Nejzajímavější bezpečnostní incidenty CSIRT.CZ Pavel Bašta pavel.basta@nic.cz 29.01.2015
CSIRT.CZ Národní CSIRT tým pro ČR Založen v rámci plnění grantu MV ČR Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky (2007 2010) V letech 2008 2010 provozován sdružením CESNET CZ.NIC provozuje pracoviště CSIRT.CZ od 1.1.2011 Status akreditovaný u TI Aktuálně 8 stálých členů týmu, další zdroje dle potřeby Vznik na základě Memoranda s MV ČR, poté s NBÚ www.csirt.cz
Statistika
Statistika MDM 2015 140000 120000 100000 80000 60000 40000 20000 0 Leden Únor Březen Duben
ROM-0 Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB) ZynOS Podezření na ROM-0 Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player
ROM-0 Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB) ZynOS Podezření na ROM-0 Údajně bez povolení vzdálené administrace Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player
ROM-0 Výsledky analýzy Kombinace chyb ROM-0 Ve výchozím nastavení povolena vzdálená administrace Chybí možnost konfigurace Chyba i v poslední verzi firmware z roku 2010 V ČR okolo 5000 zranitelných routerů
ROM-0 Prevence Publikování návodu na zablokování vzdáleného přístupu pomocí ACL http://rom-0.cz Spolupráce s médii Spolupráce s bankovním sektorem Za 4 měsíce pokles o 31,71 % (svět 17,42) Modifikace útoku u nás i ve světě (Edimax AR- 7084gB)
Pastebin Asus routery Na serveru pastebin publikován seznam 13 000 Asus routerů s nezaheslovaným FTP přístupem Povolení přístupu bez hesla je výchozí volba Možnost volně procházet obsah připojených disků IP rozděleny na zahraniční a české E-mailové schránky českých uživatelů Cca 1800 mailboxů s jmény a hesly
Exekuční e-maily E-maily informující o údajné neuhrazené pohledávce Úspěšná taktika Postupné zvyšování tlaku na uživatele První verze malware relativně jednoduchá Velké finanční ztráty
DSL modemy TP-Link a Zyxel Informace od jednoho z ISP Speciálně upravené pakety způsobovaly odpojování a restarty klientských zařízení Se znalostí signatury možno filtrovat pakety na páteřních routerech Veřejné upozornění bez podrobností Technické podrobnosti šířeny vlastními kanály
Krádež hesla na Gmail.com Přes napadený e-mailový účet posílány žádosti o zaslání peněz kontaktům majitelky mailboxu Na účtu smazány kontakty a zprávy, jazyk změněn na arabštinu Požádali jsme o zablokování schránky útočníka
Black Hat SEO Nahlášeno podivné chování stránky Zobrazovány dvě různé verze
Black Hat SEO Většinou správná verze Pouze jeden počítač s Firefoxem a wget ukazovaly verzi s Viagrou User Agent Switcher Cílem zlepšení pozice odkazovaných stránek ve vyhledávačích Provozovatel stránek o napadení informován
Trojský kůň Geodo Původně Feodo, známý také jako Cridex/Bugat Rozesílání falešných faktur v roce 2014 Deutshe Telekom, O2, Vodafone Geodo nová verze Feodo Ukradeno více než 50 000 SMTP credentials Jiný kód Stejné šifrování a stejný C&C server 1 900 unikátních IP adres v ČR
Spolupráce s Policií ČR V průběhu roku několik phishingových stránek Malware na doménách mimo ČR Aplikace pro Android On-line obchody Ukradená čísla kreditních karet a jejich CVV 28 domén v 7 zemích
Na co se připravit? Nárůst útoků všeho druhu už i v ČR Sofistikovanější a lépe zaměřené phishingové útoky Další zaměření útočníků na SoHo routery a IoT Pokračující útoky na CMS DoS/DDoS útoky zaměřené jasně na finanční zisk Nárůst podvodů na sociálních sítích
Služby CSIRT.CZ Skener webu Skenování bezpečnosti stránek zdarma Výstupem zpráva www.skenerwebu.cz Testování odolnosti sítě Inspirováno DDoS útoky z roku 2013 Možnost vyzkoušet různé druhy DDoS útoků na definované cíle Zdarma
Děkuji za pozornost Pavel Bašta pavel.basta@nic.cz