Nowy, globalny cyberatak hakerów

Zaledwie miesiąc i dwa tygodnie po poprzednim ataku wirusa komputerowego WannaCry, w dniu 27.06.2017 nastąpiła "powtórka z rozrywki".  Zaatakował tym razem prawdopodobnie wirus Pietia [Petya].  Robił on dokładnie to samo, co jego poprzednik, czyli szyfrował dane w komputerze i żądał okupu za ich odszyfrowanie.  Zaatakował Ukrainę, Rosję, USA i Europę Zachodnią {TUTAJ}.  Moją notkę na temat poprzedniego ataku {TUTAJ} zakończyłam następująco:

  "Mamy więc przestępstwo doskonałe.  Szajka zbiera okupy, nikt nie wie co zrobić z zainfekowanymi komputerami, a sprawcy pozostają nieznani.  Współczesna technologia stwarza rzeczywiście nieograniczone możliwości :)))".

  Tym razem przestępcy zbytnio się nie obłowili, gdyż ich konta zostały zablokowane po wpłaceniu na nie zaledwie 10000 dolarów [w bitcoinach].  Nikomu jednak nie jest do śmiechu.  Nawet polskie władze się zaniepokoiły i na dziś [28.06.2017] rano premier Beata Szydło zwołała posiedzenie Rządowego Zespołu Zarządzania Kryzysowego {TUTAJ}.  Zakończyło się ono wprawdzie stwierdzeniem, iż nie ma potrzeby podnoszenia stopnia alarmu, ale sam fakt jego odbycia jest znamienny.

  W dodatku obecne ataki hakerów to zaledwie przygrywka do tego, co może czekać nas w przyszłości.  W weekendowym numerze dziennika "Polska" z 23=25.06.2017 ukazał się artykuł Witolda Głowackiego "Industroyer - nowa broń rosyjskich hakerów. Jak zaatakować Polskę nie ruszając się sprzed komputera" {TUTAJ}.  Czytamy w nim:

  "Przed tygodniem za sprawą Washington Post dowiedzieliśmy się, że rosyjscy hakerzy opracowali cyberbroń, przy której słynny Stuxnet użyty 8 lat temu do skutecznego ataku na irańskie instalacje atomowe, to subtelny zabytek. To Industroyer - funkcjonuje również nazwa CrashOverride - oprogramowanie, za pomocą którego hakerzy związani z rosyjskimi służbami mogą przejąć kontrolę nad procesami przemysłowymi lub nad działaniem sieci energetycznych, gazowych, czy wodociągowych. Istnienie Industroyera potwierdzili eksperci z firm ESET i Dragos. Co więcej, wszystko wskazuje na to, że ta cyberbroń została już użyta.". 

  Efektem jej działania miała być wielka awaria sieci energetycznej w Kijowie w grudniu 2016.  Głowacki tak opisuje industroyera:

  "To z pozoru prosta, w rzeczywistości natomiast bardzo wyrafinowana cyberbroń działająca w bardzo specyficznym i nieco trącącym myszką środowisku. Narzędzie pozwala na przejęcie kontroli nad protokołami stworzonymi do zarządzania urządzeniami energetycznymi. Chodzi o protokoły opracowywane nawet kilkadziesiąt lat temu, oczywiście z myślą o działaniu w prostej, zamkniętej sieci - pozbawionej jakiegokolwiek połączenia z Internetem. To sprawiało, że długo uważane były za niemal całkowicie bezpieczne, jeśli chodzi o zagrożenia związane z cyberprzestępczością i działaniami cyberwojennymi. Industroyer potrafi teoretycznie dość niewiele, bo „tylko” przekazuje proste sygnały przemysłowym przełącznikom i wyłącznikom. Działa w czterech konkretnych standardach sieciowych powszechnie stosowanych w przemyśle i energetyce. Najprawdopodobniej nie infekuje samej sieci przemysłowej, wiadomo natomiast, że jego głównym celem są sterujące nią komputery. Industroyer działa w nich trochę tak, jak każdy inny rodzaj malware, czyli złośliwych programów - instaluje się w sposób niezwykle trudny do wykrycia zarówno przez operatorów, jak i administratorów sieci, następnie łączy ze zdalnym serwerem, z którego odbiera polecenia a następnie je wykonuje".

