Hlavní navigace

Jak hacknout firemní počítače? Posloužil Flash, Internet Explorer a Forbes.com

Daniel Dočekal 16. 2. 2015

Hacknutý web Forbesu zneužíval zero-day zranitelnosti k cíleným útokům na vládní kontraktory a zaměstnance finančních služeb. Stačilo přitom dost málo.

Dokázat dobře cílit útok je většinou k nezaplacení, zejména pokud chcete proniknout někam, kam je poměrně obtížné se dostat. Výrazně v tom může pomoci to, že dnes lidé zevnitř firem chodí „ven“ na internet. Takže pokud se útočníkům podaří získat přístup k nějakým webům navštěvovaným jejich kýženou cílovou skupinou, mohou být hodně spokojení.

Několik dní na rozmezí listopadu a prosince sloužil americký www.forbes.com k velmi dobře cíleným útokům – prostřednictvím 0day zranitelnosti ve Flashi a zneužitelné chyby v Internet Exploreru. Útočníkům se také podařilo web hacknout. Nic netušící návštěvníky pak testoval útočný skript. Podle analýz byl hlavním cílem útoků kdokoliv z kontraktorů v rámci amerického ministerstva obrany, ale také finanční instituce. Nakonec je to logické, právě takové návštěvníky můžete na Forbes.com očekávat.

Nejparadoxnější na celém útoku bylo, že hacknuta byla asi nejvíce kritizovaná (a také zcela zbytečná) funkčnost na webu – Myšlenka dne (Thought of the Day), která je nejenom pozůstatkem minulého století, ale také ukázkou toho, jak těžce se mění zvyky příliš zabydlené v něčích myslích. 

Právě na tuto stránku totiž útočníci umístili kód testující Flash na výskyt chyby. Pokud byl test pozitivní, následoval další útočný skript, využívající 0day zranitelnost v Internet Exploreru. Ta právě pomocí Flashe umožnila zaútočit na počítač. Jak píší v analýzách, celé tohle trvalo okolo sedmi sekund.

Hackeři z Číny

Cílem měli být skutečně jenom návštěvníci umožňující proniknout do prostředí kontraktorů ministerstva obrany USA a servisních firem v oblasti finančnictví. Chyba ve Flashi (CVE-2014–9163) přitom byla opravená na začátku prosince, chyba v Internet Exploreru (CVE-2015–0071) ale mnohem později (10. února 2015).  K samotnému zneužití Forbes.com došlo na konci listopadu a trvalo jenom několik dní.

Když útok uspěl, dostal se útočník do počítače oběti a odtamtud se pokoušel pokračovat dál – do interních sítí firmy, na kterou ve skutečnosti cílil. Předpokládá se, že samotný útok byl dílem čínské skupiny jménem Codoso (někde též Sunshop Group), známé i z řady předchozích útoků na americké vládní, vojenské i další cíle.

Na útočící Forbes.com přišly systémy pro detekci napadení – jak uvádí Invincea.com, šlo například i o jejich systém. Analytici poté odhalili, že hackeři napadli Thought of the Day na Forbes.com, což je nejenom otravná a zbytečná věc, ale z nepochopitelných důvodů je to také flashový widget. 

Všechno, co jde zjistit

Podstatné pro útok bylo samozřejmě i využití již zmíněné 0day zranitelnosti v IE, kde je zajímavé to, že šlo o IE9+ a nižší verze jsou tímto způsobem napadnutelné přímo, bez nutnosti využít zranitelnost.

Už zmíněná Invincea.com v analýze uvádí poměrně dost detailů o tom, jak útok fungoval – po využití 0day zranitelnosti se na napadený počítač dostává potřebný škodlivý kód (v podobě dll souborů), který zjišťuje vše, co může zjistit o systému (využívá přitom zcela běžně dostupné systeminfo.exe), síťové konfiguraci (s využitím klasického ipconfig /all) i běžících programech (tasklist /v).

Vpašovaný software se pak stává součástí botnetové aktivity, ovládané řídícími počítači, a umožňuje vykonávat další činnosti. To celé prakticky bez jakékoliv šance, aby to napadený poznal. Pokud vás zajímají další informace k tomuto případu, zkuste ještě iSightPartners a článek na blogu.

Našli jste v článku chybu?

19. 2. 2015 9:12

MŠi (neregistrovaný)

To je důvod, proč informační bezpečnost nemohou a nemají dělat jen "ajťáci" a proč má určitý smysl i "formální bezpečnost", často z řad "ajťáků" vysmívaná (a v některých provedeních i oprávněně vysmívaná).

17. 2. 2015 8:01

fd (neregistrovaný)

Je k tomu treba jeste jeden nepodstatny detail - vule vedeni firmy.

Zkuste panum managerum znemoznit spoustet co si umanou a co jim kdo posle do mailu.

Jinak receno, nulove zabezpeceni je defakto standard, a ITci za to z 90% nemohou, nebot jen plni to, co si vedeni preje.

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!