Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

Data: 17.11.2019 22:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #Kajmany #PhineasFisher #PwC #wlamanie #wyciek

Rzadko mamy okazję czytać profesjonalne raporty z udanego włamania do banku. Jeszcze rzadziej raporty te publikuje sam włamywacz, nie mówiąc o bug bounty dla innych hakerów za kolejne włamania.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

To jest jedna z ciekawszych historii, jakie przydarzyły się w ostatnich latach w naszej branży. Pamiętacie Phineasa Fishera, który włamał się do sieci producentów oprogramowania szpiegowskiego takich jak Gamma Group czy Hacking Team? Włamywacz nie poprzestał na tych atakach – jak twierdzi, w roku 2016 włamał się także do pewnego banku na Wyspie Man. Nie tylko ukradł stamtąd ponad 2 TB danych, ale wśród opublikowanych dokumentów zamieścił raport firmy PwC ze swojego włamania. Do tego ogłosił nagrodę dla innych włamywaczy, prawdopodobnie finansowaną ze środków wykradzionych z zaatakowanego banku. Co za historia! Ale po kolei.

2 TB danych z banku obsługującego bogaczy

Na Twitterze pojawił się wpis organizacji „Distributed Denial of Secrets” zawierający link do informacji wykradzionych z banku Cayman National Bank and Trust, który rzekomo brał udział w praniu pieniędzy rosyjskich oligarchów.

RELEASE: Sherwood – Copies of the servers of Cayman National Bank and Trust (CNBT), which has allegedly been used for money laundering by Russian oligarchs and others.



Includes a HackBack readme explaining Phineas Fisher's hack and exfiltration of funds. https://t.co/xoQLSjBFX3



— Distributed Denial of Secrets (@DDoSecrets) November 17, 2019

Pod linkiem znajdziemy ogromne zbiory danych, rzekomo wykradzione z ww. banku i zawierające nie tylko historię rachunków jego klientów, ale także kopię korespondencji elektronicznej pracowników banku. Dane te zostały wcześniej udostępnione konsorcjum dziennikarzy śledczych, a wkrótce zbiór ma zostać dołączony do publicznie dostępnej wyszukiwarki informacji.

Równocześnie w sieci pojawił się manifest Phineasa Fishera, który poinformował, że stał za tym włamaniem (tu krótsza wersja po angielsku – oryginał napisano po hiszpańsku). Phineas nie tylko opisuje okoliczności ataku (miał rzekomo użyć tego samego exploita, którym pokonał zabezpieczenia Hacking Teamu, o czym w kolejnym akapicie), ale także informuje, że ukradł kilkaset tysięcy dolarów, z których zamierza finansować nagrody dla innych włamywaczy, atakujących podobne cele. Pisze, że maksymalna nagroda może wynosić nawet 100 000 dolarów. Czas pokaże, czy przekona to innych napastników.

Przebieg włamania

W ustaleniu, jak doszło do włamania, pomogą nam dwa źródła – wpis Phineasa oraz ujawniony przy okazji raport z włamania, opracowany przez PwC. Pomoże też Google Translate, ponieważ Phineas pisze po hiszpańsku.

Raport PwC podkreśla dwa istotne elementy, ograniczające jego poziom szczegółowości. Pierwszy to niewielka dostępność logów – wiele informacji nie było przez bank w żaden sposób rejestrowanych, a pozostałe były dość szybko nadpisywane, przez co nie zachowała się pełna historia wydarzeń. Drugim ograniczeniem był budżet i zakres projektu – w wielu miejscach analitycy PwC wskazują, że danego wątku nie analizowali ze względu na ograniczenia projektowe.

Podczas gdy Phineas informuje, że dostał się do sieci za pomocą exploita na urządzenie sieciowe, PwC wskazuje, że nie znalazło oczywistych śladów pierwotnej infekcji z uwagi na brak logów. Informuje za to, że w przeskanowanej poczcie banku znalazło kilka przykładów ogólnych ataków oraz co najmniej jeden atak dedykowany – złośliwy kod dołączony do wiadomości poczty elektronicznej, korzystający z domeny sterującej założonej tuż przed atakiem. Sam Phineas komentuje, że być może nie był jedynym włamywaczem w sieci banku.

