Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Transkript

1 Nejzajímavější bezpečnostní incidenty CSIRT.CZ Pavel Bašta

2 CSIRT.CZ Národní CSIRT tým pro ČR Založen v rámci plnění grantu MV ČR Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky ( ) V letech provozován sdružením CESNET CZ.NIC provozuje pracoviště CSIRT.CZ od Status akreditovaný u TI Aktuálně 8 stálých členů týmu, další zdroje dle potřeby Vznik na základě Memoranda s MV ČR, poté s NBÚ

3 Statistika

4 Statistika MDM Leden Únor Březen Duben

5 ROM-0 Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB) ZynOS Podezření na ROM-0 Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player

6 ROM-0 Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB) ZynOS Podezření na ROM-0 Údajně bez povolení vzdálené administrace Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player

7 ROM-0 Výsledky analýzy Kombinace chyb ROM-0 Ve výchozím nastavení povolena vzdálená administrace Chybí možnost konfigurace Chyba i v poslední verzi firmware z roku 2010 V ČR okolo 5000 zranitelných routerů

8 ROM-0 Prevence Publikování návodu na zablokování vzdáleného přístupu pomocí ACL Spolupráce s médii Spolupráce s bankovním sektorem Za 4 měsíce pokles o 31,71 % (svět 17,42) Modifikace útoku u nás i ve světě (Edimax AR- 7084gB)

9 Pastebin Asus routery Na serveru pastebin publikován seznam Asus routerů s nezaheslovaným FTP přístupem Povolení přístupu bez hesla je výchozí volba Možnost volně procházet obsah připojených disků IP rozděleny na zahraniční a české ové schránky českých uživatelů Cca 1800 mailboxů s jmény a hesly

10 Exekuční y y informující o údajné neuhrazené pohledávce Úspěšná taktika Postupné zvyšování tlaku na uživatele První verze malware relativně jednoduchá Velké finanční ztráty

11 DSL modemy TP-Link a Zyxel Informace od jednoho z ISP Speciálně upravené pakety způsobovaly odpojování a restarty klientských zařízení Se znalostí signatury možno filtrovat pakety na páteřních routerech Veřejné upozornění bez podrobností Technické podrobnosti šířeny vlastními kanály

12 Krádež hesla na Gmail.com Přes napadený ový účet posílány žádosti o zaslání peněz kontaktům majitelky mailboxu Na účtu smazány kontakty a zprávy, jazyk změněn na arabštinu Požádali jsme o zablokování schránky útočníka

13 Black Hat SEO Nahlášeno podivné chování stránky Zobrazovány dvě různé verze

14 Black Hat SEO Většinou správná verze Pouze jeden počítač s Firefoxem a wget ukazovaly verzi s Viagrou User Agent Switcher Cílem zlepšení pozice odkazovaných stránek ve vyhledávačích Provozovatel stránek o napadení informován

15 Trojský kůň Geodo Původně Feodo, známý také jako Cridex/Bugat Rozesílání falešných faktur v roce 2014 Deutshe Telekom, O2, Vodafone Geodo nová verze Feodo Ukradeno více než SMTP credentials Jiný kód Stejné šifrování a stejný C&C server unikátních IP adres v ČR

16 Spolupráce s Policií ČR V průběhu roku několik phishingových stránek Malware na doménách mimo ČR Aplikace pro Android On-line obchody Ukradená čísla kreditních karet a jejich CVV 28 domén v 7 zemích

17 Na co se připravit? Nárůst útoků všeho druhu už i v ČR Sofistikovanější a lépe zaměřené phishingové útoky Další zaměření útočníků na SoHo routery a IoT Pokračující útoky na CMS DoS/DDoS útoky zaměřené jasně na finanční zisk Nárůst podvodů na sociálních sítích

18 Služby CSIRT.CZ Skener webu Skenování bezpečnosti stránek zdarma Výstupem zpráva Testování odolnosti sítě Inspirováno DDoS útoky z roku 2013 Možnost vyzkoušet různé druhy DDoS útoků na definované cíle Zdarma

19 Děkuji za pozornost Pavel Bašta