  Z tego zdalnego serwera można dokonywać najrozmaitszych aktów sabotażu.  Najważniejsza jest kompletna bezradność wobec cyberataków.  Nie wiadomo nawet czy wczorajszego ataku dokonali rosyjscy, czy północnokoreańscy hakerzy.  A może jeszcze ktoś inny?

Forum jest miejscem wymiany opinii użytkowników, myśli, informacji, komentarzy, nawiązywania kontaktów i rodzenia się inicjatyw. Dlatego eliminowane będą wszelkie wpisy wielokrotne, zawierające wulgarne słowa i wyrażenia, groźby karalne, obrzucanie się obelgami, obrażanie forumowiczów, członków redakcji i innych osób. Bezwzględnie będziemy zwalczali trollowanie, wszczynanie awantur i prowokowanie. Jeśli czyjaś opinia nie została dopuszczona, to znaczy, że zaliczona została do jednej z wymienionych kategorii. Jednocześnie podkreślamy, iż rozumiemy, że nasze środowisko chce mieć miejsce odreagowywania wielu lat poniżania i ciągłej nagonki na nas przez obóz "miłości", ale nie upoważnia to do stosowania wulgarnego języka. Dopuszczalna jest natomiast nawet najostrzejsza krytyka, ale bez wycieczek osobistych.

Komentarze

Obrazek użytkownika Marek1taki

28-06-2017 [20:53] - Marek1taki | Link:

To są ataki propagandowe. Potem ktoś się przechwala, że zapłacił okup. I to w bitcoinach. Władza dostaje pretekst do dokręcania śruby szarakom.
Tak samo jest na lotniskach - powstała celebra odpraw. Pranie mózgu osiągnęło ten poziom co za Stalina: ostatnio któraś z telewizji informowała, że pasażerowie zakablowali sąsiadów rozmawiających w czasie lotu o bombach. I fałszywie oskarżonych o terroryzm wysadzono po przymusowym lądowaniu, i obciążą kosztami. Jak typowych terrorystów, co nie?

Obrazek użytkownika elig

28-06-2017 [23:08] - elig | Link:

Ano właśnie.  Panika i histeria zawsze działają tak samo.

Obrazek użytkownika Imć Waszeć

29-06-2017 [14:14] - Imć Waszeć | Link:

Myślę, że już mogę podsumować i zakończyć ten temat.

W latach 90' popularne były tzw. wirusy dyskowe, czyli atakujące boot sectory dysków i dyskietek. Uruchamiały się one dzięki temu, że po uruchomieniu komputera i wykonaniu wszystkich czynności przez BIOS płyty głównej (w tym podpięciu biosów innych kart rozszerzeń jak powiedzmy karta graficzna do przestrzeni adresowej powyżej 640 MB - system DOS), sterowanie było oddawane do Boot sectora pierwszego na taśmie dysku twardego lub pierwszej na taśmie stacji dyskietek w zależności od konfiguracji i ustawienia zwór na płycie głównej. Boot sector miał za zadanie odszukanie i uruchomienie właściwego systemu operacyjnego z wybranej partycji aktywnej. Mógł być to DOS, Linux, Unix, BSD, później Windows, wedle życzenia. Co zdolniejsi ludzie mogli w oparciu o ten mechanizm napisać nawet swój własny system operacyjny, co też niejednokrotnie czynili (extendery pamięci np.).

Różnica pomiędzy twardym dyskiem a dyskietką była taka, że dyskietka miała tylko jeden boot sector, zaś dysk twardy miał jeden master boot sector zawierający mapę partycji na dysku, a w każdej partycji boot sector specjalnie dla niej. Oczywiście można było ten schemat rozwijać dalej i boot sector wybranej partycji znów zrobić master boot sectorem z własna mapą własnych partycji itd. Gdy wirus zarażał (master)boot sector, to zazwyczaj przenosił pierwotną zawartość w inne miejsce i wpisywał tam swój kod. Po wykonaniu swoich czynności, zwykle oddawał sterowanie do systemu i udawał, że go nie ma. Wisiał jedynie na biosowym przerwaniu INT 13 (zapis/odczyt sektorów dysku) i czekał na włożenie dyskietki do stacji. Wtedy ją zarażał. Dyskietka wędrowała do innego komputera i cykl się zamykał zarażeniem (master)boot sectora kolejnej ofiary.

