Security Week 32: проект «Саурон», уязвимость в iOS, червь в PLC

Между тем нашим уютным секьюрити-дайджестам исполнился годик. Как быстро летит время! В выпуске за 32-ю неделю прошлого года я писал о дыре в Android, уязвимости в автомобилях концерна Fiat Chrysler и концепции Do Not Track 2.0. Что изменилось? Недостатка в новостях о безопасности я по-прежнему не испытываю, даже наоборот. Изменения к лучшему есть, но не везде, что как раз можно увидеть на примере этих трех давних сообщений.

Stagefright. С момента обнаружения уязвимости было выявлено еще несколько, связанных с обработкой медиа, а недавно к ним добавились серьезные дыры, затрагивающие в основном устройства на платформе Qualcomm.

Такая большая работа над ошибками — хороший знак, тем более что в течение года начала решаться проблема доставкой патчей. Не на все устройства и с переменным успехом у разных вендоров, но положительные сдвиги имеются.

Автобезопасность остается сложной темой. С одной стороны, откровений уровня прошлогодней новости о беспроводном взломе авто не появилось, с другой — отсутствие громких разоблачений не говорит о безопасности. Скорее причина в закрытости автоиндустрии по отношению к независимым исследователям.

Чуваки, хакнувшие Jeep Cherokee ровно год назад, взломали его еще разок, посерьезнее: https://t.co/MlEgj0CPcn pic.twitter.com/X6sWGU45pZ

— Kaspersky Lab (@Kaspersky_ru) August 11, 2016

Хорошая история по теме произошла на этой неделе: исследователи из университета Бирмингема раскрыли детали уязвимости штатной противоугонной системы, которая устанавливается на автомобили концерна Volkswagen аж с 1995 года. Перехватывать сигналы с беспроводного брелка такой системы оказалось весьма просто.

Важно, что все данные были на руках у исследователей уже в 2013 году, но VW притормозил публикацию отчета судебным иском. Его тоже можно понять, но, судя по косвенным данным, об уязвимости сигнализации не знала только общественность, а вот преступники пользуются ею уже давно. В таком раскладе владельцу авто лучше все-таки знать о потенциальной небезопасности штатной системы.

Ну и приватность. С приватностью лучше не стало, скорее наоборот. Существующие системы и связанные алгоритмы шифрования испытываются на надежность исследователями, плюс весь год ведется дискуссия о доступе к зашифрованным данным со стороны госорганов и приравненных к ним организаций.

Но есть и положительные моменты — например, переход на шифрование данных WhatsApp и Viber. Вернемся к новостям дня сегодняшнего. Абсолютно все выпуски дайджеста доступны по тегу.

Проект «Саурон» — новая таргетированная кампания учитывает ошибки предшественников

Новость. Исследование «Лаборатории». Исследование Symantec.

В начале этой недели эксперты «Лаборатории» и исследователи из Symantec независимо друг от друга публикуют отчет о новой атаке класса APT. Мы ее называем ProjectSauron, наши коллеги — Strider. «Саурон» использует достаточно серьезные методы атаки, сбора и эксфильтрации данных, хотя и не настолько крутые, как, например, в The Equation.

О том, как хакеры ProjectSauron провели атаки против государственных и военных учреждений: https://t.co/7JE4voJErJ

— Kaspersky Lab (@Kaspersky_ru) August 11, 2016

Пожалуй, главными особенностями атаки являются максимальная заточенность под жертву и максимальная же сложность обнаружения. Вредоносные компоненты хранятся только в оперативной памяти, под каждую жертву создается собственный комплект из малвари, доменов и серверов для вывода данных. А для эксфильтрации используется целый арсенал средств: от стандартных, но с применением сильного шифрования до эксплуатации внутренних почтовых серверов и вывода данных из air-gapped-систем с помощью хитро размеченных флешек.

Позитивным моментом является наличие приемов борьбы с ломами и такой классификации: вредоносная активность была задетектирована с помощью нашего решения для защиты от таргетированных атак. Больше технических деталей в подробном отчете «Лаборатории» в PDF.

Скриншот нашего трекера продвинутых атак намекает, что таких атак стало очень много

В iOS 9.3.4 закрыта критическая RCE-уязвимость

Новость. Advisory на сайте Apple.

Победитель в номинации «Самая короткая новость недели». В очередном обновлении мобильной операционной системы iOS компания Apple закрыла опасную уязвимость, позволявшую приложению выполнить код с привилегиями ядра. Все!

Apple может себе такое позволить: код системы закрыт, отношения с внешними исследователями также ведутся непублично. Даже запущенная недавно программа Bug Bounty компанией Apple ведется приватно: как сообщают с мест, в программу приглашены всего две дюжины исследователей, и нет, нам даже не расскажут, кто именно. Кстати, за информацию об уязвимости Apple благодарит китайскую команду Team Pangu, группу хакеров, специализирующуюся на джейлбрейках.

Исследователи показали proof of concept червя, живущего в программируемых логических контроллерах

Новость. Исследование в PDF.

А вот и обещанный на прошлой неделе компот — еще одно интересное исследование с конференции Black Hat. Исследователь Майк Брюггеман из компании OpenSource Security провел довольно много времени, анализируя взаимодействие программируемых логических контроллеров (PLC) Siemens с управляющей консолью TIA Portal.

Обнаружив прорехи в системе безопасности, в частности в методах проверки целостности кода и парольной защиты, он показал, как можно заразить сами контроллеры. Это ключевой момент: если раньше обсуждение безопасности индустриальных систем строилось вокруг защиты управляющего софта и систем, то теперь речь идет о возможной компрометации самих контроллеров — устройств относительно простых и поэтому не воспринимаемых как угроза. А зря — в демонстрации показано, например, как можно наладить связь между червем и командным центром за пределами сети.

К счастью, это все еще proof of concept, а не реальный червь. Производитель железа, компания Siemens, и вовсе утверждает, что демонстрация была очень теоретического свойства. В частности, для реализации своей идеи исследователь поотключал системы безопасности, которые в нормальных условиях должны быть включены всегда.

Тем не менее картина получается красивая и пугающая: на современном производстве потенциально уязвимых компьютеров и так десятки, а тут получается, что сотни. Брюггеман делает вывод: производителям надо менять подход к безопасности. Хорошо, но неконкретно: в данном случае можно начать с контроля целостности кода для PLC, и желательно не только вендором.

Что еще произошло:

Серьезная уязвимость в реализации протокола TCP в Linux, позволяющая перехватывать трафик.

К атаке на PoS-систему Oracle, возможно, причастны авторы Carbanak.

У Microsoft, кажется, большие проблемы с системой Secure Boot (а у джейлбрейкеров праздник).

Древности:

«V-492»

Резидентный очень опасный вирус. Заражает COM-файлы при их запуске на выполнение. Длину файлов не проверяет. Копирует себя в конец файла и изменяет его первые 6 байт (JMP xx xx zz zz zz).

При активизации ищет файл C:COMMAND.COM и инфицирует его. Затем остается резидентным в памяти. Для этого вирус копирует себя в таблицу векторов прерываний по адресу 0000:0200. Периодически стирает несколько секторов со случайными номерами. Изменяет int 1Ch и int 21h. Содержит команду «PUSH 100h», поэтому не распространяется на компьютерах с процессором 8086/88.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 87.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.