Nejzajímavější bezpečnostní incidenty CSIRT.CZ
Pavel Bašta •
[email protected] • 29.01.2015
CSIRT.CZ ● ●
Národní CSIRT tým pro ČR Založen v rámci plnění grantu MV ČR „Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky“ (2007 – 2010)
●
V letech 2008 – 2010 provozován sdružením CESNET
●
CZ.NIC provozuje pracoviště CSIRT.CZ od 1.1.2011 ●
Status „akreditovaný“ u TI
●
Aktuálně 8 stálých členů týmu, další zdroje dle potřeby
●
Vznik na základě Memoranda s MV ČR, poté s NBÚ
●
www.csirt.cz
Statistika
Statistika MDM 2015 140000
120000
100000
80000
60000
40000
20000
0 Leden
Únor
Březen
Duben
ROM-0 ●
Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB)
●
ZynOS
●
Podezření na ROM-0
●
●
Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player
ROM-0 ●
Informace o změně nastavení DNS serveru na domácím routeru (TP-LINK TD-W8901GB)
●
ZynOS
●
Podezření na ROM-0
●
Údajně bez povolení vzdálené administrace
●
●
Všechny počítače v síti přesměrovávány na falešné stránky (Seznam,Google) Stažení update pro Flash Player
ROM-0 ●
Výsledky analýzy ●
Kombinace chyb
●
ROM-0
●
Ve výchozím nastavení povolena vzdálená administrace
●
Chybí možnost konfigurace
●
Chyba i v poslední verzi firmware z roku 2010
●
V ČR okolo 5000 zranitelných routerů
ROM-0 ●
Prevence ●
● ●
Publikování návodu na zablokování vzdáleného přístupu pomocí ACL
●
http://rom-0.cz
●
Spolupráce s médii
●
Spolupráce s bankovním sektorem
Za 4 měsíce pokles o 31,71 % (svět 17,42) Modifikace útoku u nás i ve světě (Edimax AR7084gB)
Pastebin ●
Asus routery ●
●
Na serveru pastebin publikován seznam 13 000 Asus routerů s nezaheslovaným FTP přístupem
●
Povolení přístupu bez hesla je výchozí volba
●
Možnost volně procházet obsah připojených disků
●
IP rozděleny na zahraniční a „české“
E-mailové schránky českých uživatelů ●
Cca 1800 mailboxů s jmény a hesly
Exekuční e-maily ●
E-maily informující o údajné neuhrazené pohledávce
●
Úspěšná taktika
●
Postupné zvyšování tlaku na uživatele
●
První verze malware relativně jednoduchá
●
Velké finanční ztráty
DSL modemy TP-Link a Zyxel ● ●
●
Informace od jednoho z ISP Speciálně upravené pakety způsobovaly odpojování a restarty klientských zařízení Se znalostí signatury možno filtrovat pakety na páteřních routerech
●
Veřejné upozornění bez podrobností
●
Technické podrobnosti šířeny vlastními kanály
Krádež hesla na Gmail.com ●
●
●
Přes napadený e-mailový účet posílány žádosti o zaslání peněz kontaktům majitelky mailboxu Na účtu smazány kontakty a zprávy, jazyk změněn na arabštinu Požádali jsme o zablokování schránky útočníka
Black Hat SEO ●
Nahlášeno podivné chování stránky
●
Zobrazovány dvě různé verze
Black Hat SEO ● ●
● ●
●
Většinou správná verze Pouze jeden počítač s Firefoxem a wget ukazovaly verzi s Viagrou User Agent Switcher Cílem zlepšení pozice odkazovaných stránek ve vyhledávačích Provozovatel stránek o napadení informován
Trojský kůň Geodo ●
●
Původně Feodo, známý také jako Cridex/Bugat ●
Rozesílání falešných faktur v roce 2014
●
Deutshe Telekom, O2, Vodafone
Geodo – nová verze Feodo ●
Ukradeno více než 50 000 SMTP credentials
●
Jiný kód
●
Stejné šifrování a stejný C&C server
●
1 900 unikátních IP adres v ČR
Spolupráce s Policií ČR ●
V průběhu roku několik phishingových stránek
●
Malware na doménách mimo ČR
●
Aplikace pro Android
●
On-line obchody
●
Ukradená čísla kreditních karet a jejich CVV
●
28 domén v 7 zemích
Na co se připravit? ● ●
Nárůst útoků všeho druhu už i v ČR Sofistikovanější a lépe zaměřené phishingové útoky
●
Další zaměření útočníků na SoHo routery a IoT
●
Pokračující útoky na CMS
●
●
DoS/DDoS útoky zaměřené jasně na finanční zisk Nárůst podvodů na sociálních sítích
Služby CSIRT.CZ ●
●
Skener webu ●
Skenování bezpečnosti stránek zdarma
●
Výstupem zpráva
●
www.skenerwebu.cz
Testování odolnosti sítě ● ●
●
Inspirováno DDoS útoky z roku 2013 Možnost vyzkoušet různé druhy DDoS útoků na definované cíle Zdarma
Děkuji za pozornost
Pavel Bašta •
[email protected]