Twórcom wirusów dyskowych już na samym początku znudziło się samo wyświetlanie komunikatu o zarażeniu, więc postanowili popsocić. Już jeden z pierwszych wirusów dyskowych Dics Killer szyfrował i uszkadzał zapisy na dysku:
https://home.mcafee.com/virusi...
Potem pojawili się następcy, jak powiedzmy rodzina wirusów Stoned, w tym Stoned Kiev, a nawet sławna rodzina Michałów Aniołów (Michelangelo), jednak ten ostatni nie patyczkował się w szyfrowanie, tylko mazał gdzie popadnie. Wtedy też oszołomy siały panikę, że Michelangelo zamazuje FAT, czyli mapę plików i niszczy go. Nic bardziej błędnego. Nawet po zniszczeniu całego FAT, obu kopii, nadal można było odzyskiwać wszystkie dane z dysku, ale była to praca benedyktyńska, albo trzeba było mieć do tego głowę i napisać inteligentny program. W latach 90' odzyskiwałem takie "kompletnie" zniszczone dyski, więc wiem coś o tym.

Potem przyszły czasy Win95/98 i mędrcy komputerowi zaczęli wieszczyć koniec ery wirusów komputerowych. Różne były podawane tego przyczyny: od super zabezpieczeń (Microsoft), po skomplikowanie samego systemu (niektórzy antywirusowcy). >> cdn.

Obrazek użytkownika Imć Waszeć

29-06-2017 [14:50] - Imć Waszeć | Link:

Wszystkie te proroctwa już w 1995 można było o kant Donalda potłuc. Nagłówki plików wykonywalnych LE (Win 3.x) przeszły w nagłówki PE i pojawił się już wtedy wirus, który stosował technikę podobną do debuggerów typu Soft Ice i zarażał pliki wisząc w liście sterowników systemu. Wszyscy mędrcy się ośmieszyli, ale co tam, gęba nie cholewa. Zerwali się do lotu znów z pojawieniem się nowych systemów plików na dysku jak NTFS. Mimo tego wirusy dyskowe nadal żyły sobie w jakiejś niszy i nic sobie nie robiły z proroctw mędrców. Przestały być problemem głównie dlatego, że twórcy wirusów byli bardziej zainteresowani robieniem czegoś po wystartowaniu systemu, niż tępym psuciem dysków.

Minęło ponad 20 lat i jesteśmy znów w punkcie wyjścia. Znów zagrażają nam wirusy dyskowe szyfrujące sektory dysków twardych. Tyle, że dla odmiany nazywają się ransomware. Zmieniły się też algorytmy szyfrujące.

Obecnie jest już znana metoda odzyskania danych z dysku po ataku wirusów WannaCry czy Petya i można o tym przeczytac w Internecie. problem w tym, że stosują one bardzo silne szyfrowanie, które kiedyś dostępne było jedynie dla wojska. Jest to 128 bitowy standard AES z kluczem publicznym i są to szyfry strumieniowe. Reszta informacji w linkach:

To jest algorytm dekryptażu dla wirusa Petya: https://github.com/leo-stone/h...
O tym wirusie: https://blog.malwarebytes.com/...
A to jest metoda szyfrowania Salsa20 (mówią, że Petya stosuje słabszy 16-bitowy wariant Salsa10): https://cr.yp.to/salsa20.html

Reasumując, nie ma problemu ransomware typu Petya, tak jak to sugerują media. Jest za to problem oszołomów siejących panikę, a także niskie umiejętności ludzi odpowiedzialnych za bezpieczeństwo komputerowe poszczególnych firm, instytucji, a nawet całych krajów. Niskie umiejętności decydentów i rządowych informatyków pociągają braki w wyobraźni i falowanie całego systemu od incydentu do incydentu, niczym trybuna na stadionie piłkarskim. Jak już w innym miejscu pisałem, że czterech ćwierćinteligentów z super papierami nigdy nie zastąpi w pracy nawet jednego inteligenta z wyobraźnią i doświadczeniem. No to teraz czekamy, o czym będą krzyczeć następnym razem ;)

