Atak na urządzenia mobilne.

04.03.2020

Atak na urządzenia mobilne.

Rozwiązania typu MDM (Mobile Device management) do zarządzania mobilną flotą są coraz popularniejsze w małych, średnich i większych przedsiębiorstwach. Zespoły ds. bezpieczeństwa muszą pamiętać o zagrożeniach wynikających z parowania urządzeń mobilnych z systemem MDM przez pracownika, ponieważ z takim niecodziennym incydentem mamy do czynienia. Eksperci z Cisco Talos Group wykryli złośliwe oprogramowanie zainstalowane na 13 urządzeniach Apple od 2015 orku. Najprawdopodobniej iPhony zostały przejęte przez socjotechniczny atak i nie zwróciły uwagi administratorów zhackowanej firmy.

Do końca nie wiadomo jak sparowano urządzenie z darmowym systemem MDM. Zwykle, aby to zrobić, należy uzyskać fizyczny dostęp do urządzenia lub wysłać użytkownikowi e-mail z linkiem do wdrożenia klienta — spersonalizowanego i wyraźnie identyfikującego przedsiębiorstwo. Czy przejęcie fizycznej kontroli nad urządzeniem jest bardziej prawdopodobne niż użycie socjotechniki i zainstalowanie klienta MDM?

Ekspertom udało się ustalić, że atakujący wykorzystał domenę „ios-certificate-update[.]com”, co poświadcza za atakiem socjotechnicznym. Autorzy raportu wskazują na jeszcze jeden argument przemawiający za socjotechniką — w domenie użyto angielskich słów, co dla lokalnego pracownika z Indii nieznającego angielskiego, może być czymś normalnym.

Zainstalowanie certyfikatu spoza zaufanych certyfikatów Apple dawało atakującemu (administratorowi serwera MDM) nieograniczone możliwości penetracji telefonu.
Analiza specjalistów d/s bezpieczeństwa IT wykazała, że:

- Na podstawie numeru seryjnego jest 13 skompromitowanych urządzeń.
- Na podstawie numerów telefonów i operatorów ustalono, że wszystkie telefony znajdują się w Indiach.
- Do przetestowania systemu MDM atakujący użył telefonów osobistych: dwa z nich miały ten sam numer telefonu i konta użytkowników „test” oraz „mdmdev”.
- Numer telefonu atakującego pochodził z Indii i był zarejestrowany w sieci Vodafone India.
- Na urządzeniu atakującego wyłączono roaming. Prawdopodobieństwo, że przestępca w czasie ataku znajdował się na terenie Indii jest duże.

Pięć zainfekowanych legalnych aplikacji

W tej kampanii zidentyfikowano pięć zupełnie legalnych aplikacji (Telegram, WhatsApp, AppsSLoader, PrayTime i MyApp), które zostały zdalnie zainstalowane na 13 urządzeniach i zainfekowane techniką BOptions. Atakujący wykorzystali tę samą metodę co grupa Hacking Team, o której więcej pisaliśmy przy okazji testowania antywirusów i handlowaniu exploitami w sieci Tor.

BOptions wykorzystano do wstrzykiwania złośliwego kodu do zainstalowanych aplikacji. Zainfekowany program, oprócz standardowych działań wykonuje dodatkowe polecenia: kradnie numery telefonów, wiadomości SMS, zdjęcia, historię rozmów z innych komunikatorów oraz pozostałe dane, którymi jest zainteresowany przestępca. Pozyskane w ten sposób informacje można wykorzystać przeciwko przedsiębiorstwu (do szantażu lub wyłudzenia okupu).

Ekspertom udało się ustalić, że złośliwe oprogramowanie było używane od sierpnia 2015 roku, a więc działało niezauważenie przez 3 lata. Napastnik pozostawił po sobie istotne dane na serwerze MDM, w tym samopodpisany certyfikat SSL (self-signed) wydany we wrześniu 2017 roku na rosyjski adres e-mail nicholas.vukoja @ mail.ru. W ataku zastosował też certyfikat, który został podpisany przez Comodo na adres e-mail Aleksi.Dushku @ mail.ru.

Szczegółowa analiza wykazała, że atakujący nie pochodził z Rosji, a działał pod fałszywą flagą, naśladując klasycznego „rosyjskiego hakera”.

Żródło: avlab.pl 

więcej >
Nie wiesz, który produkt będzie najlepszy dla Twojej firmy?
Zadzwoń lub napisz do nas - rozwiejemy Twoje wątpliwości.
56 623 23 38