Hlavní navigace

Jak hacknout firemní počítače? Posloužil Flash, Internet Explorer a Forbes.com

Daniel Dočekal 16. 2. 2015

Hacknutý web Forbesu zneužíval zero-day zranitelnosti k cíleným útokům na vládní kontraktory a zaměstnance finančních služeb. Stačilo přitom dost málo.

Dokázat dobře cílit útok je většinou k nezaplacení, zejména pokud chcete proniknout někam, kam je poměrně obtížné se dostat. Výrazně v tom může pomoci to, že dnes lidé zevnitř firem chodí „ven“ na internet. Takže pokud se útočníkům podaří získat přístup k nějakým webům navštěvovaným jejich kýženou cílovou skupinou, mohou být hodně spokojení.

Několik dní na rozmezí listopadu a prosince sloužil americký www.forbes.com k velmi dobře cíleným útokům – prostřednictvím 0day zranitelnosti ve Flashi a zneužitelné chyby v Internet Exploreru. Útočníkům se také podařilo web hacknout. Nic netušící návštěvníky pak testoval útočný skript. Podle analýz byl hlavním cílem útoků kdokoliv z kontraktorů v rámci amerického ministerstva obrany, ale také finanční instituce. Nakonec je to logické, právě takové návštěvníky můžete na Forbes.com očekávat.

Nejparadoxnější na celém útoku bylo, že hacknuta byla asi nejvíce kritizovaná (a také zcela zbytečná) funkčnost na webu – Myšlenka dne (Thought of the Day), která je nejenom pozůstatkem minulého století, ale také ukázkou toho, jak těžce se mění zvyky příliš zabydlené v něčích myslích. 

Právě na tuto stránku totiž útočníci umístili kód testující Flash na výskyt chyby. Pokud byl test pozitivní, následoval další útočný skript, využívající 0day zranitelnost v Internet Exploreru. Ta právě pomocí Flashe umožnila zaútočit na počítač. Jak píší v analýzách, celé tohle trvalo okolo sedmi sekund.

Hackeři z Číny

Cílem měli být skutečně jenom návštěvníci umožňující proniknout do prostředí kontraktorů ministerstva obrany USA a servisních firem v oblasti finančnictví. Chyba ve Flashi (CVE-2014–9163) přitom byla opravená na začátku prosince, chyba v Internet Exploreru (CVE-2015–0071) ale mnohem později (10. února 2015).  K samotnému zneužití Forbes.com došlo na konci listopadu a trvalo jenom několik dní.

Když útok uspěl, dostal se útočník do počítače oběti a odtamtud se pokoušel pokračovat dál – do interních sítí firmy, na kterou ve skutečnosti cílil. Předpokládá se, že samotný útok byl dílem čínské skupiny jménem Codoso (někde též Sunshop Group), známé i z řady předchozích útoků na americké vládní, vojenské i další cíle.

Na útočící Forbes.com přišly systémy pro detekci napadení – jak uvádí Invincea.com, šlo například i o jejich systém. Analytici poté odhalili, že hackeři napadli Thought of the Day na Forbes.com, což je nejenom otravná a zbytečná věc, ale z nepochopitelných důvodů je to také flashový widget. 

Všechno, co jde zjistit

Podstatné pro útok bylo samozřejmě i využití již zmíněné 0day zranitelnosti v IE, kde je zajímavé to, že šlo o IE9+ a nižší verze jsou tímto způsobem napadnutelné přímo, bez nutnosti využít zranitelnost.

CIF16

Už zmíněná Invincea.com v analýze uvádí poměrně dost detailů o tom, jak útok fungoval – po využití 0day zranitelnosti se na napadený počítač dostává potřebný škodlivý kód (v podobě dll souborů), který zjišťuje vše, co může zjistit o systému (využívá přitom zcela běžně dostupné systeminfo.exe), síťové konfiguraci (s využitím klasického ipconfig /all) i běžících programech (tasklist /v).

Vpašovaný software se pak stává součástí botnetové aktivity, ovládané řídícími počítači, a umožňuje vykonávat další činnosti. To celé prakticky bez jakékoliv šance, aby to napadený poznal. Pokud vás zajímají další informace k tomuto případu, zkuste ještě iSightPartners a článek na blogu.

Našli jste v článku chybu?
120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: RTB už není výprodej volného prostoru

RTB už není výprodej volného prostoru

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?