Ja to widzę tak: https://www.youtube.com/watch?...
https://www.youtube.com/watch?...
:_)))))

Obrazek użytkownika Secesh

28-06-2017 [23:45] - Secesh | Link:

Ruscy hakerzy to, Ruscy hakerzy tamto. Nudne.
O wiele ciekwszy jest temat katastrofy elektorwni atomowej Fukushima i jak mogło do niej dojść. Ciekawe, bo dotyczy tematu tabu we wszystkich, no prawie wszystkich, środkach przekazu. W każdym razie niektórzy za tę katastrofę winią wirusa Stuxnet. W/g Wikipedii autorami tego wirusa są USA i pewne państewko nad Morzem Śródziemnym.
http://www.jimstonefreelance.c...
 

Obrazek użytkownika Imć Waszeć

29-06-2017 [18:56] - Imć Waszeć | Link:

Z tego co mówią w mediach, to sprawa jest dość prosta. Można to wyjaśnić na palcach. W firmie tworzącej oprogramowanie dla księgowości i rozsyłającej poprawki do programu online, ktoś z zewnątrz lub z wewnątrz (śmieciarz, ochroniarz z zarażonym pendrivem, który chciał sobie pooglądać w nocy gołe laski) zapuścił wirusa do pakietu poprawek. Nazwijmy to po prostu wirusem, bo nie ma co rozwlekać. W momencie rozsyłania poprawek wirus trafił do każdego klienta, który miał włączony komputer i tam wirus wystartował.

Mogło to wyglądać tak, że pojawił się bluescreen, lub jakiś głupi obrazek, myszka i klawiatura przestały odpowiadać, a dysk rozpoczął rzężenie. Teraz wszystko zależy od klasy sprzętu i jego wydajności. Jeśli to słaby sprzęt, to proces szyfrowania 1 GB danych może trwać od 15 do 30 minut (czasem dłużej). Pal licho, dla przykładu weźmy liczbę 10 GB w godzinę (porównuję to z przeciętnym czasem ZIP-owania). Wtedy zaszyfrowanie całego typowego współczesnego dysku 1 TB = 1000 GB musiałoby trwać sto godzin non stop. To jest jakieś 4 doby.

Mamy 3 możliwe sytuacje: 1) wirus szyfruje sektory dysku (historyczna, nierealna przy działającym systemie); 2) wirus szyfruje tylko pliki. Pierwszy przypadek jest dziś raczej nierealny z powodu specyfiku pracy systemu operacyjnego. Jeśli ktoś widział kod Windowsowego odpowiednika starego BIOS-owego przerwania INT 13, to wie ile tam jest wymaganych zezwoleń dostępu i impersonalizacji. Po prostu nie wystarczy mieć tylko uprawnienia konta administratora, żeby dokonać odczytu lub zapisu dowolnego sektora dysku. Ponadto w obszarach wielodostępowych pozakładane są sekcje krytyczne i inne mutexy. No i 3) wirus restartuje komputer wywołując błąd krytyczny i szyfruje na poziomie BIOS-a.

Pozostaje więc pytanie, co tyle godzin robił administrator sieci?

Teraz o samym ransomware. Do niedawna otrzymywałem jednego wirusa tego typu miesięcznie w załączniku listu. Poczta portalu dopiero chyba miesiąc temu wprowadziła w poczcie filtr, który usuwał ten spam bezgłośnie. Najczęściej przychodziły listy o super ofertach pracy, nieodebranych przesyłkach kurierskich, odżywkach na szybki wzrost masy mięśniowej, wreszcie zachęty do grania na giełdzie. Jak więc widać, treści listów z wirusami dobiera do klientów na podstawie analizy treści przeglądanych przez nich w necie, ale nie koniecznie.

Przykładowy list który mam:

Dear ImcWaszec,
By today, three invoices (4282, $284; 4283, $99; 4287, $564) are not paid.
Starting tomorrow, fines will be charged. Please make appropriate payments.

