Eset
Avast
Ochrona programowa
Stormshield
Barracuda
Ochrona sprzętowa
Backup programowy
Backup sprzętowy
Narzędzia do backupu
Szyfrowanie danych
Systemy DLP
Systemy MDM
Szkolenia / wdrożenia
E-Konferencje
Ochrona dostępu
Zarządzanie podatnościami
Zarządzanie ITAtak na urządzenia mobilne.
Rozwiązania typu MDM (Mobile Device management) do zarządzania mobilną flotą są coraz popularniejsze w małych, średnich i większych przedsiębiorstwach. Zespoły ds. bezpieczeństwa muszą pamiętać o zagrożeniach wynikających z parowania urządzeń mobilnych z systemem MDM przez pracownika, ponieważ z takim niecodziennym incydentem mamy do czynienia. Eksperci z Cisco Talos Group wykryli złośliwe oprogramowanie zainstalowane na 13 urządzeniach Apple od 2015 orku. Najprawdopodobniej iPhony zostały przejęte przez socjotechniczny atak i nie zwróciły uwagi administratorów zhackowanej firmy.
Do końca nie wiadomo jak sparowano urządzenie z darmowym systemem MDM. Zwykle, aby to zrobić, należy uzyskać fizyczny dostęp do urządzenia lub wysłać użytkownikowi e-mail z linkiem do wdrożenia klienta — spersonalizowanego i wyraźnie identyfikującego przedsiębiorstwo. Czy przejęcie fizycznej kontroli nad urządzeniem jest bardziej prawdopodobne niż użycie socjotechniki i zainstalowanie klienta MDM?
Ekspertom udało się ustalić, że atakujący wykorzystał domenę „ios-certificate-update[.]com”, co poświadcza za atakiem socjotechnicznym. Autorzy raportu wskazują na jeszcze jeden argument przemawiający za socjotechniką — w domenie użyto angielskich słów, co dla lokalnego pracownika z Indii nieznającego angielskiego, może być czymś normalnym.
Zainstalowanie certyfikatu spoza zaufanych certyfikatów Apple dawało atakującemu (administratorowi serwera MDM) nieograniczone możliwości penetracji telefonu.
Analiza specjalistów d/s bezpieczeństwa IT wykazała, że:
- Na podstawie numeru seryjnego jest 13 skompromitowanych urządzeń.
- Na podstawie numerów telefonów i operatorów ustalono, że wszystkie telefony znajdują się w Indiach.
- Do przetestowania systemu MDM atakujący użył telefonów osobistych: dwa z nich miały ten sam numer telefonu i konta użytkowników „test” oraz „mdmdev”.
- Numer telefonu atakującego pochodził z Indii i był zarejestrowany w sieci Vodafone India.
- Na urządzeniu atakującego wyłączono roaming. Prawdopodobieństwo, że przestępca w czasie ataku znajdował się na terenie Indii jest duże.
Pięć zainfekowanych legalnych aplikacji
W tej kampanii zidentyfikowano pięć zupełnie legalnych aplikacji (Telegram, WhatsApp, AppsSLoader, PrayTime i MyApp), które zostały zdalnie zainstalowane na 13 urządzeniach i zainfekowane techniką BOptions. Atakujący wykorzystali tę samą metodę co grupa Hacking Team, o której więcej pisaliśmy przy okazji testowania antywirusów i handlowaniu exploitami w sieci Tor.
BOptions wykorzystano do wstrzykiwania złośliwego kodu do zainstalowanych aplikacji. Zainfekowany program, oprócz standardowych działań wykonuje dodatkowe polecenia: kradnie numery telefonów, wiadomości SMS, zdjęcia, historię rozmów z innych komunikatorów oraz pozostałe dane, którymi jest zainteresowany przestępca. Pozyskane w ten sposób informacje można wykorzystać przeciwko przedsiębiorstwu (do szantażu lub wyłudzenia okupu).
Ekspertom udało się ustalić, że złośliwe oprogramowanie było używane od sierpnia 2015 roku, a więc działało niezauważenie przez 3 lata. Napastnik pozostawił po sobie istotne dane na serwerze MDM, w tym samopodpisany certyfikat SSL (self-signed) wydany we wrześniu 2017 roku na rosyjski adres e-mail nicholas.vukoja @ mail.ru. W ataku zastosował też certyfikat, który został podpisany przez Comodo na adres e-mail Aleksi.Dushku @ mail.ru.
Szczegółowa analiza wykazała, że atakujący nie pochodził z Rosji, a działał pod fałszywą flagą, naśladując klasycznego „rosyjskiego hakera”.
Żródło: avlab.pl
Art Delarte