Co do kolejnych kroków obie strony w pełni się zgadzają – Phineas przeszedł do klasycznego działania włamywacza, czyli rozpoznania sieci i penetracji jej dodatkowych obszarów.

7 stycznia 2016 bank zorientował się, że kilka przelewów SWIFT zawiera błędy. To pozwoliło zidentyfikować fakt, że ktoś buszuje w jego sieci. 19 stycznia 2016 do analizy incydentu wynajęto PwC. Z 10 kluczowych systemów banku aż 7 znajdowało się pod kontrolą włamywacza. Atakującemu chodziło zarówno o kradzież informacji, jak i pieniędzy. Zgadza się to z wersją przedstawioną przez włamywacza. Sam Phineas przyznaje, że nie miał żadnego doświadczenia z systemem SWIFT i aby nauczyć się jego obsługi, zaczął od wyszukania plików z ciągiem „SWIFT” w nazwie i ich pobrania. Nie znalazł tam jednak wystarczająco szczegółowych instrukcji, dlatego na stacjach roboczych pracowników zajmujących się przelewami zainstalował złośliwe oprogramowanie, które zapisywało naciskane klawisze i robiło zrzuty ekranów. Jak twierdzi, zgromadzona w ten sposób wiedza bardzo mu pomogła. Pracownicy używali Citrixa, by łączyć się do usługi firmy Bottomline, gdzie obsługiwali interfejs systemu SWIFT. Do autoryzacji przelewu potrzebne były potwierdzenia trzech osób, ale Phineas przejął kontrolę nad wszystkimi trzema kontami.

Jak sam podkreśla, Phineas nie miał bladego pojęcia, jak używać systemu SWIFT i uczył się w trakcie próby kradzieży. Pierwsze przelewy udało mu się zlecić prawidłowo, jednak w kolejnych popełnił błędy, które go zdradziły. Najpierw podał zły kod waluty dla przelewów międzynarodowych, a w kolejnej próbie przekroczył limit transferów dla przelewów przyspieszonych. Oba błędy zostały zauważone przez pracowników banku, którzy zgłosili anomalie i zablokowali możliwość dalszej kradzieży.

Phineas pisze, jak wygodnie pracowało mu się z PowerShellem i raport PwC to potwierdza. Najstarsze wykryte ślady aktywności włamywacza w systemach firmy sięgają 8 grudnia 2015, jednak brak wcześniejszych logów nie wyklucza, że do włamania mogło dojść przed tą datą. Znaleziono między innymi ślady skanowania serwerów przez włamywacza z lipca 2015.

Między godziną pierwszej aktywności na pierwszym z zainfekowanych serwerów a uruchomieniem złośliwego kodu na kontrolerze domeny minęło 39 minut.

Raport PwC potwierdza, że włamywacz pilnie studiował ciekawe dokumenty firmy. Zwróćcie uwagę na nazwy plików.

Raport potwierdza także intensywne korzystanie z keyloggerów i próby dostania się do poczty pracowników. W dokumencie znajdziecie również analizę fragmentów skryptów i narzędzi użytych przez włamywacza.

PwC potwierdza ponadto, że do przelewów SWIFT doszło już 5 stycznia 2016, podczas gdy pierwszy przelew odrzucony został 6 stycznia wieczorem. Nie znajdziemy tam jednak informacji o wysokości strat poniesionych przez bank na skutek nieautoryzowanych transakcji. Raport zawiera oczywiście także sporą sekcję rekomendacji – zalecamy jej lekturę bankowym obrońcom.

Podsumowanie

Nie wiemy, dlaczego do publikacji danych doszło dopiero 3 lata po włamaniu. Nie wiemy też jeszcze, czy wśród klientów banku znajdują się Polacy (wstępny rzut oka na dostępne informacje nie wskazuje na bezpośrednie powiązania klientów z naszym krajem). Wiemy jednak, że to kolejny ciekawy przykład pokazujący, jak prosto jest włamać się do poważnej instytucji i – mamy nadzieję – kolejny wyraźny sygnał, że czas naprawdę zadbać w firmach o podstawy bezpieczeństwa. Lista rekomendacji z raportu PwC niech będzie drogowskazem, w którym kierunku podążać, by nie zostać bohaterami kolejnego wycieku.