All details are in the attachment.
---
Best Regards,
Bernie Merritt
Sales Director

Załącznik wygląda mniej więcej tak: invoices8152477.zip. Biorę bydlę za futro i zapisuję na dysk. Po chwili mam komunikat w kwarantannie: JS.TeslaCrypt.2.Gen in folder (...)/downloads/invoices8152477.zip. I na dziś dziękujemy.
Trzeba być po prostu głupim, żeby taki załącznik uruchamiać, a jak widać antywirus radzi sobie z tym bez trudu.

Obrazek użytkownika Imć Waszeć

29-06-2017 [20:57] - Imć Waszeć | Link:

Errata:
1) Wirus Petya tylko chwali się, że koduje cały dysk, a naprawdę szyfruje tylko MFT, czyli główny katalog plików na dysku NTFS. Czyli pliki pozostają niezaszyfrowane. To może odbyć się błyskawicznie.
2) W prezentowanym artykule o wirusie widać wyraźnie, że działa on na rejestrach 32-bitowych (8 sztuk): EAX, ECX, EDX, EBX, ..., EDI. Tymczasem rejestry 64-bitowe, to RAX, RCX, RDX, RBX, ..., RDI oraz R8,...,R15 (16 sztuk). Rozkazy 64-bitowe mają prefix 0x48. Natomiast sama procedura szyfrująca jest oparta o rozkazy 16-bitowe (na obrazku to_fake_chkdsk-1.png). To świadczy o tym, że twórca wirusa nie jest zbyt biegły w te klocki i po prostu posklejał swojego Frankensteina z różnych dostępnych kawałków. To stawia pod znakiem zapytania tezę, że twórcą był jakiś rząd czy inne służby. No chyba, że to taka mimikra. W każdym razie na rozkazach 64-bitowych byłby w stanie zaszyfrować znacznie mocniej, znacznie szybciej i znacznie więcej. Na szczęście nie umie ;) i chwała Bogu, że mamy do czynienia z amatorem i zapewne ceownikiem.
3) W artykule piszą: "Overall, authors of Petya ransomware wrote a good quality code". Bzdura. Gdyby coś umiał, to by się zapewne zmieścił w max w czterech, a nie 11 czy 25 sektorach (zależy od wersji podawanej przez znawców) i jeszcze by wyświetlił powalające demo.

Obrazek użytkownika Imć Waszeć

29-06-2017 [01:44] - Imć Waszeć | Link:

Inny przykład:

Please Pay Attention
Waylon Massey (Massey.Waylon@shatel.ir)
Do: [moje konto]

Greetings! Informing you that the contractor requires including VAT in the service receipt.
Sending the new invoice and payment details in the attached file.
Please open and study it as soon as possible - we need your decision.

A w załączniku: SCAN_konto.zip. Zapisuję na dysk i po chwili ten sam komunikat co poprzednio. Jak użyje się zwykłego windowsowego Defendera, to on podaje inną nazwę: TrojanDownloader:JS/Nemucod, Also detected as: Trojan-Downloader.JS.Agent.hdm (Kaspersky), JS/Downloader (McAfee), Troj/JSDldr-AT (Sophos), JS.Downloader (Symantec). Zagrożenie jest klasyfikowane jako poważne. Jednocześnie widać, że przywiązywanie się do podawanych w mediach nazw jest zwodnicze i nie mówi nic o tym, co nas konkretnie pogryzło lub chciało pogryźć.

A oto inna technika, która wabi na stronę z zarażającym skryptem:

Begin to work on binary options!
Forrest Goldstein (Goldstein90@atoned.com)
Do: całkowicie_losowa_nazwa_konta@server

We trade binary options in Europe. Start now!

Ostatnie "Start now!" jest linkiem do: http://hop.kz/9f0u, a to przerzuca na adres: http://ezsivak-en.ru/. Nie znam, nie wchodzę. Proste?

Uwaga na koniec. Te wirusy zostały mi podesłane przez spamerów w grudniu 2016 roku i do dziś są tam, gdzie były. To jest najlepsza odpowiedź na pytanie "Co robią nasze służby z wyłudzaczami haseł, kont, pieniędzy, na wnuczka, na Nigeryjczyka, na pajaca?". Odpowiedź: "NIC NIE ROBIĄ". Zgodnie z hasłem "Brońta sie jak chceta".