется? Рано или поздно такое должно было произойти: сайт достаточно популярного дистрибутива Linux Mint взломали и подменили один из официальных образов системы. Пострадавших оказалось немного: взлом вовремя заметили, скачать дистрибутив с бэкдором можно было только 20 февраля, причем подпорчен был только один образ на одной площадке. Тем не менее случай показательный — он позволил оценить последствия такого взлома. Зараженные системы подключались к каналу в IRC, откуда им можно было раздавать команды.

В момент анализа бэкдора экспертами «Лаборатории» в канале светились около 50 систем. Злоумышленник может скачивать произвольные файлы с компьютера или сервера жертвы — особого внимания удостоились доступные сетевые папки и пароли для доступа к форуму Linux Mint. Кроме того, зараженную систему можно использовать для DDoS-атак.

В общем, получается, надо не забывать сверять контрольную сумму дистрибутивов с эталонной, так? Не совсем: ее также можно подменить, если сайт разработчика взломан. Пока что это разовый инцидент, но он явно требует более сложной системы контроля за чистотой дистрибутивов.

Что еще произошло:

Компании Nissan пришлось отключить систему удаленного управления автомобилем, которая позволяла с помощью телефонного приложения управлять климат-контролем, проверять статус аккумуляторной батареи и так далее. По простой причине: доступ к системе был открыт кому угодно, достаточно знать «секретный» URL и последние цифры серийного номера (он же VIN) автомобиля. Надо отдать должное Nissan — отреагировали быстро, систему выключили до лучших времен. Подверженными уязвимости оказались около 200 тыс. авто Nissan Leaf.

Security Week 05: непростые числа в Socat, Virtustotal проверяет BIOS на закладки, тайная жизнь Wi-Fi модулей

Древности:

Семейство «Datacrime»

Нерезидентные очень опасные вирусы. При запуске зараженного файла стандартно инфицируют не больше одного COM- или EXE-файла во всех текущих каталогах всех доступных дисков. В зависимости от таймера и своих внутренних счетчиков выдают на экран текст:

«Datacrime-1168,-1280» — «DATACRIME VIRUS RELEASED 1 MARCH 1989»
«Datacrime-1480,-1514» — «DATACRIME II VIRUS»

— и после этого пытаются форматировать несколько треков жесткого диска.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 28.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.