Aplikacje randkowe ujawniają informacje o lokalizacji ponad 10 mln użytkowników

Data: 16.08.2019 11:05

Autor: ziemianin

#Bezpieczenstwo #API #APLIKACJERANDKOWE #DANEWRAzLIWE #LOKALIZACJA #PARY #PODATNOsc #RANDKI ONLINE #WYCIEK #codziennaprasowka #wiadomosci

Chociaż wydaje się to nieprawdopodobne, to obecnie wystarczy, że sprawny haker zna naszą nazwę użytkownika, żeby bez problemu odnaleźć nas w rzeczywistości.

Aplikacje randkowe ujawniają informacje o lokalizacji ponad 10 mln użytkowników

Wymagany angielski

Źródło: PenTestPartners

Jak informują socjologowie z Uniwersytetu Stanforda, aplikacje randkowe online są obecnie najpopularniejszą formą łączenia się w pary, z wynikiem blisko 50% wszystkich heteroseksualnych par – w monitorowanym czasie między 2009 a 2017 roku tendencja ta ciągle rosła. I choć większość z nas zdaje sobie sprawę, że nasza obecność na tego typu stronach daleka jest od anonimowej, głównie za sprawą mnogości informacji, jakimi się w nich dzielimy, np. pracodawca, adres czy obecna lokalizacja, to raczej mało kto spodziewa się, że jest to wręcz kopalnia złota dla hakerów.

Tym bardziej, że jak się właśnie okazuje, wiele aplikacji randkowych ma pewną podatność w interfejsie programistycznym (API), dzięki której hakerzy są w stanie uzyskać dostęp do naszej lokalizacji i wykorzystać ją w dowolnym celu. I trzeba tu podkreślić, że jedyne, czego potrzebuje taka osoba, to nasza nazwa użytkownika. Podatność została odkryta przez zajmującą się bezpieczeństwem firmę Pen Test Partners, której udało się zademonstrować atak z jej wykorzystaniem i uzyskanie dostępu do informacji na temat miejsca zamieszkania czy pracy konkretnych użytkowników.

Badacze ujawnili, że same tylko aplikacje Romeo, Grindr, 3Fun i Recon mogły w ten sposób narazić aż 10 milionów użytkowników! Przy okazji wyznali też, że reakcja twórców tych popularnych serwisów była mieszana – Romeo wyjaśnia, że ich aplikacja ma opcję podawania przybliżonej lokacji, ale nie jest domyślnie włączona, Recon zapewnił, że już pracuje nad stosownym fixem, by zmniejszyć precyzję lokalizacji, a Grindr nie zdecydował się na odpowiedź (wcześniej twierdził, że podaje mało precyzyjną lokalizację, która nie stanowi zagrożenia, choć testy Pen Test Partners pokazały coś innego).

Jeżeli zaś chodzi o 3Fun, naukowcy twierdzą, że jest najbardziej podatne na ataki, z łatwością udostępniając nie tylko lokalizację, ale i zapis rozmów, zdjęcia czy seksualne preferencje. Mówiąc krótko, bezpiecznie nie jest i Google oraz Apple powinny z pewnością pochylić się nad stworzeniem API dla aplikacji randkowych, aby deweloperzy mogli samodzielnie zredukować precyzyjność danych lokalizacyjnych. Czy jest na to szansa? Najprawdopodobniej tak, skoro obaj giganci usuwają już ze swoich sklepów aplikacje randkowe, które umożliwiają korzystanie zbyt młodym użytkownikom, ale nie zmienia to faktu, że sami też powinniśmy mieć świadomość zagrożeń, jakie mogą płynąć z podawania swoich danych w sieci.

Podcast random:press 009: insulinowy hacking, ziemniaki GMO, atak na Dockera

Data: 01.05.2019 17:32

Autor: siefca

randomseed.pl

Hakowanie pomp insulinowych, PepsiCo pozywa rolników w Indiach, duży wyciek danych z chmury Microsoftu, włamanie do Docker Huba, wyciekły dane finansowe dużych korporacji, konwerter raportów systemu Windows, detektor anomalii na bazie geolokalizacji adresów IP, informacje o lukach w urządzeniach sieciowych Huawei.

#podcast #randompress #technologia #security #GMO #cukrzyca #docker #wyciek